Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Social Engineering Glossar

Spear Phishing

Gezielter Phishing-Angriff auf eine spezifische Person oder Organisation mit personalisierten Inhalten. Im Gegensatz zu massenweisem Phishing recherchieren Angreifer ihr Ziel vorab (OSINT) und gestalten täuschend echte Nachrichten. Spear Phishing ist für >91% aller APT-Angriffe der initiale Angriffsvektor.

Spear Phishing ist der chirurgische Eingriff unter den Phishing-Angriffen. Während Massen-Phishing mit der Schrotflinte auf Millionen zielt, nutzt Spear Phishing ein Präzisionsgewehr: sorgfältige Recherche, personalisierte Ansprache und glaubwürdige Kontexte - gegen eine spezifische Person.

Spear Phishing vs. Phishing

MerkmalMassen-PhishingSpear Phishing
ZielJeder mit MailboxKonkrete Person (CFO, IT-Admin, Buchhalter)
InhaltGenerisch („Ihr PayPal-Konto wurde gesperrt”)Personalisiert (Name, Position, Kollegen, aktuelles Projekt)
AufwandMinimal (Template + Massen-Mail)Stunden bis Tage Recherche pro Ziel
Erfolgsrate1-3% Click-Rate30-50% Click-Rate
AngreiferCyberkriminelle, ScriptkiddiesAPT-Gruppen, professionelle Angreifer, Geheimdienste

Wie Angreifer Spear-Phishing-Mails erstellen

Phase 1: OSINT-Recherche

Angreifer nutzen öffentlich zugängliche Quellen systematisch um ihr Ziel zu profilieren:

LinkedIn liefert Position, Aufgaben, Kollegen und laufende Projekte. Ein Post wie „Freue mich auf die SAP-Migration nächste Woche!” verrät den Kontext für eine glaubwürdige Angriffs-Mail. Connections zeigen wer Chef und IT-Ansprechpartner sind.

Unternehmenswebsite enthält Organigramme und Team-Seiten, Presseberichte, Stellenanzeigen (die genutzte Technologie verraten), Partner, Kunden und laufende Projekte.

Social Media (Twitter/X, XING) liefert persönliche Informationen, Interessen, besuchte Konferenzen und Informationen über Dienstreisen oder Out-of-Office-Situationen.

WHOIS und Shodan zeigen E-Mail-Server-Konfiguration (welches Format nutzen sie?) und eingesetzte Technologien.

Darknet kann frühere Datenlecks mit Passwörtern und privaten E-Mails sowie Stealer-Logs mit besuchten Seiten und gespeicherten Credentials enthalten.

Phase 2: Angriff konstruieren

Ein konkretes Beispiel: Max Muster, CFO der Mustermann GmbH, ist das Ziel. Die OSINT-Recherche hat ergeben:

  • LinkedIn: „Leiter Finanzen, Mustermann GmbH seit 2018”
  • Letzter Post: Konferenz in Frankfurt - „Netzwerken auf der Finance Summit”
  • Stellenanzeige: „Suchen SAP FI-CO Berater” → SAP-Umgebung identifiziert
  • Kollege laut LinkedIn: Anna Schmidt, Buchhaltung
  • Partner laut Website: KPMG

Die konstruierte E-Mail:

Von: anna.schmidt@mustermann-gmbh.de (Spoofed / Lookalike) An: max.muster@mustermann-gmbh.de Betreff: Re: SAP-Update - Dringende Freigabe benötigt

Hallo Max,

KPMG hat uns gerade die überarbeiteten Q4-Jahresabschluss-Dokumente zugesandt. Aufgrund der SAP-Migration müssen wir die Freigabe bis heute 17 Uhr erteilen, sonst verzögert sich die Prüfung.

Kannst du die Dokumente bitte hier prüfen und freigeben? [KPMG Jahresabschluss 2025 - FINAL.pdf.exe] ← Malware!

Viele Grüße, Anna

Die Mail funktioniert weil alle Elemente aus echten OSINT-Daten stammen: bekannte Absenderin (Anna Schmidt), bekanntes Partnerunternehmen (KPMG), bekannter Kontext (SAP-Migration, Q4-Abschluss), Zeitdruck („bis 17 Uhr”) und eine plausible Aufgabe (Freigabe-Workflow).

Erkennungsmerkmale bei sorgfältiger Prüfung

Auch bei sorgfältig konstruiertem Spear Phishing gibt es Warnsignale:

Absender-Adresse: Der Anzeigename „Anna Schmidt” ist korrekt, die echte Adresse kann aber anna.schmidt@mustermann-gmbh-de.com statt mustermann-gmbh.de sein - eine falsche Domain. Immer den Reply-To-Header prüfen: Unterscheidet er sich vom From-Header?

Datei-Analyse: „KPMG Jahresabschluss 2025 - FINAL.pdf.exe” hat eine doppelte Dateiendung. Windows blendet bekannte Dateiendungen standardmäßig aus - die Lösung ist, Dateiendungen immer anzuzeigen (Windows: Ordneroptionen).

E-Mail-Header:

Received-SPF: FAIL (qmail-relay.evil.ru)

Ein SPF-Check-Fehler bedeutet: Bei korrekter DMARC-Konfiguration wäre diese Mail blockiert worden.

Ungewöhnliche Anfragen: Freigabe per E-Mail statt im System? Datei-Download statt SharePoint-Link? Zeitdruck der normale Prozesse umgeht? Diese Muster sind klassische Red Flags.

Technische Gegenmaßnahmen

E-Mail-Sicherheit:

  • DMARC mit p=quarantine oder p=reject → Spoofing wird blockiert
  • DKIM-Signatur → Manipulation erkennbar
  • Anti-Spoofing (Microsoft EOP): externe Mails mit internem Absender werden markiert

Microsoft 365 Defender for Office 365 bietet Spoof Intelligence (blockiert bekannte Spoofer), External Sender Tag ([EXTERNE E-MAIL] im Betreff) und Impersonation Protection (warnt wenn der Absender einer bekannten Person ähnelt).

DNS Monitoring:

  • Lookalike-Domain-Monitoring (mustermann-gmbh.com vs. mustermann-gmbh.de)
  • Domain-Squatting-Alerts für alle Unternehmensdomains

Technische SOC-Analyse:

  • SPF/DKIM/DMARC in SIEM loggen
  • Alert bei DMARC FAIL in eingehender Mail
  • Alert bei erster Mail von Domain die bisher nie gesendet hat

Menschliche Gegenmaßnahmen

Sicherheitsbewusstsein (Training):

  • Auch bei „bekannten” Absendern misstrauisch bleiben
  • Finanzielle Anfragen immer per Telefon verifizieren (Vier-Augen-Prinzip)
  • Ungewöhnliche Attachments: immer den Absender direkt kontaktieren

Prozessuale Kontrollen:

  • Überweisungen ab einem bestimmten Betrag erfordern immer eine zweite Person
  • Neue Bankverbindungen werden nie per E-Mail-Anweisung geändert
  • CEO-Anrufe für Überweisungen: Code-Wort-System etablieren

Simulation:

  • Regelmäßige Spear-Phishing-Simulationen mit personalisierten Mails (Name, Abteilung, Kontext)
  • Fokus: Wer klickt trotz personalisierter Warnung?
  • Nachschulung der Klicker ohne Stigmatisierung

Meldekultur:

  • Verdächtige Mails melden - kein Schämen bei einem Fast-Klick
  • Niedrigschwellige Meldewege (Ein-Klick-Report in Outlook)
  • Positive Verstärkung: Melder werden gelobt, nicht kritisiert

Bekannte Spear-Phishing-Kampagnen

APT28 (Fancy Bear, Russland) führt Spear-Phishing-Angriffe gegen NATO-Regierungen und Militärorganisationen durch. Die Methoden umfassen gefälschte Konferenzeinladungen und .lnk-Dateien mit eingebetteten Payloads. Das Ziel ist die Kompromittierung von Anmeldedaten für weitere Spionage.

Lazarus Group (Nordkorea) nutzt vor allem LinkedIn-Phishing mit gefälschten Jobangeboten. Angriffsziele sind Krypto-Börsen und Rüstungsunternehmen, die Malware wird in PDF-Stellenanzeigen versteckt.

APT41 (China) griff während der COVID-Pandemie intensiv Pharma- und Biotechunternehmen an. Mit Tausenden personalisierter Phishing-Mails wurden Forschungsdaten zu Impfstoffen gestohlen.

BEC (Business Email Compromise) ist nicht immer staatlich motiviert - auch finanziell orientierte Angreifer kompromittieren CEO-Mailboxen und stellen dann Überweisungsanfragen. Der FBI IC3 meldet für 2023 einen weltweiten Schaden von über 2,9 Milliarden USD.

AWARE7 Leistungen zum Thema

Phishing-Simulation Security Awareness Training

Ausführlicher Wiki-Artikel

E-Mail-Sicherheit: SPF, DKIM, DMARC, BIMI und MTA-STS im Detail

18 Min. Lesezeit

OSINT: Open Source Intelligence in der Cybersecurity

12 min Lesezeit

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Verwandte Begriffe

OSINT (Open Source Intelligence) Phishing Social Engineering - Die Psychologie des Angriffs Whaling
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung