Was ist der Unterschied zwischen Spearphising, Phishing und Whaling?

Mai 11, 2022

Der wesentliche Unterschied zwischen Phishing, Spearphishing und Whaling ist der Grad der Personalisierung bei der Wahl der Opfer. Phishing ist am wenigsten personenbezogen, Whaling am stärksten und Spearphishing liegt dazwischen.

Was ist Phishing?

example of a phishing email

Beispiel für eine Phishing-E-Mail – zum Vergrößern klicken

Jeder, der ein digitales Postfach besitzt, kennt Phishing-Angriffe. Der berühmt-berüchtigte nigerianische Prinz war der erste Phishing-Angriff, der in der breiten Öffentlichkeit bekannt wurde. Seither sind die Betrugsmaschen jedoch raffinierter geworden. Eine moderne Phishing-E-Mail ist kaum noch von einer legitimen E-Mail eines bekannten Unternehmens oder einer Bank zu unterscheiden. Sie wird nur dann entlarvt, wenn ein aufmerksamer Benutzer sich die Mühe macht, die Absenderadresse genauer unter die Lupe zu nehmen, bevor er auf einen Link klickt oder einen Anhang herunterlädt.

Phishing-Angriffe setzen auf Masse. Statt nur eine Person werden sehr viele Menschen als Zielscheibe ausgewählt, in der Hoffnung, dass ein paar von ihnen auf den Betrug hereinfallen.

Die Angriffe sind nicht personalisiert. Ein wesentliches Merkmal einer Phishing-E-Mail ist, dass der Name des Empfängers nicht genannt wird. Phishing-Angriffe werden nicht nur per E-Mail, sondern auch per Textnachricht, Telefon und über Messaging-Apps gestartet.

Was ist Spearphishing?

example of a spear phishing email

Example of a spear-phishing email – click to enlarge

Während bei Phishing-Angriffen jede Zielperson willkommen ist, solange sie nur klickt, richten sich Spearphishing-Angriffe gegen Mitarbeiter in bestimmten Unternehmen oder Branchen, um Zugriff auf das eigentliche Ziel zu erhalten: das Unternehmen selbst.

Spearphishing-Angriffe sind mindestens im gleichen Maße personalisiert wie eine typische Marketingkampagne. Ein Spearphishing-Angriff kann sich zum Beispiel zunächst gegen Führungskräfte der mittleren Ebene richten, die in Finanzunternehmen in einer bestimmten geografischen Region arbeiten und deren Stellenbezeichnung mit Finanzen zu tun hat.

Im Vorfeld eines Spearphishing-Angriffs leistet der Angreifer oft intensive Recherchearbeit, die sich jedoch meistens auszahlt. Der Gewinn ist nicht immer monetärer Art. Spearphishing-Angriffe werden oft staatlich unterstützt.

Für einen Spearphishing-Angriff kann der Angreifer eine Mischung aus E-Mail-Spoofing, dynamischen URLs und Drive-by-Downloads nutzen, um Sicherheitskontrollen zu umgehen. Komplexe Spearphishing-Angriffe können Zero-Day-Schwachstellen in Browsern, Anwendungen oder Plug-ins ausnutzen. Der Spearphishing-Angriff kann eine frühe Phase einer mehrstufigen hochentwickelten hartnäckigen Bedrohung (APT) darstellen, in deren weiterem Verlauf Binärdateien heruntergeladen werden, ausgehende Malware-Kommunikation stattfindet und Daten exfiltriert werden.

EXPERTEN-TIPP

Ein typischer Köder ist eine E-Mail, die offenbar von der Personalabteilung stammt und den Mitarbeiter auffordert, sich beim HR-Portal anzumelden, um seine Kennwortdaten zu aktualisieren. Wenn der Mitarbeiter auf den in der E-Mail bereitgestellten Link klickt, gelangt er zu einer Webseite, die aussieht wie das HR-Portal, tatsächlich aber eine Fälschung ist. Sobald der Mitarbeiter sich auf der Seite anmeldet, werden seine Anmeldedaten von den Angreifern im Hintergrund abgefangen. Die Anmeldedaten werden anschließend für den Zugriff auf das Netzwerk genutzt.

Was ist Whaling?

Whaling-Angriffe richten sich gegen eine einzige, meist hochrangige Führungsperson im Unternehmen. Ziel ist der Diebstahl von Geld oder der Zugriff auf vertrauliche Informationen. Angreifer setzen einiges in Bewegung, um mehr über die Führungskraft zu erfahren. Sie verfolgen sie in den sozialen Medien oder beschaffen sich über einen Spearphishing-Angriff genügend Zugriff auf das Netzwerk, um den E-Mail-Verkehr des Opfers abzufangen.

Whaling-Angriffe dienen der Durchführung von Business Email Compromise-Angriffen (BEC), deren ultimatives Ziel Überweisungsbetrug ist. Bei einem solchen Angriff erhält eine Führungskraft mit Prokura beispielsweise eine E-Mail von einem Vorstandsmitglied mit der Aufforderung, dringend einen größeren Geldbetrag zur Erfüllung einer Zahlungsverpflichtung durchzuführen. Oft wird eine gewisse Dringlichkeit suggeriert. Aussagen wie „Ich bin am Flughafen auf dem Weg in den Urlaub, können Sie das bitte schnell erledigen?“ sind dafür typisch. Wenn der angebliche Absender tatsächlich gerade seinen Urlaub angetreten hat, wirkt die E-Mail umso plausibler für das Opfer.

WEITERE INFORMATIONEN

BEC-Betrug ist ein Milliardengeschäft. Eine einzige erfolgreiche Transaktion kann bereits Millionenverluste bedeuten. Eine Investmentfirma hat kürzlich 10 Millionen US-Dollar an BEC-Betrüger verloren, nachdem sie Angreifern Zugriff auf ihr Netzwerk gewährt hatte. US-Unternehmen haben auf diese Weise im Jahr 2018 insgesamt 1,3 Milliarden US-Dollar verloren