BRANDMAUER_IT_SECURITY_Verlauf_1920x800px_200707

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Was ist der Unterschied zwischen Phishing und Spear Phishing?

Eric Weis | 28.04.2020 12:00:00 | Lesezeit ca. 3 Minuten

Phishing und insbesondere Phishing-Mails sind geläufige Begriffe. Es gibt aber auch noch den Begriff Spear Phishing, der Phishing mit einer gewissen Besonderheit beschreibt. Spear Phishing Angriffe sind für ein bestimmtes Opfer wesentlich gefährlicher als normale Phishing Angriffe. Im folgenden Artikel wird beschrieben, was genau der Unterschied zwischen Phishing und Spear Phishing Angriffen ist und wie Sie sich gegen beide schützen können.

Phishing – Social Engineering Angriffe

Da wir auf unserem Blog bereits mehrfach Phishing thematisiert haben, hier nur eine Definition in aller Kürze: Phishing beschreibt eine Art von Social Engineering Angriffen, also Angriffen, bei denen Cyberkriminelle natürliche menschliche Eigenschaften ausnutzen, um das Verhalten von Personen in bösartiger Absicht zu beeinflussen.

Beim Phishing werden meist massenhaft gefälschte (aber oftmals täuschend echt aussehende) E-Mails versendet, die die potenziellen Opfer dazu verleiten sollen, einen mit Schadsoftware infizierten Anhang zu öffnen oder eine Webseite zu besuchen, auf der Nutzerdaten abgegriffen werden oder Malware heruntergeladen wird.

 

Was ist Spear Phishing?

Eigentlich muss man sich dazu nur analog den Unterschied zwischen echtem Fischen und Speerfischen betrachten. Beim Fischen mit einer Angel wird ein Köder ausgeworfen, den möglichst viele Fische wahrnehmen sollen, sodass ein Fisch auch tatsächlich anbeißt. Man weiß also vorher nie, welcher der vorhandenen Fische im Wasser anbeißt.

Anders beim Speerfischen. Schließlich macht man hierbei gezielt Jagd auf einen bestimmten Fisch. Man wählt also ein Beutetier aus und versucht, dieses gezielt mit dem Speer zu fangen.

Genau dieses Vorgehen, also ein gezielter Angriff auf ein bestimmtes Opfer, bezeichnet Spear Phishing. Es werden also nicht massenhaft gefälschte E-Mails wie beim normalen Phishing versendet, sondern es wird ein Opfer gezielt mit einer Spear-Phishing-Mail angegriffen. Der Vorteil für die Cyberkriminellen ist, dass eine einzelne Spear-Phishing-Mail wesentlich persönlicher und individualisierter gestaltet werden kann als eine Massen-E-Mail. Insbesondere werden beim Spear-Phishing daher auch zusätzliche Informationen über das Opfer verwendet, was diese Art des Phishing viel gefährlicher macht.

Diese Informationen können alles Mögliche sein. Schon eine einfache persönliche Anrede mit dem echten Namen, kann den Cyberkriminellen helfen, da die Mail damit automatisch vertrauenserweckender wirkt. Im Gegensatz dazu findet man in massenhaft versendeten Phishing Mails meist unpersönliche Anreden wie z.B. „Sehr geehrter Kunde“. Aber auch andere Informationen wie Namen von Vorgesetzten, inhaltlicher Bezug zu aktuellen Projekten, Informationen über das Opfer selbst oder ausgespähte Kommunikation des Opfers machen eine solche Mail extrem gefährlich. Natürlich erfordert eine Spear Phishing Attacke gewisse Vorarbeit. Allerdings sollte man sich bewusst sein, dass viele potenziell nützliche Informationen bereits öffentlich sind z.B. auf der Internetseite des Unternehmens oder in sozialen Netzwerken.

Das Problem ist, dass man leicht unvorsichtig wird, wenn man vertraute Informationen oder bekannte Namen sieht. Man denkt in dem Moment oft nicht daran, dass die Mail gefälscht sein könnte.

Das könnte Sie auch interessieren: Phishing Mails erkennen: Die 6-Punkte-Checkliste

 

Spear-Phishing – gefährlicher als Phishing?

Tatsächlich lässt sich diese Frage nicht so pauschal beantworten. Das hängt damit zusammen, dass man Gefahr nicht wirklich genau definieren und messen kann. Dennoch kann man folgende Überlegung anstellen: für genau die Person, die als Ziel einer Spear-Phishing-Mail ausgewählt wurde, ist diese Spear-Phishing-Mail natürlich wesentlich gefährlicher als eine normale Phishing-Mail. Und leider braucht es oft nur einen Mitarbeiter, der Opfer einer Spear Phishing Attacke wurde, um ein ganzes Unternehmen in Gefahr zu bringen!

 

Fazit: Wie man sich gegen Spear-Phishing schützt

Die gute Nachricht: Man kann sich sowohl gegen normale Phishing Angriffe als auch gegen Spear Phishing Angriffe mit den gleichen Methoden schützen. Und das sind nun mal Sensibilisierung von Mitarbeitern, klare Richtlinien, ständige Aufmerksamkeit und Wachsamkeit sowie eine gesunde Portion Misstrauen. Vieles kann man ähnlich wie bei normalen Phishing Mails machen: den wahren Absender überprüfen, Links prüfen, usw.

Auf jeden Fall hilft es, wenn Ihre Mitarbeiter gezielt darauf geschult werden, sowohl normale als auch Spear-Phishing-Mails zu erkennen. Das geht am besten, wenn Sie dafür sorgen, dass Ihren Mitarbeitern regelmäßig absichtlich gefälschte E-Mails geschickt werden. Direkte Rückmeldung, ob man eine Phishing Mail richtig erkannt hat oder auf sie hereingefallen ist, bietet einen nachhaltigen Lerneffekt.

Sie interessieren sich für dieses Schulungskonzept? Oder Sie fragen sich, wie sich eine kostengünstige Sensibilisierung der Anwender realisieren lässt? Unser Managed IT Security Training auf Basis von Sophos Phish Threat liefert hierfür die passende Antwort.

 

Jetzt IT-Security Blog abonnieren

Themen: Phishing

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Cyberversicherung

Schützen Sie Ihr Unternehmen im Falle einer Cyberattacke!

Cyberversicherung

Mehr erfahren
Managed IT Security Training Service

Mitarbeiter für IT-Sicherheit sensibilisieren ab 2 Euro pro User/Monat

Security Online Training

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren