(Spear Phishing Attack)
Der gezielte E-Mail Angriffsversuch (engl. Spear Phishing Attack) beschreibt eine Methode des Social Engineerings, bei der gefälschte E-Mails an die Mitarbeiter eines Unternehmens versendet werden. Ziel dieser Methode ist die Erlangung des Zugriffs auf das dahinterliegende IT-System oder auch das Ausspähen von Benutzernamen und Passwörtern im Klartext.
In der Vorbereitungsphase erfolgt auf Basis einer Zielgruppen-Definition durch den Auftraggeber eine erste, grobe Analyse dieser Zielgruppe, um mögliche Angriffsszenarien skizzieren zu können. Eine Beschreibung der Zielgruppe unterstützt diesen Prozess, sodass die jeweiligen Szenarien speziell auf das Unternehmen zugeschnitten werden können. Ein Angriffsszenario beschreibt sowohl die Zielpersonengruppe, das zu versendende E-Mail und dessen Inhalt und die Übertragung von möglicherweise zusätzlichem Test-Schadcode (z.B. per Anhang oder per Download über einen Link).
Nach der Aufbereitung des vereinbarten Phishing-Szenarios erfolgt eine letzte Abstimmung mit dem Auftraggeber, der dieses Szenario abschließend freigibt. Sollte ein Betriebsrat im Unternehmen vorhanden sein, wird empfohlen diesen in das Phishing-Szenario einzubeziehen.
Nach Freigabe der E-Mails werden zu Beginn der Durchführungsphase die E-Mails an die Zielpersonen versendet. Nach der Zustellung werden Tätigkeiten, wie das Öffnen von Links, das Nachladen von Bildern in E-Mails oder der Download von Dateien aufgezeichnet. Ebenfalls wird empfohlen auf Auftraggeber Seite aufzuzeichnen, wie viel der Phishing-E-Mails intern gemeldet werden. Nach Ablauf des Testzeitraums erfolgt vom Auftragnehmer eine Auswertung der Daten, welche in Form eines Endberichts dem Auftraggeber anonymisiert zur Verfügung gestellt werden.
Der gezielte E-Mail Angriffsversuch wird in drei Varianten angeboten
Der Orange Phish kann nur mit erweiterter Aufmerksamkeit durch den Anwender erkannt werden.