Hinsichtlich der Wirksamkeit macht es für Cyberkriminelle oft kaum einen Unterschied, ob sie auf Spear-Phishing oder herkömmliches Phishing setzen; die Durchführung erfolgreicher Spear-Phishing-Angriffe mag zwar länger dauern, führt jedoch im Allgemeinen zu deutlich höheren Erträgen. Da sich die Abwehrmechanismen verbessern, entwickeln Cyberkriminelle ihre Taktiken ständig weiter, um unbefugten Zugriff auf Netzwerke, Systeme und sensible Informationen zu erlangen. Und trotz weit verbreiteter Nachrichtenberichte über Cyberangriffe und immer anspruchsvollerer Mitarbeiterschulungen zur Cybersecurity gelingt es Spear-Phishing und Phishing beständig, selbst die versiertesten Nutzer zu einer Interaktion zu verleiten. Dieser Artikel erläutert die Unterschiede zwischen beiden Angriffsformen, zeigt typische Beispiele und beschreibt Schutzmaßnahmen für Unternehmen.
Was ist Spear-Phishing?
Spear-Phishing ist eine Unterform des Phishings und umfasst gezielte Nachrichten, die individuell für Einzelpersonen oder eine bestimmte Gruppe angepasst sind (z. B. Führungskräfte eines Unternehmens oder Personen in einer bestimmten Berufsfunktion). Spear-Phishing-Nachrichten werden üblicherweise durch die Verwendung des Namens einer Person sowie durch Details personalisiert, die der Nachricht Glaubwürdigkeit verleihen.
Die beim Spear-Phishing verwendeten, maßgeschneiderten Nachrichten sind darauf ausgelegt, die Zielpersonen glauben zu lassen, dass sie legitim sind. Es wird gezielt Recherche betrieben, um Informationen für die Ansprache dieser strategischen Ziele zu sammeln, wie zum Beispiel:
- Namen der Zielpersonen.
- Informationen von Interesse für die Zielpersonen, wie etwa Finanzdaten (z. B. die neuesten Verkaufszahlen für einen CEO) oder aktuelle Ereignisse von persönlichem Interesse (z. B. Themen, denen sie auf ihren Social-Media-Accounts folgen).
- Namen von Kollegen, Familienmitgliedern oder Freunden, zusammen mit einem Bedürfnis, das diese möglicherweise haben.
Spear-Phishing-Nachrichten werden per E-Mail zugestellt und sind darauf ausgelegt, das Ziel dazu zu verleiten, einen schädlichen Link zu öffnen oder einen schädlichen Download auszuführen.
Das letztendliche Ziel von Spear-Phishing-Angriffen variiert, aber zu den häufigen Zielen gehören der Diebstahl sensibler Informationen, der Zugang zu Netzwerken durch die Installation von Malware zur Vorbereitung künftiger Angriffe sowie finanzieller Gewinn.
Zu den Unterkategorien von Spear-Phishing gehören:
- Whaling-Angriffe (Big Game Hunting): Diese richten sich gezielt gegen Mitarbeiter auf Führungsebene in großen Unternehmen.
- CEO-Fraud-Angriffe: Hierbei werden Nachwuchskräfte mit gefälschten Nachrichten einer hochrangigen Autorität (z. B. des CEO) oder von Kollegen ins Visier genommen. In der Regel handelt es sich um dringende Nachrichten, die darauf ausgelegt sind, Druck auszuüben und die Nachwuchskraft aufgrund einer vermeintlichen Ausnahmesituation zu unbefugten Handlungen zu verleiten.
- Clone-Phishing-Angriffe: Dabei werden Nachrichten des Ziels abgefangen und eine echte E-Mail repliziert, die der Empfänger zuvor erhalten hat. Die legitimen Links und Anhänge werden durch schädliche ersetzt. Beispiele für E-Mails, die für Clone-Phishing genutzt werden, sind Rechnungen und Versandbenachrichtigungen.
Was ist Phishing?
Diese Art des Cyberangriffs, die auch als Gruppen-Phishing bezeichnet wird, zielt auf eine große Gruppe ab (z. B. alle Mitarbeiter einer Organisation). Dabei wird dieselbe Version einer Nachricht auf verschiedene Weise gesendet, etwa per E-Mail, Voicemail oder Textnachricht. Allgemeines Phishing ist die einfachste Form eines Phishing-Angriffs.
Phishing-Angriffe werden über E-Mails, SMS (Smishing oder SMS-Phishing) oder Telefonanrufe (Vishing oder Voice-Phishing) mit bösartigen Nachrichten an eine große Gruppe von Einzelpersonen oder Organisationen durchgeführt. Eine Form des Phishings ist der Business-Email-Compromise (BEC), bei dem Angreifer E-Mail-Adressen fälschen (spoofen), sodass sie den Anschein erwecken, von einer legitimen Quelle zu stammen.
Häufige Merkmale von Phishing-Angriffen sind:
- Der Absender gibt sich als eine reale Person oder Institution aus.
- Das Ziel der Kommunikation ist es, das Opfer dazu zu verleiten, Malware über schädliche Anhänge und Links herunterzuladen oder sensible Informationen preiszugeben (z. B. Kreditkarten-Nummern, Bankkonto-Nummern oder Sozialversicherungs-Nummern).
Unterschiede zwischen Spear Phishing und Phishing
Spear-Phishing und Phishing teilen viele Merkmale. Es gibt jedoch bemerkenswerte Unterschiede zwischen Phishing und Spear-Phishing, einschließlich der folgenden Punkte, die Aufschluss darüber geben, welche Sicherheitskontrollen zum Schutz eingesetzt werden sollten:
| Spear-Phishing vs. Phishing | |
|---|---|
| Angreifer betreiben eine gründliche Recherche, um den Inhalt hochgradig gezielter und personalisierter Nachrichten für Einzelpersonen oder kleine Gruppen zu erstellen. | Allgemeine Nachrichten werden massenhaft in großen Wellen (Bulk-Blasts) an eine große Empfängergruppe versendet. |
| Anspruchsvolle Social-Engineering-Taktiken werden eingesetzt, um über eine Serie von Kommunikationen hinweg eine Beziehung und Vertrauen aufzubauen. | Ein künstliches Gefühl der Dringlichkeit wird in einmalige Nachrichten eingebettet, um Empfänger zu unbedachtem Handeln zu verleiten. |
| Die Opfer werden strategisch ausgewählt, um die Nachrichten zu erhalten. | Die Opfer werden eher zufällig ausgewählt und sind Teil eines großangelegten Massenbetrugs-Versuchs. |
| Das Ziel ist ein hoher finanzieller Gewinn, wie der Diebstahl sensibler Daten oder die Verleitung einer Person zu einer großen telegrafischen Überweisung. | Das Ziel ist das Erlangen kleinerer „Preise“, wie etwa Passwörter oder Kreditkarten-Informationen. |
| Die Angriffe werden in der Regel manuell durchgeführt. | Die Angriffe werden in der Regel automatisiert durchgeführt. |
| Die Angriffe sind technisch und psychologisch raffiniert und sehr anspruchsvoll. | Die Angriffe sind im Vergleich eher einfach (rudimentär) aufgebaut. |
| Das Ergebnis eines erfolgreichen Angriffs ist ein erheblicher Schaden. | Das Ergebnis des Angriffs ist meist der Verlust geringerer Geldbeträge. |
| Spear-Phishing-Angriffe können sehr schwer zu identifizieren sein. | Phishing-Angriffe lassen sich in der Regel leichter erkennen. |
Tipps zum Schutz des Unternehmens vor Spear-Phishing vs. Phishing
Die Werkzeuge und Prozesse, die zur Erkennung, zum Schutz und zur Entschärfung von Spear-Phishing- und Phishing-Angriffen eingesetzt werden, sind ähnlich – mit einigen bemerkenswerten Ausnahmen wie:
- Erhöhte Überwachung der Konten potenzieller Opfer.
- Sensibilisierung potenzieller Opfer dafür, dass sie Ziel von Spear-Phishing werden könnten.
- Schulung potenzieller Zielpersonen über die spezifischen Merkmale von Spear-Phishing-Nachrichten.
Häufig genannte Schutztipps für Spear-Phishing und Phishing umfassen:
- Führen Sie Security-Awareness-Trainings mit einem spezifischen Fokus auf folgende Punkte durch:
- Konfigurieren Sie SPF (Sender-Policy-Framework), DKIM (DomainKeys-Identified-Mail) und DMARC (Domain-based-Message-Authentication,-Reporting-and-Conformance), um E-Mail-Domain-Spoofing zu verhindern.
- Verschlüsseln Sie alle sensiblen Informationen.
- Setzen Sie strenge Passwort-Richtlinien durch, die über die bloße Anforderung eines regelmäßigen Passwortwechsels hinausgehen.
- Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) oder eine andere Lösung für den Zugriff.
- Halten Sie Systeme und Software mit den neuesten Versionen und installierten Patches auf dem aktuellen Stand.
- Überwachen Sie Nutzer, Systeme und Anwendungen auf Anzeichen bösartiger Aktivitäten.
- Führen Sie häufige Backups durch und erstellen Sie einen Plan zur Geschäftskontinuität (Business-Continuity-Plan).
- Scannen Sie eingehende Nachrichten auf gängige Malware-Anhangstypen wie .exe, .HTA und .PDF.
- Nutzen Sie eine Anti-Phishing-Sicherheitslösung, die künstliche Intelligenz einsetzt, um verdächtige Nachrichten zu filtern und zu erkennen.
- Verwenden Sie Firewalls, um ausgehenden Datenverkehr durch bösartige Software zu blockieren.
- Unterstützen Sie Nutzer bei der Identifizierung von Warnsignalen für Phishing, wie falsch geschriebene Wörter, schlechte Grammatik, ein bedrohlicher Ton, erhöhte Dringlichkeit oder Aufforderungen zur Preisgabe persönlicher Informationen oder Geld.
- Klären Sie Nutzer darüber auf, wie E-Mail-Adressen und URLs (Uniform-Resource-Locators) validiert werden können, bevor eine Nachricht oder URL geöffnet wird oder man mit ihr interagiert.
- Schulen Sie die Nutzer darin, das Klicken auf Pop-ups, Anhänge und Links zu vermeiden.
Spear-Phishing vs. Phishing: Welche Angriffsform richtet größeren Schaden an?
Bei der Abwägung, welche Form gefährlicher ist – Spear-Phishing oder Phishing –, gibt es keinen eindeutigen Sieger. Beide sind im Vergleich zu anderen Methoden technologisch wenig aufwendige (Low-Tech) Cyberangriffs-Methoden, stellen aber dennoch enorme Risiken für Organisationen dar.
Trotz jahrelanger Entwicklung von Abwehrmechanismen führen menschliches Versagen und Nachlässigkeit immer wieder dazu, dass technische Sicherheitskontrollen außer Kraft gesetzt werden. Ohne Zweifel helfen Cybersecurity-Lösungen dabei, die Wirksamkeit von Spear-Phishing und Phishing zu minimieren, aber nur eine nachhaltige Änderung des Nutzerverhaltens mithilfe von Security-Awareness-Trainings kann verhindern, dass diese Cyberangriffe Erfolg haben.
