Unterschied: Phishing und Spear Phishing

Phishing und insbesondere Phishing-Mails sind geläufige Begriffe. Es gibt aber auch noch den Begriff Spear Phishing, der Phishing mit einer gewissen Besonderheit beschreibt. Spear Phishing Angriffe sind für ein bestimmtes Opfer wesentlich gefährlicher als normale Phishing Angriffe. Im folgenden Artikel wird beschrieben, was genau der Unterschied zwischen Phishing und Spear Phishing Angriffen ist und wie Sie sich gegen beide schützen können.

Phishing – Social Engineering Angriffe

Da wir auf unserem Blog bereits mehrfach Phishing thematisiert haben, hier nur eine Definition in aller Kürze: Phishing beschreibt eine Art von Social Engineering Angriffen, also Angriffen, bei denen Cyberkriminelle natürliche menschliche Eigenschaften ausnutzen, um das Verhalten von Personen in bösartiger Absicht zu beeinflussen.

Beim Phishing werden meist massenhaft gefälschte (aber oftmals täuschend echt aussehende) E-Mails versendet, die die potenziellen Opfer dazu verleiten sollen, einen mit Schadsoftware infizierten Anhang zu öffnen oder eine Webseite zu besuchen, auf der Nutzerdaten abgegriffen werden oder Malware heruntergeladen wird.

Was ist Spear Phishing?

Eigentlich muss man sich dazu nur analog den Unterschied zwischen echtem Fischen und Speerfischen betrachten. Beim Fischen mit einer Angel wird ein Köder ausgeworfen, den möglichst viele Fische wahrnehmen sollen, sodass ein Fisch auch tatsächlich anbeißt. Man weiß also vorher nie, welcher der vorhandenen Fische im Wasser anbeißt.

Anders beim Speerfischen. Schließlich macht man hierbei gezielt Jagd auf einen bestimmten Fisch. Man wählt also ein Beutetier aus und versucht, dieses gezielt mit dem Speer zu fangen.

Genau dieses Vorgehen, also ein gezielter Angriff auf ein bestimmtes Opfer, bezeichnet Spear Phishing. Es werden also nicht massenhaft gefälschte E-Mails wie beim normalen Phishing versendet, sondern es wird ein Opfer gezielt mit einer Spear-Phishing-Mail angegriffen. Der Vorteil für die Cyberkriminellen ist, dass eine einzelne Spear-Phishing-Mail wesentlich persönlicher und individualisierter gestaltet werden kann als eine Massen-E-Mail. Insbesondere werden beim Spear-Phishing daher auch zusätzliche Informationen über das Opfer verwendet, was diese Art des Phishing viel gefährlicher macht.

Diese Informationen können alles Mögliche sein. Schon eine einfache persönliche Anrede mit dem echten Namen, kann den Cyberkriminellen helfen, da die Mail damit automatisch vertrauenserweckender wirkt. Im Gegensatz dazu findet man in massenhaft versendeten Phishing Mails meist unpersönliche Anreden wie z.B. „Sehr geehrter Kunde“. Aber auch andere Informationen wie Namen von Vorgesetzten, inhaltlicher Bezug zu aktuellen Projekten, Informationen über das Opfer selbst oder ausgespähte Kommunikation des Opfers machen eine solche Mail extrem gefährlich. Natürlich erfordert eine Spear Phishing Attacke gewisse Vorarbeit. Allerdings sollte man sich bewusst sein, dass viele potenziell nützliche Informationen bereits öffentlich sind z.B. auf der Internetseite des Unternehmens oder in sozialen Netzwerken.

Das Problem ist, dass man leicht unvorsichtig wird, wenn man vertraute Informationen oder bekannte Namen sieht. Man denkt in dem Moment oft nicht daran, dass die Mail gefälscht sein könnte.

Das könnte Sie auch interessieren: Phishing Mails erkennen: Die 6-Punkte-Checkliste

Spear-Phishing – gefährlicher als Phishing?

Tatsächlich lässt sich diese Frage nicht so pauschal beantworten. Das hängt damit zusammen, dass man Gefahr nicht wirklich genau definieren und messen kann. Dennoch kann man folgende Überlegung anstellen: für genau die Person, die als Ziel einer Spear-Phishing-Mail ausgewählt wurde, ist diese Spear-Phishing-Mail natürlich wesentlich gefährlicher als eine normale Phishing-Mail. Und leider braucht es oft nur einen Mitarbeiter, der Opfer einer Spear Phishing Attacke wurde, um ein ganzes Unternehmen in Gefahr zu bringen!

Fazit: Wie man sich gegen Spear-Phishing schützt

Die gute Nachricht: Man kann sich sowohl gegen normale Phishing Angriffe als auch gegen Spear Phishing Angriffe mit den gleichen Methoden schützen. Und das sind nun mal Sensibilisierung von Mitarbeitern, klare Richtlinien, ständige Aufmerksamkeit und Wachsamkeit sowie eine gesunde Portion Misstrauen. Vieles kann man ähnlich wie bei normalen Phishing Mails machen: den wahren Absender überprüfen, Links prüfen, usw.

Auf jeden Fall hilft es, wenn Ihre Mitarbeiter gezielt darauf geschult werden, sowohl normale als auch Spear-Phishing-Mails zu erkennen. Das geht am besten, wenn Sie dafür sorgen, dass Ihren Mitarbeitern regelmäßig absichtlich gefälschte E-Mails geschickt werden. Direkte Rückmeldung, ob man eine Phishing Mail richtig erkannt hat oder auf sie hereingefallen ist, bietet einen nachhaltigen Lerneffekt.

Sie interessieren sich für dieses Schulungskonzept? Oder Sie fragen sich, wie sich eine kostengünstige Sensibilisierung der Anwender realisieren lässt? Unser Managed IT Security Training auf Basis von Sophos Phish Threat liefert hierfür die passende Antwort.