Phishing ist eine der beliebtesten und häufigsten Formen von Social Engineering-Angriffen.
Als Cyberangriff, der auf die menschliche Intelligenz abzielt und diese ausnutzt, hat Phishing in der Vergangenheit mehrere kleine und große Unternehmen erfolgreich angegriffen. Laut einer Umfrage haben über 80% der Unternehmen im Jahr 2020 mindestens einen erfolgreichen Phishing-Angriffsversuch erlebt.
Einem Bericht über Phishing-Aktivitäten zufolge ist die Zahl der Phishing-Angriffe zwischen 2019 und 2022 um 150 % gestiegen und wird im Jahr 2022 eine rekordverdächtige Zahl von 4,7 Millionen Angriffen verzeichnen.
Phishing ist eine weit gefasste Kategorie von Cyberangriffen, unter die auch andere Arten von Phishing-Angriffen wie Vishing, E-Mail-Phishing, Spear-Phishing, Clone-Phishing und mehr fallen.
Spear-Phishing ist eine der am weitesten verbreiteten und raffiniertesten Cyberattacken und bildet den Anfangs- oder Ausgangspunkt für über 91 % der Cyberangriffe.
Aber wie unterscheiden sich Phishing und Spear Phishing voneinander? Welche Schlüsselelemente unterscheiden diese beiden Cyberangriffe und wie können Sie Ihr Unternehmen vor ihnen schützen?
In diesem Artikel beschäftigen wir uns eingehend mit Phishing und Spear-Phishing und gehen auf die wichtigsten Merkmale ein, durch die sich diese Phishing-Angriffe voneinander unterscheiden.
Legen Sie los!
Was ist Phishing?
Ein Phishing-Angriff ist eine Art von Cyberattacke, bei der Betrug über E-Mails verbreitet wird, die über verschiedene Kanäle und Medien wie Textnachrichten (Smishing), E-Mails (E-Mail-Phishing) oder Telefonanrufe (Vishing) an beliebige Personen gerichtet sind.
Die Angreifer versenden massenhaft Phishing-E-Mails, um an sensible Benutzerinformationen und Geschäftsdaten zu gelangen, in der Hoffnung, dass von Tausenden von Phishing-Versuchen wenigstens einer oder einige wenige erfolgreich sind.
Moderne Phishing-Angreifer gestalten diese E-Mails und Nachrichten so, dass sie den Anschein erwecken, sie kämen von einer seriösen Quelle wie einem Unternehmen oder einer Bank. Die Hacker senden diese E-Mails wahllos an Benutzer und bringen sie durch Tricks und Manipulation dazu, auf die bösartigen Links oder Dokumente in der E-Mail zu klicken oder bestimmte Aktionen auszuführen, die weitere Angriffe auslösen.
Bei einem Phishing-Angriff verwenden die Angreifer meist einen eindringlichen Tonfall, der bei den Empfängern ein Gefühl der Angst hervorruft und sie dazu verleitet, infizierte Dokumente herunterzuladen oder auf bösartige Links zu klicken – und so ihre persönlichen Informationen wie Bankdaten oder Anmeldedaten zu gefährden.
Wie der Name schon sagt, bezieht sich Phishing auf zufällige und breit angelegte Cyberangriffe per E-Mail, die unschuldige Benutzer oder E-Mail-Empfänger ausnutzen, um vertrauliche Daten und Informationen zu kompromittieren.
Je nach Medium oder Taktik fallen jedoch verschiedene Cyberangriffe unter den Begriff Phishing. Zu den verschiedenen Phishing-Angriffsmechanismen gehören:
- Smishing: Auch als SMS-Phishing bekannt, ist Smishing ein Angriff, der über SMS oder Textnachrichten durchgeführt wird, um das Telefon oder mobile Gerät des Benutzers mit Malware zu infizieren.
- Vishing : Vishing ist ein Phishing-Angriff, der über Telefonanrufe oder heruntergeladene Internetprotokolle wie VoIP oder Voice Over Internet Protocol erfolgt.
- Popup-Phishing : Bei diesem Angriff werden auf dem Bildschirm des Benutzers ein dringendes Popup oder Nachrichten in Form von Popups über die Sicherheit seines Geräts eingeblendet.
- Fax-Phishing : Bei diesem Phishing-Angriff sendet der Angreifer eine Phishing-E-Mail an den Benutzer, in der er angibt, ein Fax im E-Mail-Anhang erhalten zu haben, das den Benutzer in der Regel auf gefälschte oder gefälschte Websites führt und ihn auffordert, seine Anmeldedaten einzugeben.
- Phishing von Überweisungen: Dieser Angriff umfasst Banküberweisungen, um betrügerische Aktivitäten durchzuführen.
Wenn dies also die verschiedenen Arten von Phishing-Angriffen sind, sollten wir auch verstehen, was Spear Phishing ist und wie es sich von den oben genannten unterscheidet.
Was ist Speer-Phishing?
Spear-Phishing ist eine fortschrittlichere und ausgefeiltere Form von Phishing-Angriffen, die auf bestimmte Personen, Organisationen oder Opfer abzielen, im Gegensatz zu Phishing-Angriffen, die auf eine breite Masse von Personen abzielen.
In der Regel zielen Spear-Phishing-Angriffe nicht auf eine Gruppe von Einzelpersonen ab, sondern auf ein bestimmtes Unternehmen oder eine Organisation, wobei Social-Engineering-Taktiken wie gefälschte E-Mails eingesetzt werden.
Beim Spear-Phishing geben sich die Angreifer oft als Mitarbeiter, Kollegen oder Geschäftsfreunde eines Unternehmens aus, um an vertrauliche Informationen des Unternehmens zu gelangen. Dabei geht es möglicherweise nicht nur darum, die persönlichen Daten einer Person zu stehlen, sondern auch darum, einen Unternehmensserver zu hacken und in ihn einzudringen, um eine gezielte bösartige Aktivität durchzuführen.
Cyberkriminelle nutzen häufig Social Engineering-Techniken wie gefälschte E-Mails, indem sie hochgradig personalisierte E-Mails an die Opfer senden, indem sie persönliche Daten wie ihren Namen und ihr Unternehmen über ihre Profile in den sozialen Medien sammeln, so dass die gefälschten E-Mails echter, legitimer und glaubwürdiger wirken.
So können die Cyberkriminellen das Vertrauen der Opfer gewinnen und die Wahrscheinlichkeit erhöhen, dass die Empfänger der E-Mail die gewünschte Aktion ausführen. Neben E-Mail-Spoofing können Angreifer auch dynamische URLs und Drive-by-Downloads einsetzen, um die Sicherheitsmaßnahmen eines Unternehmens zu kompromittieren und einen Spear-Phishing-Angriff durchzuführen.
Cyberkriminelle setzen beim Spear-Phishing häufig zwei Arten von Angriffen ein:
- Whaling: Dieser Spear-Phishing-Angriff zielt hauptsächlich auf leitende Angestellte ab, die die Macht oder die Befugnis haben, auf vertrauliche Informationen eines Unternehmens zuzugreifen. Durch die gezielte Ansprache dieser Personen können die Angreifer auf sensible Daten zugreifen, Geldtransfers veranlassen oder eine Datenverletzung durchführen.
- CEO-Betrug: Während Whaling-Angriffe auf leitende Angestellte abzielen, zielen CEO-Fraud-Phishing-Angriffe hauptsächlich auf untergeordnete oder jüngere Angestellte ab, indem sie sich als höhere oder leitende Angestellte ausgeben, wie z.B. der CEO eines Unternehmens, indem sie vorgeben, eine solche hochrangige Autorität zu sein; Angreifer können jüngere Angestellte leicht überzeugen oder unter Druck setzen, unbefugte Handlungen vorzunehmen. Dieser Angriff wird auch als Business Email Compromise (BEC) Angriff bezeichnet.
Nachdem wir nun die grundlegende Definition und die Idee hinter Phishing und Spear-Phishing verstanden haben, wollen wir nun näher darauf eingehen, wie sich diese beiden Angriffe durch ihre wichtigsten Unterscheidungsmerkmale unterscheiden.
Phishing vs. Speer-Phishing: Kurzer Blick
Faktoren | Phishing | Speer-Phishing |
---|---|---|
Art des Angriffs | Groß angelegte Angriffe, die auf eine größere und zufällige Gruppe von Personen abzielen. | Angriffe auf eine bestimmte Organisation oder Person durch Social-Engineering-Taktiken. |
Grad der Personalisierung | Kommt häufig vor und ist weniger zeitaufwändig. | Hochgradig personalisiert, da der Angreifer tiefgreifende Nachforschungen über sein Zielopfer anstellt – einschließlich Name, Organisation, Berufsprofil usw. |
Grad der Dringlichkeit | Verwendet eine überzeugende und dringende Sprache, um das Opfer dazu zu bringen, sofort zu handeln, ohne zu überlegen. | Enthält ein minimales bis gar kein Dringlichkeitselement, da er sich darauf konzentriert, zuerst das Vertrauen des Opfers zu gewinnen, bevor er es dazu bringt, die gewünschte Aktion durchzuführen. |
Primäres Ziel | Kompromittierung und Zugriff auf die sensiblen Daten des Opfers, wie z.B. Anmeldedaten. | Beim Spear-Phishing wird zwar auch versucht, an Daten wie Kreditkartendaten oder Anmeldeinformationen zu gelangen, aber das Endziel könnte viel höher sein, wie z. B. das Ausspähen von Geschäftsgeheimnissen des Unternehmens usw. |
Häufigkeit | Banken senden allgemeine E-Mails, in denen sie um die Aktualisierung von Passwörtern bitten. | Kommt seltener vor, da die Ausführung viel Zeit, Mühe und Recherche erfordert. |
Umfang des Aufwands | Gering, da die Nachrichten recht allgemein gehalten und nach einer Vorlage verfasst sind. | Hoch, da die Nachrichten sorgfältig verfasst und stärker personalisiert sind. |
Tonalität des Nachrichteninhalts | Generisch und formell (manchmal für das Opfer ungewohnt). | Vertraut und personalisiert, oft mit dem Namen des Opfers in der Begrüßung. |
Beispiele | Banken senden generische E-Mails, in denen sie um die Aktualisierung von Passwörtern bitten. | Ein hoher oder ranghoher Angestellter bittet um eine Überweisung für ein Projekt. |
Vorbeugende Maßnahmen | E-Mail-Filter und grundlegende Schulungen zur Cybersicherheit und Sensibilisierung. | Fortgeschrittene Firewalls, E-Mail-Filter und konsequentes Bewusstsein für Cybersicherheit mit Phishing-Simulationen. |
Phishing vs. Spear Phishing: Merkmale erklärt
Obwohl Phishing und Spear Phishing ähnliche Merkmale aufweisen, unterscheiden sie sich in Bezug auf ihr primäres Ziel, ihre Angriffstaktik oder -methodik, die zu ihrer Abwehr getroffenen Sicherheitsmaßnahmen und andere Faktoren.
Werfen wir einen Blick auf jeden einzelnen dieser Faktoren.
#1. Angriffsvektoren
Standard-Phishing-Angriffe werfen durch Social-Engineering-Angriffe, wie Massen-E-Mails, bösartige Websites oder SMS-Nachrichten, ein breiteres Netz aus. So versuchen sie oft, eine große Gruppe von Personen über mehrere Angriffsvektoren oder -taktiken anzusprechen und eine große Anzahl potenzieller Opfer zu erreichen.
Im Gegensatz dazu sind Spear-Phishing-Angriffe sehr viel gezielter, spezifischer und personalisierter und zielen auf eine bestimmte Organisation oder Personengruppe ab. Spear-Phishing verwendet häufig gefälschte E-Mails als Angriffsvektor, kann aber auch soziale Medien, Telefonanrufe oder persönliche Interaktionen nutzen, um bestimmte Personen anzusprechen.
#2. Täuschende Taktiken
Phishing-Angriffe verwenden und versenden massenhaft generische und schlecht geschriebene E-Mails oder Nachrichten, die sich als seriöse Organisationen oder Dienste ausgeben. Sie verwenden Panikmache oder erwecken in den Nachrichten ein Gefühl der Dringlichkeit, um die Opfer dazu zu bringen, ihre sensiblen Daten wie Anmeldedaten oder Bankkontodaten preiszugeben.
So verwenden die Angreifer oft generische E-Mail-Vorlagen, um Benutzer zu täuschen, und nutzen die Angst-Taktik, indem sie auf bösartige Links, gefälschte Websites und Malware-induzierte Anhänge setzen, um die Opfer dazu zu bringen, die gewünschte Aktion durchzuführen, um die Sicherheit des Geräts oder Kontos zu gewährleisten.
Während Phishing auf generische Täuschungstaktiken setzt, verwendet Spear Phishing überzeugende und hochgradig personalisierte Taktiken, indem es gründliche Nachforschungen über seine Zielopfer anstellt, um personalisierte und glaubwürdige Nachrichten zu verfassen.
Sie enthalten spezifische Details über das Opfer, wie z. B. den Namen, das Unternehmen, die Berufsbezeichnung usw., und imitieren den Stil und den Tonfall einer seriösen Geschäfts-E-Mail, wodurch sie seriöser wirken und sich von generischen Phishing-E-Mails unterscheiden.
#3. Zielscheibe
Angreifer zielen bei Phishing-Angriffen mit generischen E-Mails auf mehrere Personen gleichzeitig ab und haben somit einen breiten und größeren opportunistischen Fokus. Phishing-Angriffe verschicken also E-Mails in Massen, anstatt auf bestimmte Personen oder Organisationen abzuzielen, in der Hoffnung, dass wenigstens ein paar Prozent der Opfer auf ihre betrügerische Taktik hereinfallen werden.
Im Gegensatz dazu nutzt Spear-Phishing gezieltes Social Engineering und nicht nur reines Glück. Die Angreifer sind sehr klar, zielgerichtet und präzise in Bezug auf ihre Zielopfer und senden personalisierte E-Mails an ausgewählte Personen aus der Vogelperspektive.
Sie wählen oder konzentrieren sich auf hochrangige Führungskräfte oder leitende Mitarbeiter, die sie kompromittieren, um Zugang zu den sensiblen Geschäftsdaten eines Unternehmens zu erhalten. Je höher die Ebene der Führungskraft ist, auf die sie abzielen, desto größer sind die potenziellen Auswirkungen, wenn sie kompromittiert werden.
Bei einem Spear-Phishing-Angriff kann das Opfer also als Mittel zum Zweck betrachtet werden, nämlich die Kompromittierung des Zielunternehmens selbst.
#4. Ziele
Das Hauptziel von Phishing-Angriffen besteht darin, eine große Menge vertraulicher und sensibler Informationen zu sammeln, indem ein größerer Personenkreis ins Visier genommen wird. Zu diesen Informationen können Kreditkartennummern, Anmeldedaten, Passwörter für Bankkonten oder andere persönliche Daten von möglichst vielen Zielpersonen gehören.
Auf der anderen Seite ist das Ziel von Spear-Phishing-Angriffen gezielter und kann sehr unterschiedlich sein, je nachdem, wie der Angreifer ein bestimmtes Unternehmen oder eine Organisation kompromittieren möchte.
Zu den Zielen von Spear-Phishing-Angriffen können der Zugriff auf bestimmte Geschäftskonten, das Ausspähen vertraulicher Informationen, der Diebstahl geschützter Vermögenswerte oder Daten, Cyberangriffe auf Insider innerhalb eines Unternehmens oder gezielte Unternehmensspionage gehören.
#5. Herausforderungen bei der Erkennung
Unternehmen können Phishing-Angriffe durch die Aufnahme von Domänen in schwarze Listen, E-Mail-Filter und Firewalls sowie Antiviren-Software erkennen.
Die Erkennung einiger weniger Phishing-E-Mails kann jedoch angesichts der immer ausgefeilteren Social-Engineering-Angriffe, die menschliche Intelligenz und Taktiken manipulieren, wie z. B. das Ausgeben als autorisierte Personen, die Verwendung von HTTPS in gefälschten Websites, URL-Verschleierung, Pharming und mehr, zu einer Herausforderung werden.
Gleichzeitig kann die Erkennung von Spear-Phishing-Angriffen im Vergleich zu Phishing-Angriffen sogar noch schwieriger werden, da sie auf eine individuellere Art und Weise ausgeführt werden. Daher können herkömmliche Sicherheitsmaßnahmen wie Firewalls sie oft nicht erkennen.
Die Erkennung von Spear-Phishing-Angriffen hängt also stark von der Aufklärung der Benutzer, ihrem Bewusstsein und einem scharfen Auge bzw. der Fähigkeit ab, subtile, trügerische Zeichen in E-Mails zu erkennen.
#6. Vorbeugende Maßnahmen
Mitarbeiter und Unternehmen können Phishing-Angriffe verhindern, indem sie Firewalls, Antiviren-Software, E-Mail- und Web-Filter einsetzen, Passwörter regelmäßig aktualisieren, Sicherheits-Patches installieren usw.
Außerdem ist es wichtig, das Bewusstsein für Cybersicherheit zu schärfen und Mitarbeiterschulungen durchzuführen, um die Wachsamkeit der Mitarbeiter zu fördern, damit sie Phishing-Versuche leicht erkennen können.
Die Vorbeugung von Spear-Phishing umfasst einen mehrschichtigen Ansatz und erfordert eine Kombination aus robusten E-Mail-Sicherheitslösungen und Benutzerschulungen. Dazu gehören strenge Zugangskontrollen, Zwei-Faktor-Authentifizierung (2FA), Mitarbeiterschulung und -aufklärung, robuste E-Mail-Sicherheitslösungen, die verdächtige E-Mail-Muster erkennen, und Bedrohungsdaten.
#7. Beispiele aus dem wirklichen Leben
Gefälschte und bösartige E-Mails, die sich als renommierte Organisationen und Banken wie PayPal oder Profile in sozialen Medien ausgeben, sind gängige Beispiele für Phishing-Angriffe.
- Spectrum Health System, eine Gesundheitsorganisation, meldete im September 2020 einen Vishing-Angriff, bei dem Patienten und Mitglieder der Organisation Anrufe von Personen erhielten, die sich als Mitarbeiter ausgaben, um an ihre persönlichen Daten zu gelangen, darunter die Mitgliedsnummer und andere Details zu ihren Konten. Die Angreifer setzten Drohungen und Schmeicheleien ein, um die Opfer unter Druck zu setzen, die gewünschten Daten, den Zugang zu persönlichen Geräten oder Geld herauszugeben.
- Ein weiteres reales Beispiel für einen Phishing-Angriff ist der von Tripwire im September 2020 gemeldete Smishing-Angriff. Der Angreifer schickte SMS-Nachrichten an die Opfer, die als United States Post Office (USPS) getarnt waren. In der Nachricht wurden die Opfer aufgefordert, auf einen Link zu klicken, um kritische Details über ihre bevorstehende USPS-Zustellung zu erfahren. Der Link leitete sie auf gefälschte Websites weiter, um ihre Google-Kontoanmeldedaten zu stehlen.
Auch hier gibt es zwei reale Beispiele für Spear-Phishing-Kampagnen.
- Einer der bekanntesten realen Vorfälle eines Spear-Phishing-Angriffs ist der, als Google und Facebook zwischen 2013 und 2015 durch eine ausgedehnte BEC-Spear-Phishing-Kampagne zur Zahlung von 122 Millionen Dollar verleitet wurden. Der Angreifer gab sich als Quanta aus, ein gemeinsamer Lieferant für beide Unternehmen, und verschickte E-Mails mit gefälschten Rechnungen, die Google und Facebook bezahlten. Allerdings konnten die Unternehmen später 49,7 Millionen Dollar des gestohlenen Betrags zurückerhalten.
- Ein weiteres Beispiel für eine Spear-Phishing-Attacke: Pathe, Frankreichs führender Kinokonzern, verlor 19,2 Millionen Euro durch einen CEO-Betrug, als der Angreifer mehrere E-Mails verschickte, in denen er sich als CEO Marc Lacan ausgab und das niederländische Büro aufforderte, den Betrag in vier Ranches an Towering Stars General Trading LLC in Dubai zu überweisen.
#8. Erfolgsquote
Die Erfolgsquote von Phishing-Angriffen variiert zwar stark, ist aber vergleichsweise niedriger als bei Spear-Phishing-Angriffen, da sie allgemeiner und weniger zielgerichtet sind.
Außerdem hängt die Erfolgsquote eines Phishing-Angriffs in erster Linie von der Qualität und den Täuschungsmanövern in den Nachrichten, dem Bewusstsein des Opfers für Cybersicherheit und der Fähigkeit ab, eine gefälschte Nachricht zu erkennen.
Andererseits haben Spear-Phishing-Angriffe eine höhere Erfolgsquote, weil sie überzeugend und personalisiert sind. Die E-Mail-Empfänger sind eher geneigt, den gefälschten E-Mails zu vertrauen und auf Spear-Phishing-Versuche hereinzufallen, da sie glaubwürdiger erscheinen und relevante und spezifische Informationen enthalten.
Wie Sie sich vor Phishing und Spear Phishing schützen können
Die Gefahren und potenziellen Auswirkungen von Phishing- und Spear-Phishing-Angriffen sind größer, realer Natur und sehr komplex und kosten Unternehmen Millionen von Dollar.
Daher ist es unerlässlich, wichtige Präventivmaßnahmen zu ergreifen, um die Risiken dieser Phishing-Angriffe zu stoppen oder zumindest zu begrenzen. Im Folgenden finden Sie einige Möglichkeiten, wie Sie sich und Ihr Unternehmen davor schützen können, Opfer von ausgeklügelten Phishing- und Spear-Phishing-Angriffen zu werden.
- Verschlüsseln Sie die vertraulichen Daten und Informationen auf Ihrem Computer und Ihren mobilen Geräten durch Datenverschlüsselung, um sicherzustellen, dass Angreifer ohne das richtige Passwort nicht auf diese Daten zugreifen können.
- Gefälschte Phishing-E-Mails sind die Hauptmethode für Angreifer, um Anmeldedaten zu stehlen. Daher sollten Sie Ihre E-Mail-Adresse durch Methoden wie die Konfiguration von SPF, DMARC und DKIM authentifizieren.
- Verwenden Sie die Multi-Faktor-Authentifizierung (MFA), um den Zugang zu Ihren vertraulichen Geschäftskonten zu schützen, selbst wenn Ihre Anmeldedaten oder Passwörter kompromittiert werden. MFA macht es für Angreifer noch schwieriger, sich in Ihre Konten einzuhacken.
- Installieren Sie die neuesten Sicherheits-Patches, Malware-Schutz sowie Antiviren- und Antispam-Software, um Ihre gesamte interne Software, Anwendungen, Betriebssysteme und Netzwerk-Tools auf dem neuesten Stand und sicher zu halten.
- Klären Sie Ihre Mitarbeiter über die negativen Auswirkungen und Folgen von Phishing-Angriffen, die Erkennungsmechanismen und die Vorbeugung von Phishing-Angriffen auf und fördern Sie die Einhaltung der besten Praktiken, um die Risiken zu begrenzen.
- Führen Sie regelmäßig Cybersecurity-Schulungen und Phishing-Simulationen durch, um Ihre Mitarbeiter über die neuesten Cybersecurity-Trends und Bedrohungen zu informieren und ihre Fähigkeit zu testen, betrügerische und bösartige E-Mails zu erkennen und zu melden.
Die Schaffung einer auf Cybersicherheit ausgerichteten Unternehmenskultur und die Einbeziehung der besten Verfahren und Praktiken können also erheblich dazu beitragen, die potenziellen Auswirkungen von Phishing- und Spear-Phishing-Angriffen zu verringern.
Letzte Worte
Sowohl Phishing- als auch Spear-Phishing-Angriffe sind unvermeidliche und harte Realitäten der heutigen digitalen Welt. Cyberkriminelle setzen heute ausgeklügelte Taktiken ein, um Einzelpersonen und Unternehmen zu kompromittieren, was zu massiven finanziellen und rufschädigenden Schäden führt.
Beide Angriffe können zwar die Glaubwürdigkeit eines Unternehmens schädigen, aber sie können verhindert werden, indem Sie sich über die neuesten Cybersecurity-Trends informieren und die besten Sicherheitspraktiken anwenden – und das beginnt damit, dass Sie die Angriffe selbst verstehen und studieren.
Dieser Artikel hilft Ihnen, den Unterschied zwischen Phishing und Speer-Phishing zu verstehen und zu erkennen, wie sie sich in Bezug auf ihr Hauptziel, ihr Ziel, ihre Auswirkungen, ihre Erfolgsquote, ihre Taktiken, ihre Angriffsvektoren und ihre Präventionsmethoden unterscheiden.
Befolgen Sie also die oben genannten bewährten Sicherheitspraktiken, um zu verhindern, dass Sie und Ihr Unternehmen Opfer von bösartigen Phishing- und Spear-Phishing-Kampagnen werden.