Es hieß bisher immer: Spam-Mails werden millionenfach versendet, Betrugsversuche zielen nicht auf Sie persönlich ab. Wenn wir bei Levato gefragt wurden, warum man überhaupt Spam-Mails erhält, haben wir bisher fast immer geantwortet: Da hat man es nicht speziell auf Sie abgesehen, Sie sind einfach nur einer unter zig tausenden Empfängern, die diese E-Mail erhalten haben.

All das hatte den beruhigenden Vorteil, dass man sich nicht gezielt als Opfer fühlen musste. Denn geteiltes Leid ist halbes Leid. Und es erleichterte das Erkennen der Spam-Mail. Denn eine E-Mail, die wahllos an Abertausende oder Millionen Menschen versendet wird, ist unpersönlich, ist Massenware und ist daher vor allem eines: leichter erkennbar.

Doch es gibt eine Änderung im System des Betrugs. Eine Methodik, die vor vielen Jahren bereits in Foren von Computer- und Sicherheitsexperten besprochen wurde und zunehmend im digitalen Alltag auftritt. Sie wird “Spear Phishing” genannt.
 

Spear Phishing

Sie kennen vermutlich den Begriff des “Phishing”. In unserem Lexikon und im Buch “Tricks der Spam-Mafia” erläutern wir diesen Begriff ausführlich. Er steht für den Versuch, meist ausgehend von einer E-Mail, auf illegale Weise sensible, private Daten von einem Nutzer zu erbeuten. Dabei ist der Begriff an das “Fischen” angelehnt, wobei die Kriminellen als die ‘jagenden’ Fischer zu sehen sind und die Nutzer als die nichts ahnenden im Wasser schwimmenden Fische, welche ins Netz bzw. in die Falle gehen sollen.

Beim “Spear Phising” nutzt der Kriminelle, um in der Metapher zu bleiben, nicht mehr das Netz, um massenhaft und ungezielt Fische (Nutzer) zu fangen (betrügen), sondern der Kriminelle sucht gezielt nach besonderen Fischen und visiert diese mit einer neuen Waffe, einem Speer, an und erlegt diese Fische dann ganz gezielt.
 

Warum?

Nehmen Sie einmal den Blickwinkel des Betrügers ein und sehen Sie seine Betrügereien als ein Unternehmen an, als ein Business, eine Firma, die wachsen will und muss. Das Fischen mit dem Netz, die typische gute alte Spam-Mail, ist kaum mehr zeitgemäß, nicht mehr erfolgreich. Es muss etwas neues her, etwas besseres, erfolgreicheres. Damit es mit der “Firma” weiter bergauf gehen kann. Es muss eine Innovation her. Und in gewisser Weise gibt es auch bei den Kriminellen eine Art Forschungsabteilung, die sich neue Methoden des Betrugs erdenkt. Natürlich läuft das nicht so geordnet wie in einem echten seriösen Unternehmen ab, doch die Grundzüge dürfen wir für diesen Vergleich einmal annehmen.

Die alten millionenfach pro Tag versendeten E-Mails, welche den Nutzer oft anonym und auf die immer gleiche Weise ansprechen, sind zwar schnell angefertigt und können als “Massenprodukt” auf den “Markt” gebracht werden, aber es erzielt immer weniger Erfolge. Die Spam-Filter erkennen diese Massenware sehr häufig und der Nutzer wird natürlich mit den Jahren auch immer schlauer, vielleicht sogar dank Levato 

Das Ergebnis aus der Mischung von erfolglosen alten Spam-Mails, schlaueren Nutzern und besseren Spam-Filter ist ein großer Druck auf die “Forschungsabteilung”. Und diese bringt das “Spear Phishing” hervor.
 

Wie?

Das Spear Phishing hat einen zentralen Mechanismus: Personalisierung. Das bedeutet, der Betrugsversuch zielt viel genauer als je zuvor auf eine einzelne Person ab. Der Sinn und Zweck davon liegt auf der Hand, denn je persönlicher eine Spam-Mail den Empfänger anspricht, desto wahrscheinlicher ist es, dass der Empfänger die Spam-Mail öffnet, sie liest, dem Inhalt vertraut und letztendlich in die Falle tappt. Dabei wird die Spam-Mail auch nicht mehr millionenfach versendet, sondern vielleicht nur noch einige tausend oder nur einige hundert Mal. Das verringert die Auffälligkeit der Spam-Mail. Die Spam-Filter entdecken die Spam-Mail nicht und die Nutzer haben von der jeweiligen Spam-Mail auch zuvor noch nie gehört, weil sie eben so wenig im Umlauf ist.
 

Bisherige Personalisierung

Eine solche Personalisierung funktioniert auf verschiedenen Wegen und einiges davon können Sie schon in einigen aktuellen Spam-Mails entdecken. Diese Methoden werden in Zukunft noch zunehmen:

a) Passende persönliche Anrede
Sie werden in der Spam-Mail mit Ihrem richtigen Namen angeschrieben.

b) Passende Hausadresse
In der Spam-Mail steht Ihre echte Hausanschrift.

c) Passender Absender
Die Spam-Mail kommt von einem guten Bekannten und nicht von einem Fremden.
 

Zukünftige Personalisierung

Doch hier wird nicht Schluss sein. In Zukunft und vermutlich schon im Jahr 2017 erhalten die Nutzer Spam-Mail mit derartig personalisierten Betrugsversuchen, dass man deutlich besser aufpassen muss, nicht in die Falle zu tappen. Eine personalisierte Spam-Mail erreicht dann nur solche Empfänger, welche auf diese personalisierte Ansprache reagieren könnten. Wie könnte so etwas aussehen? Hier drei Beispiele:

1. Aktuelle Geschehnisse
In der Betrugsmail wird Bezug genommen auf ganz aktuelle tagespolitische oder gesellschaftliche Ereignisse, die Sie garantiert dazu bringen werden, die E-Mail zu öffnen und aus Interesse den Inhalt zu lesen. Damit ist der erste Schritt in die Falle getan. Denkbar sind gefälschte “News”, die brandneu sind und bisher noch nicht in den Nachrichten von Radio und TV erschienen sind, zum Beispiel als Betreff der E-Mail: “Donald Trump hat soeben im US-Fernsehen Merkel zum Feind aller Amerikaner erklärt!”

2. Lokaler Bezug
Spam-Mails waren bisher immer daran erkennbar, dass Sie nie einen regionalen oder lokalen Bezug hatten, denn so wären keine massenhaften millionenfachen Spam-Mails möglich gewesen. Zukünftige Spam-Mails könnten bspw. Entwicklungen ganz speziell in Ihrer Stadt thematisch aufgreifen, um Ihr Interesse zu wecken. Beispiel: “Raubüberfall in Berlin Mitte, Täter in Spandau untergetaucht: Ihre Mithilfe ist gefragt!”

3. Persönliche Besitzgegenstände
Ein Betrug per E-Mail könnte alsbald ganz spezifisch Ihr Eigentum ansprechen, um Sie zum Öffnen und Lesen der E-Mail zu bewegen. So könnte eine Spam-Mail ganz gezielt nur VW-Autofahrer anschreiben und ansprechen. Das Lockmittel: der Abgasskandal. Die Methode: “Tragen Sie sich auf unserer Internetseite ein, um an der Massenklage gegen den VW-Skandal teilzunehmen. Nur, wer sich hier einträgt, hat eine Chance auf eine Ausgleichszahlung!”
 

Schutzmaßnahmen

Die Metapher des Fischens mit entweder Netz oder Speer ist sehr zutreffend. Während ein Netz langsam agiert, einige Fische durch die Maschen hindurch entkommen können oder sogar seitlich am Netz vorbei schwimmen können, kann man einem gezielten Wurf mit einem tödlichen Speer nur schwerlich ausweichen. Wenn der Speerwerfer erfahren ist und weiß, worauf er zielen muss, dann wird er seine Beute mit hoher Wahrscheinlichkeit erlegen. Es wird schwierig, sich gegen diese sehr individuellen Betrugsversuche zu wappnen und zu wehren.

Gesunder Menschenverstand, Gelassenheit und eine Portion Skepsis werden hilfreiche Berater sein, um den Speeren auszuweichen. Den zentrale Schutz aber bildet Ihre Erfahrung, Ihr Gespür und Ihre Kompetenz im Umgang mit dem Computer und dem Handy. Vielleicht können und dürfen wir mit Levato hierzu beitragen.

Doch eines dürfte anhand der heutigen Verdeutlichung zukünftiger Gefahren klar geworden sein: Automatische Schutzprogramme für den Computer oder das Handy, die gekauft und installiert werden und daraufhin hundertprozentigen Schutz versprechen, werden nicht die Lösung sein. Ein solches Programm ist nicht intelligent genug, solche auf “Speeren” basierte Angriffe abzuwenden. Das ist natürlich ein weiterer Grund, warum sich die Kriminellen auf das “Spear Phishing” konzentrieren: viele Menschen verlassen sich vollkommen auf Ihre Schutzprogramme, wenn es um Betrugsversuche geht. Sie denken, Sie müssten nicht mehr selbst nachdenken, da die teuren gekauften Schutzprogramme hier sicherlich einschreiten werden.

Und so werden diese Menschen doppelt abgezockt: Durch das Marketing der teuren Schutzprogramme, die mit angeblichem Schutz werben, und durch die Betrüger, die mit ihrem Speer des “Spear Phishing” ganz einfach über den Schutzwall der Schutzprogramme hinweg ihre Angriffe fortführen…