Zum Hauptinhalt springen

Was ist Spear-Phishing? Definition und Risiken

Ein Mann erhält eine Spear-Phishing-E-Mail auf seinem Laptop.

Phishing-Angriffe sind eine ständige Bedrohung in einer hochgradig digitalen Welt, die sowohl für Einzelpersonen als auch für Unternehmen ein ständiges Problem darstellt. Spear-Phishing-Angriffe sind eine besonders besorgniserregende Untergruppe dieser Art von Cyberkriminalität. Aber was genau ist Spear-Phishing und kann man diese Angriffe verhindern?

Spear-Phishing: Eine Definition

Während Phishing ein allgemeiner Begriff für Cyberangriffe ist, die per E-Mail, SMS oder Telefonanrufe durchgeführt werden, fragen sich manche vielleicht, wie gezielte Phishing-Angriffe genannt werden. Die Antwort lautet Spear-Phishing. Vereinfacht ausgedrückt handelt es sich dabei um hochgradig personalisierte Cyberangriffe, die auf bestimmte Personen oder Unternehmen abzielen. In der Regel werden diese Angriffe über Spear-Phishing-E-Mails durchgeführt, die dem Empfänger legitim erscheinen und ihn dazu verleiten, dem Angreifer sensible Daten mitzuteilen. Obwohl das Ziel von Spear-Phishing-Angriffen in der Regel darin besteht, Informationen wie Anmeldedaten oder Kreditkarteninformationen zu stehlen, werden einige Angriffe auch dazu verwendet, Geräte mit Malware zu infizieren. Oft sind von der Regierung gesponserte Hacker und Hacktivisten die Urheber von Spear-Phishing-Betrügereien. Einzelne Cyberkriminelle führen diese Angriffe jedoch auch mit der Absicht durch, Identitätsdiebstahl oder Finanzbetrug zu begehen, Aktienkurse zu manipulieren, Spionage zu betreiben oder vertrauliche Daten zu stehlen, um sie an Regierungen, Privatunternehmen oder andere interessierte Personen weiterzuverkaufen.

Spear-Phishing-Betrügereien sind deshalb so erfolgreich — mehr noch als normale Phishing-Angriffe —, weil die Angreifer umfangreiche Nachforschungen über ihre Zielpersonen anstellen. Anhand der gefundenen Informationen können sie mit Hilfe von Social-Engineering-Techniken außergewöhnlich maßgeschneiderte Angriffe erstellen, die dem Ziel vorgaukeln, dass es legitime E-Mails und Anfragen erhält. Infolgedessen können selbst hochrangige Zielpersonen in Unternehmen, wie z. B. Führungskräfte, E-Mails öffnen, die sie für sicher hielten. Diese Art von unbeabsichtigten Fehlern ermöglicht es Cyberkriminellen, die Daten zu stehlen, die sie für einen Angriff auf das Zielnetzwerk benötigen.

Wie funktionieren Spear-Phishing-Angriffe?

Es gibt im Wesentlichen fünf Schritte für einen erfolgreichen Spear-Phishing-Betrug. Sie lauten:

  1. Festlegung der Ziele des Angriffs
  2. Auswahl der Zielperson(en) durch Voruntersuchungen
  3. Festlegung einer Auswahlliste von Zielpersonen und gründliche Recherche über sie
  4. Erstellung der Spear-Phishing-E-Mail unter Verwendung der gesammelten Informationen und Social-Engineering-Techniken.

Diese gezielten Angriffe funktionieren, weil Spear-Phishing-E-Mails ein Gefühl der Vertrautheit mit dem Leben des Empfängers erzeugen. Die Angreifer verwenden viel Zeit und Mühe darauf, möglichst viele Details über die Arbeit, das Leben, die Freunde und die Familie der Empfänger herauszufinden. Durch das Durchsuchen des Internets und der Social-Media-Profile auf Plattformen wie Facebook und LinkedIn können Phisher Informationen wie E-Mail-Adressen und Telefonnummern, ein Netzwerk von Freunden, Familienangehörigen und Geschäftskontakten, häufig besuchte Orte sowie Dinge wie das Unternehmen, in dem die Person arbeitet, und ihre Position, wo sie online einkauft, welche Bankdienste sie nutzt und vieles mehr finden. Mithilfe all dieser Informationen können Angreifer umfassende Profile ihrer potenziellen Ziele erstellen und mit Hilfe von Social-Engineering-Techniken Spear-Phishing-E-Mails verfassen, die personalisiert sind und legitim erscheinen, weil sie von Personen oder Unternehmen stammen, mit denen sie regelmäßig zu tun haben, und Informationen enthalten, die authentisch sein könnten.

Die E-Mail fordert den Empfänger in der Regel auf, sofort mit bestimmten Angaben zu antworten, oder enthält einen Link, über den er diese Angaben auf einer Website eingeben muss, die legitime Websites nachahmt. So kann der Link in der E-Mail beispielsweise zu einer gefälschten Website ihrer Bank oder ihrer bevorzugten E-Commerce-Website führen, auf der sie sich bei ihrem Konto anmelden müssen. An diesem Punkt kann der Angreifer die Anmeldedaten und Passwörter für seine eigenen bösartigen Zwecke stehlen. Manchmal enthält die E-Mail jedoch einen Anhang oder Link, der, wenn der Empfänger ihn herunterlädt oder anklickt, Malware auf seinem Gerät installiert. Der Angreifer kann dies dann nutzen, um die benötigten Informationen zu stehlen oder Computer zu kapern, um sie in riesigen Netzwerken — so genannten Botnets — zu organisieren, die für Denial-of-Service-Angriffe (DoS) genutzt werden können.

Es ist jedoch wichtig, daran zu denken, dass nicht jeder Internetnutzer oder jedes Social-Media-Profil ein gutes Ziel für Spear-Phishing ist. Da es mehr Aufwand erfordert als herkömmliches Phishing, suchen Cyberkriminelle oft nach hochwertigen Zielen. Oftmals nutzen Angreifer automatisierte Algorithmen, um das Internet und soziale Medien nach bestimmten Informationen — wie Passwörtern oder PINs — zu durchsuchen und hochrangige Personen zu identifizieren, die ein größeres Potenzial für erfolgreiche Spear-Phishing-Angriffe haben.

Diese Betrügereien sind inzwischen so ausgeklügelt, dass es für den Durchschnittsbürger fast unmöglich geworden ist, sie zu durchschauen. Aus diesem Grund gibt es zwar keine vollkommen sicheren Spear-Phishing-Sicherheitsmaßnahmen, aber wenn man versteht, wie diese Angriffe funktionieren und auf welche Anzeichen man achten sollte, kann man sie vermeiden.

Kaspersky Premium, weitere Informationen

Erkennen von Spear-Phishing-Betrug

Einer der Schlüssel zur Verhinderung von Spear-Phishing liegt darin, die verschiedenen Techniken zu verstehen, die Phisher einsetzen, um den Erfolg ihrer Angriffe sicherzustellen. Auf diese Weise können sich Einzelpersonen und Unternehmensmitarbeiter vor Spear-Phishing-Betrug schützen. Wenn Sie eine E-Mail erhalten, die eines der unten aufgeführten Warnsignale aufweist, ist es wichtig, die E-Mail mit Vorsicht zu behandeln.

  • Die E-Mail ist so gestaltet, dass sie ein Gefühl der Dringlichkeit oder Panik hervorruft — die E-Mail kann vorgeben, von einem Unternehmensleiter zu stammen, und dringend Anmeldedaten verlangen, um eine zeitkritische Aktion durchzuführen.
  • Die Sprache soll Emotionen — wie Angst oder Schuldgefühle — auslösen, die den Empfänger zum Handeln veranlassen.
  • Die E-Mail-Adresse sieht falsch aus — vielleicht ist die Domäne nicht korrekt oder das Namensformat ist ungewöhnlich.
  • Offensichtliche Rechtschreib- und Grammatikfehler, insbesondere in E-Mails von großen Organisationen wie Banken.
  • Erfragung nach sensiblen Informationen und persönlichen Daten.
  • Links, die falsch geschrieben oder nicht korrekt formatiert sind, stimmen nicht mit der Zieladresse überein, wenn der Mauszeiger über den Link bewegt wird.
  • Unerwünschte Anhänge, insbesondere solche mit ungewöhnlichen Dateinamen.
  • Verwendung von Vorwänden, wie z. B. die Behauptung, dass Ihre Anmeldedaten bald ablaufen und Sie sie sofort über den Link in der E-Mail ändern müssen.

Was ist der Unterschied zwischen Spear-Phishing und Phishing?

Obwohl es sich bei beiden um Cyberangriffe handelt, kann es wichtig sein zu verstehen, wie sich Spear-Phishing-Angriffe von Phishing-Angriffen unterscheiden. Beide werden von Cyberkriminellen genutzt, um Benutzer zur Weitergabe sensibler persönlicher Daten zu verleiten. Im Wesentlichen handelt es sich bei den ersten jedoch um gezielte Angriffe, die auf das beabsichtigte Ziel zugeschnitten sind, während die zweiten breit angelegte Angriffe sind, die darauf abzielen, die Benutzer zur Weitergabe sensibler Daten zu verleiten.

Bei Phishing-Angriffen handelt es sich in der Regel um generische E-Mails, die den Empfänger dazu bringen sollen, personenbezogene Daten wie Passwörter und Kreditkartendaten preiszugeben. Der Phisher nutzt diese Informationen dann für böswillige Zwecke, wie Identitätsdiebstahl oder Finanzbetrug. Entscheidend ist, dass Phishing-Angriffe in keiner Weise auf den Empfänger zugeschnitten sind. Die Cyberkriminellen versuchen im Wesentlichen ihr Glück und setzen auf Quantität (Versendung vieler Phishing-E-Mails) statt auf Qualität (Erstellung von Phishing-E-Mails mit ausgefeilteren Techniken, die eine höhere Erfolgschance haben könnten). In der Regel geben sich diese E-Mails als große Unternehmen wie Banken oder E-Commerce-Shops aus und enthalten schädliche Links, die die Empfänger dazu verleiten, ihre Daten weiterzugeben oder Malware auf ihren Geräten zu installieren.

Im Gegensatz dazu sind Spear-Phishing-Betrügereien sehr zielgerichtete Angriffe, die sehr persönlich auf das beabsichtigte Opfer zugeschnitten sind. Da sie Details enthalten, die sich auf den jeweiligen Empfänger beziehen, erscheinen Spear-Phishing-E-Mails legitimer — zumal sie oft von Personen oder Organisationen stammen, die dem Empfänger bekannt sind. Cyberkriminelle müssen daher deutlich mehr Zeit und Mühe in Spear-Phishing-Angriffe investieren — und haben damit eine höhere Erfolgswahrscheinlichkeit.

Für diejenigen, die sich fragen, wie gezielte Phishing-Angriffe genannt werden, gibt es neben Spear-Phishing zwei spezifische Untergruppen: Whaling und Business Email Compromise (BEC).

Whaling-Angriffe sind eine dritte Art von Angriffen, die viele Ähnlichkeiten mit Phishing- und Spear-Phishing-Betrug aufweisen. Whaling zielt speziell auf hochrangige Personen wie Führungskräfte, Vorstandsmitglieder, Prominente und Politiker ab. Diese Angriffe nutzen auch stark personalisierte E-Mails, um zu versuchen, finanzielle, sensible oder anderweitig vertrauliche Informationen von Unternehmen oder Organisationen zu stehlen, und können der betroffenen Institution erheblichen finanziellen oder rufschädigenden Schaden zufügen.

Bei der letzten Art von Phishing-Angriffen, den BECs, geben sich Unternehmensmitarbeiter als solche aus, um Unternehmen finanziell zu betrügen. In manchen Fällen gibt die E-Mail vor, von einem leitenden Angestellten zu stammen, und bringt einen untergeordneten Mitarbeiter dazu, eine betrügerische Rechnung zu bezahlen oder Geld an den „Angestellten“ zu überweisen. BECs können auch die Form einer E-Mail-Kompromittierung annehmen, bei der der Angreifer die E-Mail eines Mitarbeiters missbraucht, um Lieferanten dazu zu bringen, gefälschte Rechnungen zu bezahlen oder andere Mitarbeiter dazu zu bringen, Geld oder vertrauliche Informationen zu überweisen.

Wie kann man Spear-Phishing verhindern?

Herkömmliche Spear-Phishing-Cybersecurity reicht oft nicht aus, um diese Angriffe zu verhindern, da sie außergewöhnlich gut ausgeführt sind. Dadurch wird es immer schwieriger, sie zu entdecken. Ein einfacher Fehler kann schwerwiegende Folgen für das Ziel haben, egal ob es sich um eine Privatperson, eine Regierung, ein Unternehmen oder eine gemeinnützige Organisation handelt. Trotz der Häufigkeit dieser Angriffe — und der Raffinesse ihrer Personalisierung — gibt es viele Maßnahmen, die Einzelpersonen oder Unternehmen zur Vorbeugung von Spear-Phishing ergreifen können. Auch wenn diese Maßnahmen die Bedrohung durch solche Angriffe nicht vollständig beseitigen können, so bieten sie doch zusätzliche Sicherheitsebenen, die das Auftreten solcher Angriffe weniger wahrscheinlich machen. Im Folgenden finden Sie einige Expertentipps zur Vorbeugung von Spear-Phishing.

  1. Überprüfen Sie regelmäßig verdächtige E-Mails, z. B. solche, die eine Passwortänderung verlangen oder verdächtige Links enthalten.
  2. Verwenden Sie ein virtuelles privates Netzwerk (VPN), um alle Online-Aktivitäten zu schützen und zu verschlüsseln.
  3. Verwenden Sie eine Antiviren-Software, um alle E-Mails auf potenziell schädliche E-Mail-Anhänge, Links oder Downloads zu überprüfen.
  4. Lernen Sie, den Wahrheitsgehalt einer E-Mail-Quelle zu überprüfen.
  5. Erfahren Sie, wie Sie URLs und Websites überprüfen können, um das Öffnen schädlicher Links zu vermeiden.
  6. Anstatt auf Links in einer E-Mail zu klicken, gehen Sie selbständig auf die Website der Organisation und suchen nach der gewünschten Seite.
  7. Vergewissern Sie sich, dass die gesamte Software auf dem neuesten Stand ist und die neuesten Sicherheits-Patches installiert sind.
  8. Hüten Sie sich davor, zu viele persönliche Daten online preiszugeben — überprüfen Sie gegebenenfalls die Profile in sozialen Medien und löschen Sie alles, was von Phishern verwendet werden könnte, und stellen Sie sicher, dass die Datenschutzeinstellungen auf die höchste Stufe eingestellt sind.
  9. Verwenden Sie einen Passwort-Manager und setzen Sie intelligente Passwortgewohnheiten ein, einschließlich der Erstellung komplexer Passwörter für verschiedene Konten und deren regelmäßige Änderung.
  10. Wenn möglich, aktivieren Sie eine Multi-Faktor- oder eine Biometrische Authentifizierung.
  11. Wenn Sie Zweifel an der Quelle einer E-Mail haben, wenden Sie sich an die Person oder Organisation, um zu überprüfen, ob sie die E-Mail gesendet und die gewünschten Informationen angefordert hat.
  12. Unternehmen können Schulungen zum Sicherheitsbewusstsein durchführen, um sicherzustellen, dass die Mitarbeiter die Risiken dieser Angriffe kennen und wissen, wie sie diese abmildern können.
  13. Unternehmen können regelmäßig Phishing-Simulationen durchführen, um Mitarbeiter darin zu schulen, wie sie verdächtige E-Mails erkennen und damit umgehen können.

Spear-Phishing-Angriffe sind nicht unvermeidlich

Die meisten Internetnutzer haben ein grundlegendes Verständnis von Phishing, aber es ist wichtig zu verstehen, was der Unterschied zwischen Spear-Phishing und Standard-Phishing ist. Da Spear-Phishing-E-Mails Social-Engineering-Techniken verwenden, die umfangreiche Nachforschungen erfordern, sind diese Angriffe in hohem Maße auf ihre Zielpersonen zugeschnitten und haben daher eine weitaus höhere Erfolgswahrscheinlichkeit als der Standard-Phishing-Angriff. Auch wenn diese Angriffe immer ein Risiko darstellen werden, kann man versuchen, sie zu entschärfen. Wenn Sie wissen, auf welche Warnzeichen Sie in verdächtigen E-Mails achten müssen, wenn Sie regelmäßig VPNs und Antivirensoftware verwenden und wenn Sie sich vor verdächtigen Links und Anhängen in Acht nehmen, können Sie Spear-Phishing-Angriffen vorbeugen.

Holen Sie sich Kaspersky Premium + 1 JAHR GRATIS Kaspersky Safe Kids Kaspersky Premium erhielt fünf AV-TEST Auszeichnungen für den besten Schutz, die beste Leistung, das schnellste VPN, die beste Kindersicherung für Windows und die beste Bewertung für die Kindersicherung für Android.

Verwandte Artikel und Links:

Verwandte Produkte und Services:

Was ist Spear-Phishing? Definition und Risiken

Spear-Phishing-Angriffe stellen ein erhebliches Risiko dar. Doch was sind diese Cyberangriffe und wie können sich die Nutzer schützen?
Kaspersky logo

Weitere interessante Artikel: