Spear Phishing

Der Unterschied zwischen Phishing und Spear-Phishing?

Adrien Gendre

21. September 2018

3 min

Wie viele Personen können Phishing- oder Spear-Phishing-E-Mails wirklich erkennen oder gar die verschiedenen Nuancen erkennen? Beide Bedrohungen sind sich ähnlich, unterscheiden sich jedoch auch ausreichend, um zwei voneinander abgegrenzte Angriffsmodi darzustellen. Wie wir es immer wieder gerne sagen: Eine intensive Sensibilisierung ist der Schlüssel zur Wachsamkeit im Cybersicherheitsbereich.

Was ist Phishing?

Lassen Sie uns mit der merkwürdigen Schreibweise beginnen. „Phishing“ wurde von den Bewunderern der „Phone Phreaks“ geprägt, der berüchtigten ersten Hacker-Generation, die in den 60er und 70er Jahren am Ruder war. Die Phone Phreaks begründeten eine lange Tradition der Cyber-Kriegsführung mit einer lächerlich einfachen Technik: Sie bliesen mit einer Spielzeugpfeife, die den Cap‘n Crunch-Frühstücksflocken beigelegt war, in ein Telefon, um einen Hertz-Ton zu simulieren und die Schaltkreise der Telefongesellschaften zu überlisten. Damit gelang es ihnen, eine kostenlosen Telefonanruf zu ergattern. So lächerlich uns das heute auch vorkommen mag, zur damaligen Zeit war das eine Hacking-Innovation, die eine Schwachstelle der Vermittlungsstellen auf Grundlage von In-Band-Signalisierung ausnutzte und eine ganze Generation aus Phone Phreaks inspirierte.

Phishing ist eine Hackermethode, die das digitale Pendant zum Auswerfen eines Netzes darstellt. Phishing bedeutet insbesondere das Versenden von E-Mails, die einen Benutzer dazu verleiten sollen, auf eine URL zu klicken, die zu einem Web-Formular oder einer Startseite führt, die eine bekannte Marke wie Microsoft spooft, also nachahmt. Das Web-Formular ist so konzipiert, dass es persönliche Informationen wie Zugangsdaten sammelt. Üblicherweise sind in Phishing-E-Mails Aussagen wie „Ihr Konto ist gesperrt“, „Bitte aktualisieren Sie Ihr Kennwort“ oder „Bitte aktualisieren Sie Ihre Kontodaten“ zu finden.

In manchen Fällen sind die gefälschten Web-Formulare fast unmöglich von den echten zu unterscheiden. Die URLs selbst können jedoch Hinweise dazu enthalten, was unter der Oberfläche lauert. Eine Phishing-URL, die angeblich von der Bank of America stammt, könnte Sie zum Beispiel auf eine Seite mit dem Domainnamen „www.bankofamericaincu.co“ führen (der tatsächliche Domainname der Bank lautet www.bofa.com). Dort geben Sie eventuell Ihre Anmeldedaten, Sozialversicherungsnummer oder andere persönliche Informationen an die Kriminellen weiter, die die Seite eingerichtet haben.

Phishing wird auch häufig eingesetzt, um Anmeldedaten für Cloud-Anwendungen zu stehlen, wie zum Beispiel für Office 365. Ein Phisher versendet eine E-Mail, die den Benutzer dazu auffordert, sich in seinem Office 365-Konto anzumelden, um Zugriff auf die Plattform zu erhalten, um eine geteilte Datei herunterzuladen oder um seine Kontodaten zu aktualisieren. Der Benutzer klickt auf eine URL, die ihn zu einer gefälschten Microsoft-Website führt, wo die Zugangsdaten gesammelt werden, ähnlich wie beim Bank of America-Beispiel weiter oben.

[Related] Schulung zur Phishing-Sensibilisierung: 8 Dinge, die Ihre Mitarbeiter verstehen sollten

Was ist Spear-Phishing?

Beim generischen Phishing wird eine große Menge an E-Mails versendet und ein größeres Netz ausgeworfen. Bei Phishing-Kampagnen werden nicht einzelne Opfer angegangen; der Angriff gilt Hunderten, manchmal sogar Tausenden von Empfängern. Spear-Phishing hingegen ist enorm zielgerichtet und wendet sich an eine einzelne Person. Hacker geben dabei vor, Sie zu kennen. Es ist persönlich.

Ein Spear-Phishing-Angreifer ist auf etwas Bestimmtes aus. Business Email Compromise ist eine häufige Masche, bei der ein Cyberkrimineller vorgibt, ein leitender Angestellter zu sein, der die Vollmacht hat, Überweisungen (an betrügerische Unternehmen), Überweisungsänderungen oder W2-Informationen anzufordern. Um überzeugend Kontakt mit Ihnen herzustellen, bedient sich der Angreifer eventuell Social Engineering-Techniken und gibt sich als jemand aus, den Sie kennen, wie zum Beispiel als Kollege oder Geschäftsfreund. Dem Angreifer gelingt das, indem er Sie im Internet und in den sozialen Medien auskundschaftet oder indem er anhand von Datenschutzverletzungen über Peer-to-Peer-Protokolle (P2P), wie zum Beispiel BitTorrent, Informationen über Sie sammelt.

Denken Sie einmal über das folgende Spear-Phishing-Szenario nach: Sie sind Bob und arbeiten für Joe Smith, den CEO Ihres Unternehmens. Ein Spear-Phisher sieht Sie auf LinkedIn und bemerkt, dass Sie mit Joe befreundet sind. Er folgt Ihnen auf Facebook, erfährt, welche Ihre Lieblingsmannschaft ist und liest von einem Projekt, an dem Sie im Büro arbeiten.

Der Angreifer erstellt nun ein E-Mail-Konto unter dem Namen joesmith21@gmail.com. Während der echte Joe in Urlaub ist — Informationen, die sich der Phisher auf Facebook geholt hat — sendet Ihnen der falsche Joe eine E-Mail mit dem Inhalt „Äh, Bob, ich bin in Urlaub, aber du musst $ 100.000 an einen Auftragnehmer in China für unser Projekt überweisen. Bitte kümmere dich sofort darum. Hier sind die Überweisungsdaten.“

Wenn Sie nicht sehr wachsam sind, könnte es passieren, dass Sie das Geld tatsächlich überweisen. Das ist eine Art von Business Email Compromise, und es kommt öfter vor, als man es annehmen würde. Selbst Personen, die speziell geschult wurden, um genau das nicht zu tun, werden nervös, wenn der „Chef“ sie zu etwas drängt. Es ist schließlich Joe, nicht irgendein Fremder... denken Sie zumindest.

[Webinar] Anatomie eines Spear-Phishing-Angriffs

Warum ist es so wichtig, Phishing und Spear-Phishing zu kennen?

Spear-Phishing-Angriffe sind der Kern vieler besonders schwerwiegender und kostspieliger Datenschutzverletzungen. 2018 kosteten dem Internet Crime Report des FBIs von 2018 zufolge Business Email Compromise-Betrügereien US-Unternehmen $ 1,2 Milliarden, während Phishing US-Opfer mehr als $ 48 Millionen kostete.

E-Mailfilter können Phishing-E-Mails mit bekannten Phishing-URLs, die in großen Mengen eingehen, stoppen. Wenn eine E-Mail einen Anhang mit einer bekannten Signatur enthält, kann ein traditioneller E-Mailfilter auch das abfangen. Wenn eine Phishing-E-Mail jedoch eine unbekannte Bedrohung ist oder wenn Sie eine persönliche E-Mail von Bob erhalten, die weder URL noch Anhang enthält, wird sie unweigerlich durch die meisten Filter durchrutschen.

Phishing, und insbesondere Spear-Phishing, enthalten also einen gefährlichen, aber extrem wirksamen Angriffsvektor. Dennoch ist es möglich, sich zu verteidigen. Die Sensibilisierung der Endbenutzer sowie Schulungen können zum Beispiel dabei helfen, dass die Benutzer Phishing- oder Spear-Phishing-E-Mails erkennen. Lösungen wie Vade Secure nutzen darüber hinaus künstliche Intelligenz, unter anderem mit maschinellem Lernen, um bösartige E-Mails, URLs und Anhänge sowie Versuche, die Identität von Kollegen und Geschäftsfreunden zu spoofen, zu erkennen.

 

WHITE PAPER: Spear-Phishing:
Zielgerichtete Angriffe auf Ihr Geschäft

HERUNTERLADEN