Phishing vs. Spear Phishing: Was ist der Unterschied?

Inzwischen sind die meisten Unternehmen und sogar normale Benutzer mit Phishing vertraut. Viele haben diese E-Mail-Nachrichten erhalten, in denen behauptet wird, einen Preis zu gewinnen, oder in denen vor einer bevorstehenden Kontosperrung gewarnt wird, und sie dann aufgefordert werden, auf einen Link zu klicken oder eine Datei herunterzuladen. Beim Standard-Phishing-Betrug werden in der Regel Tausende von E-Mails verschickt, um Benutzer dazu zu bringen, Geld zu überweisen, persönliche Daten preiszugeben oder unwissentlich Malware auf das Netzwerk ihres Unternehmens herunterzuladen.

Spear-Phishing, auch bekannt als Business-E-Mail-Compromise (BEC), ist ein speziellerer Angriff, der persönliche Informationen aus Online-Quellen wie sozialen Medien und Caches mit gestohlenen Identitäten, die im Dark Web verkauft werden, nutzt. Spear-Phishing-Angriffe unterscheiden sich von Standard-Phishing-Angriffen durch die Verwendung von E-Mails, die sich als ein Kollege oder Kunde ausgeben, manchmal mit einer vertraut wirkenden Adresse oder Website.

"Whaling", auch bekannt als CEO- oder CFO-Betrug, ist eine noch speziellere Form des Spear-Phishing, bei der E-Mails verwendet werden, die vorgeben, von hochrangigen Unternehmensvertretern oder anderen "großen Fischen" zu stammen. Diese können nach sensiblen Daten fragen oder die Zahlung einer gefälschten Rechnung oder eine Überweisung auf ein von Cyberkriminellen kontrolliertes Konto verlangen.

Den Unterschied zwischen Phishing und Speer-Phishing verstehen

Während die meisten Phishing-Mails ein weites Netz auswerfen und auf ein paar unglückliche Abnehmer hoffen, ist Spear-Phishing, wie der Name schon sagt, ein gezielteres Verbrechen. Phishing-E-Mails lassen sich oft leicht erkennen, indem man die E-Mail-Adresse des Absenders überprüft; eine zufällige Aneinanderreihung von Buchstaben und Zahlen ist ein sicheres Zeichen.

Nicht so beim Spear-Phishing, bei dem Social Engineering für BEC eingesetzt wird. Diese Angriffe beruhen auf der Fälschung echter E-Mail-Adressen oder der Übernahme ungenutzter E-Mail-Konten legitimer Benutzer - einschließlich E-Mails ehemaliger Mitarbeiter, die nicht deaktiviert wurden -, um sich als Kunden, Kollegen oder Lieferanten auszugeben.

Spear-Phishing- und BEC-Fälle können sehr kostspielig sein. Einige Angreifer stehlen auf diese Weise Zugangsdaten für das Netzwerk und schleusen dann Malware und ransomware in das Netzwerk des Unternehmens ein. In anderen Fällen können Angreifer E-Mails von Lieferanten abfangen, um Informationen über die Kreditorenbuchhaltung zu erhalten und Zahlungen auf ihre eigenen Konten umzuleiten. Sie können die Adressen von Topmanagern fälschen, um betrügerische E-Mails zu versenden. Oder sie verwenden kompromittierte Anmeldedaten, um E-Mail-Konten von Unternehmen zu kapern.

Während es sich beim Standard-Phishing um ein Massengeschäft handelt, ist Spear-Phishing eine große Sache: Cyberkriminelle nutzen es als Taktik, um große Summen zu stehlen oder Ransomware-Angriffe durchzuführen. Es ist kein Zufall, dass einige der schädlichsten Cyberangriffe auf Spear-Phishing-Angriffe zurückzuführen sind.

Phishing und Spear Phishing: Eine größere Bedrohung als je zuvor

Phishing ist für Unternehmen zu einem alltäglichen Phänomen geworden. In der Umfrage von Mimecast State of Email Security 2022 gaben 96 % der Befragten an, im vergangenen Jahr Ziel von Phishing-Angriffen mit bösartigen Links oder Anhängen gewesen zu sein. Nicht weit dahinter liegt Spear-Phishing: 92 % der Umfrageteilnehmer berichten von BEC- und Imitationsversuchen.

BEC ist die kostspieligste Cyberkriminalität in den USA. Wie das FBI kürzlich mitteilte, wurden von Mitte 2016 bis Ende 2021 mehr als 43 Milliarden Dollar durch BEC-Betrug verloren, was nur einen Eindruck von dem Problem vermittelt, da nicht alle erfolgreichen Angriffe gemeldet werden.[1] Laut How to Reduce the Risk of Phishing and Ransomware , einem von Mimecast in Auftrag gegebenen Bericht von Osterman Research, berichtet fast die Hälfte der befragten Unternehmen, dass Phishing-E-Mails Malware-Infektionen verursacht und ihre Konten kompromittiert haben. Die Umfrage ergab, dass 53 % der Unternehmen von einem BEC-Angriff betroffen waren, bei dem mindestens ein Mitarbeiter der unteren Ebene ausgetrickst wurde, und 28 % von einem BEC-Angriff, bei dem ein leitender Angestellter ausgetrickst wurde.

Die Umstellung auf Telearbeit während der COVID-19-Pandemie bot eine hervorragende Gelegenheit für Cyberkriminelle, die den Notfall in vielen ihrer Nachrichten als Köder benutzten und Sicherheitslücken bei Mitarbeitern, die von zu Hause aus arbeiten, ausnutzten. Im Jahr 2021 stellte das Mimecast Threat Center fest, dass Mitarbeiter weltweit dreimal häufiger auf bösartige URLs in E-Mails klicken als vor der Pandemie.

Wie Sie Ihr Unternehmen vor Phishing- und Spear-Phishing-Angriffen schützen können

Um Phishing und Spear-Phishing zu stoppen, ist ein vielschichtiger Ansatz erforderlich, der von allen Beteiligten im Unternehmen mitgetragen werden muss:

• Schulungen zur Sensibilisierung: Für die meisten Unternehmen bleibt dies die erste Verteidigungslinie gegen Phishing und Spear-Phishing. Im Osterman-Bericht wird die Schulung nach der Multifaktor-Authentifizierung (zur Verhinderung der Verwendung gefälschter Anmeldedaten) als wirksamste Maßnahme zur Cybersicherheit eingestuft. In Sicherheitsschulungen können Mitarbeiter lernen, wie sie Phishing-E-Mails erkennen und verdächtig aussehende Links oder Anhänge, die Malware enthalten könnten, vermeiden. So können sie lernen, Anzeichen eines Spear-Phishing-Angriffs zu erkennen und die Informations- oder Zahlungsaufforderungen zu überprüfen, bevor sie ihnen nachkommen. Die Schulung sollte alle Mitglieder der Organisation und Partner, die Zugang zum Unternehmensnetz haben, einbeziehen. In Anbetracht der zunehmenden BEC-Fälle, in die die oberste Führungsebene verwickelt ist, sollte sich auch die Führungsetage weiterbilden.
• E-Mail-Filter: Sicherheitstools können eingehende E-Mails in Echtzeit scannen und dabei Blockierlisten von E-Mail-Adressen oder Zulassungslisten von sicheren Websites verwenden, um Benutzer davon abzuhalten, auf Links zu verdächtigen Websites zu klicken. Sie können auch archivierte E-Mails durchsehen, um sich vor Malware zu schützen, die in ungeöffneten Mails und ruhenden Postfächern lauert. Einige Filter können verdächtige E-Mails in einer Sandbox isolieren, in der sie sicher gescannt werden, bevor sie zugestellt werden, und ein Anhang kann in eine sichere Datei umgewandelt werden, die jeglichen bösartigen Code neutralisiert, den er enthält. Die Tools enthalten Informationen über neue Betrugsversuche, um neue Bedrohungen abzuwehren. Einige Filter nutzen das maschinelle Lernen, um ihre automatische Erkennung von Bedrohungen zu verbessern.
• Verhaltensanalytik: Betrügereien mit falschen Namen, wie z. B. CEO-Betrug, erfordern ein ausgefeilteres Maß an E-Mail-Überprüfung als bei gewöhnlichen Phishing-Angriffen. Filter, die Verhaltensanalysen nutzen, können dabei helfen, Whaling zu stoppen, indem sie die Adressdaten und den Inhalt von Nachrichten auf Anzeichen von Social-Engineering-Techniken durchsuchen, die bei Spear-Phishing-Angriffen üblich sind, und Aktivitäten erkennen, die vom üblichen Verhalten eines Benutzers abweichen, wie z. B. E-Mails, die von einem Gerät oder einem Standort gesendet werden, der nicht mit dem Benutzer verbunden ist. Durch den Einsatz von künstlicher Intelligenz und maschinellem Lernen können sich diese Werkzeuge auch an neue Bedrohungen anpassen.

Die Quintessenz

Der Unterschied zwischen Phishing und Spear-Phishing liegt in der Anzahl der Angriffe, d. h. Phishing-Angriffe mit hohem Aufkommen und geringem Wert im Vergleich zu Spear-Phishing-Angriffen mit geringem Aufkommen und hohem Wert. Beide Bedrohungen stellen jedoch ein reales und wachsendes Sicherheitsproblem dar. Sensibilisierungsschulungen sind immer noch die erste Verteidigungslinie, um alle Formen von Phishing zu verhindern, aber die Sicherheitstechnologie entwickelt sich ständig weiter, um in Echtzeit sowohl gegen Phishing als auch gegen Spear-Phishing vorzugehen. Die wichtige Frage ist nicht Phishing oder Spear-Phishing, sondern der Schutz des Unternehmens oder das Eingehen eines Risikos. Erfahren Sie mehr über Mimecasts Abwehrmaßnahmen.

[1] "Business Email Compromise: The $43 Billion Scam," FBI