{"id":353045,"date":"2024-09-20T07:22:43","date_gmt":"2024-09-20T07:22:43","guid":{"rendered":"https:\/\/www.ninjaone.com\/it-hub\/%content_hub_category%\/was-ist-spear-phishing\/"},"modified":"2024-10-13T14:30:33","modified_gmt":"2024-10-13T14:30:33","slug":"was-ist-spear-phishing","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaonesandbox.dev\/de\/it-hub\/endpoint-security\/was-ist-spear-phishing\/","title":{"rendered":"Was ist Spear Phishing: Definition, Beispiele und Pr\u00e4vention"},"content":{"rendered":"

Phishing ist eine Form des Social Engineering, bei der Benutzer:innen dazu verleitet werden, auf b\u00f6sartige Links zu klicken oder gef\u00e4lschte Internetseiten zu navigieren. Dadurch erhalten T\u00e4ter:innen pers\u00f6nliche Informationen (Cybersecurity & Infrastructure Security Agency<\/a>). Es gibt zwar viele Formen von Phishing, aber Spear-Phishing ist eine der gef\u00e4hrlichsten Formen, die man kennen sollte.<\/p>\n

Im Gegensatz zu anderen Formen des Phishings ist Spear-Phishing<\/strong> ein gezielter Angriff auf eine Person, meist in Form einer E-Mail, die angeblich von einem vertrauensw\u00fcrdigen Absender stammt. Ein Spear-Phishing-Angriff zielt darauf ab, ein Ger\u00e4t mit Malware<\/a> zu infizieren oder den Empf\u00e4nger zu einer anderen Aktion zu verleiten, die dem Angreifer zugute kommt, z. B. zur Preisgabe pers\u00f6nlicher Daten oder zur \u00dcberweisung von Geld auf ein gef\u00e4lschtes Bankkonto.<\/p>\n

Spear-Phishing mag f\u00fcr Cyberkriminelle zeitaufw\u00e4ndiger sein, ist aber auch am lukrativsten. So gab die Federal Trade Commission<\/a> k\u00fcrzlich bekannt, dass der landesweite Anlagebetrug im Jahr 2023 ein Volumen von satten 10 Milliarden Dollar erreicht hat – ein Anstieg von 14 %<\/strong> gegen\u00fcber 2022. Die Experten stellten fest, dass Betrugsversuche wie Spear-Phishing-E-Mails zu diesem Anstieg beigetragen haben. Leider rechnen sie damit, dass diese Zahl in den n\u00e4chsten Jahren noch steigen wird.<\/p>\n

Dies hat ma\u00dfgeblich dazu beigetragen, dass das Wei\u00dfe Haus sein Engagement f\u00fcr die Schaffung eines „verteidigungsf\u00e4higen, widerstandsf\u00e4higen und auf Werte ausgerichteten digitalen \u00d6kosystems“ f\u00fcr die amerikanische Regierung und alle Privatunternehmen bekr\u00e4ftigt hat (2024 Report on the Cybersecurity Posture of the United States<\/a>). Eine ihrer wichtigsten Initiativen ist die Verbesserung des Schutzes vor Cyberangriffen wie Spear-Phishing.<\/p>\n\n

Was ist Spear-Phishing?<\/h2>\n

Spear-Phishing ist ein hochgradig personalisierter und kalkulierter Cyberangriff, der auf Einzelpersonen oder Unternehmen abzielt. Diese Angriffe erfolgen in der Regel \u00fcber Phishing-E-Mails, die legitim erscheinen und die Empf\u00e4nger:innen dazu auffordern, den Absender:innen vertrauliche Informationen mitzuteilen. Die meisten Spear-Phishing-E-Mails zielen auf den Diebstahl von Finanzdaten ab, z. B. von Kreditkartendaten.<\/p>\n

Angesichts der sich st\u00e4ndig weiterentwickelnden geopolitischen Lage beinhalten Spear-Phishing-Angriffe nun jedoch auch die Infizierung von Ger\u00e4ten mit Malware, den Diebstahl von Identit\u00e4tsdaten oder sogar Finanzbetrug. Die gestohlenen Informationen werden dann auf dem Schwarzmarkt weiterverkauft oder als Erpressungsmittel verwendet, damit Sie die Kriminellen bezahlen.<\/p>\n

Phishing vs. Spear-Phishing vs. Whaling<\/h2>\n

Phishing, Spear-Phishing und Whaling sind g\u00e4ngige Arten von Cyberangriffen<\/a>, aber es gibt auch einige Unterschiede.<\/p>\n

Phishing<\/h3>\n

Phishing nutzt betr\u00fcgerische E-Mails, SMS oder Webseiten, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben. Verglichen mit Spear-Phishing und Whaling ist Phishing das am wenigsten ausgefeilte Verfahren, bei dem Quantit\u00e4t Vorrang vor Qualit\u00e4t hat. Phishing-Angriffe sind in der Regel sehr allgemein gehalten und werden an viele Personen gleichzeitig gesendet. Eine gute M\u00f6glichkeit, eine Phishing-E-Mail zu erkennen, ist die \u00dcberpr\u00fcfung der Anrede. Wenn Sie nur mit „Hallo, Benutzer!<\/em>“ oder „Hallo, Kunde!<\/em> angesprochen werden, ist es vielleicht eine gute Idee, wachsam zu sein.<\/p>\n

Spear-Phishing<\/h3>\n

Beim Spear-Phishing liegt der Schwerpunkt auf der Qualit\u00e4t, d. h. es werden hochgradig personalisierte E-Mails an die Zielpersonen gesendet. Aufgrund des hohen Rechercheaufwands, der f\u00fcr einen erfolgreichen Angriff erforderlich ist, ist Spear-Phishing zwar weniger verbreitet, aber wohl auch effektiver.<\/p>\n

Whaling<\/h3>\n

Whaling verwendet dieselbe personalisierte Strategie wie Spear-Phishing-Angriffe, zielt aber nur auf die h\u00f6here F\u00fchrungsebene und die C-Level-F\u00fchrungskr\u00e4fte ab. Es gibt eine Debatte dar\u00fcber, ob Whaling und Spear-Phishing dasselbe sind, und f\u00fcr die Zwecke dieses Artikels werden wir Whaling und Spear-Phishing in einen Topf werfen.<\/p>\n

Warum ist Spear-Phishing so gef\u00e4hrlich?<\/h2>\n

Auf den ersten Blick scheint Spear-Phishing leicht zu erkennen zu sein. Eine verd\u00e4chtig aussehende E-Mail? Kein Problem! Jemand fragt nach pers\u00f6nlichen Informationen? Pfft, sofort sperren.<\/p>\n

Die Wahrheit ist jedoch, dass Spear-Phishing-Angriffe viel raffinierter sind als das. Cyberkriminelle f\u00fchren umfangreiche Recherchen \u00fcber Sie und Ihr Unternehmen durch. Mit Hilfe aller Informationen, die sie finden k\u00f6nnen (auch aus Ihren \u00f6ffentlichen Konten in sozialen Medien), k\u00f6nnen sie einen au\u00dfergew\u00f6hnlich gut ausgearbeiteten und personalisierten Angriff erstellen, der Ihnen vorspiegelt, dass das Gelesene von einer legitimen Quelle stammt.<\/p>\n

So kann es passieren, dass selbst hochrangige Manager und F\u00fchrungskr\u00e4fte E-Mails \u00f6ffnen, die sie f\u00fcr sicher halten.<\/p>\n

Wie funktionieren Spear-Phishing-Angriffe?<\/h2>\n

Es gibt vier Schritte, um einen Spear-Phishing-Betrug zu erstellen.<\/p>\n

\"Grafik<\/p>\n

 <\/p>\n

Zun\u00e4chst definieren die Cyberkriminellen ihren Angriff. Dazu muss man wissen, welche Informationen sie ben\u00f6tigen und wie man die E-Mail gestaltet, um diese Daten zu erhalten. Wenn Kriminelle z. B. Ihre Kreditkartendaten haben m\u00f6chten, m\u00fcssen sie eine Strategie anwenden – vielleicht indem sie sich als Ihre Bank ausgeben.<\/p>\n

Daraufhin erstellten sie eine Liste mit potenziellen Zielen erstellen und diese auf das wertvollste Ziel reduzieren. Man weist darauf hin, dass der Begriff „Wert“ hier unterschiedliche Bedeutungen haben kann. Es handelt sich nicht nur um eine Person, die am meisten zu verlieren hat (auch wenn das ein wichtiger Faktor ist). Stattdessen ist es auch ein Ziel, das leicht manipuliert und dazu gebracht werden kann, die gew\u00fcnschte Handlung auszuf\u00fchren. Behalten Sie im Sinne, dass Cyberkriminelle den einfachsten Weg suchen, um zu gewinnen, es sei denn, die finanzielle Belohnung ist einfach zu gut, um sie abzulehnen.<\/p>\n

Der dritte Schritt ist die Recherche, die der l\u00e4ngste Teil des Prozesses ist. Cyberkriminelle verbringen unendlich viel Zeit damit, alles \u00fcber Sie zu recherchieren, von Ihrer Arbeit \u00fcber Ihr Haustier bis hin zum Spielkameraden Ihres Cousins im Kindergarten. Alles, was Sie von der Rechtm\u00e4\u00dfigkeit des Betrugs \u00fcberzeugen kann, wird gesammelt. Diese Informationen werden im vierten Schritt verwendet: der Erstellung der Spear-Phishing-E-Mail.<\/p>\n

Die E-Mail wird sorgf\u00e4ltig formuliert, damit sie so authentisch wie m\u00f6glich klingt. Es wird auch ein Gef\u00fchl der Dringlichkeit vermittelt, sodass Sie sofort mit bestimmten Angaben antworten oder eine bestimmte Datei herunterladen. Manche Spear-Phishing-E-Mails leiten Sie auf eine gef\u00e4lschte Webseite Ihrer Bank, auf der Sie aufgefordert werden, sich mit Ihrem korrekten Benutzernamen und Passwort anzumelden.<\/p>\n

Beispiele f\u00fcr Spear-Phishing-E-Mails<\/h2>\n

Es gibt einige Beispiele f\u00fcr Phishing-E-Mails<\/a>, auf die Sie achten sollten.<\/p>\n

1. Kompromittierte Gesch\u00e4fts-E-Mails<\/h3>\n

Laut dem Internet Crime Report des FBI<\/a> \u00fcbersteigen die potenziellen Verluste durch Internetkriminalit\u00e4t im Jahr 2023 12,5 Milliarden Dollar und werden im Jahr 2024 voraussichtlich noch deutlicher steigen. Landesweit war die am h\u00e4ufigsten gemeldete Straftat ein Phishing-Versuch, wobei die h\u00e4ufigste Form eine kompromittierte Gesch\u00e4fts-E-Mail war.<\/p>\n

Bei dieser Art von Angriff gibt sich ein Hacker als jemand von der Arbeit aus (vielleicht ein Kollege, ein Chef oder ein Anbieter) und fordert Sie auf, eine Aktion auszuf\u00fchren, z. B. Geld zu \u00fcberweisen oder Ihre Kontodaten zu \u00e4ndern. Dies wird auch als E-Mail-Spoofing<\/a> bezeichnet.<\/p>\n

Ein Beispiel aus der Praxis: Eines der ber\u00fchmtesten Beispiele ist <\/em>Evaldas Rimasauskas<\/em><\/a>, der namhafte Unternehmen (u. a. Facebook und Google) dazu gebracht hat, rund 121 Millionen Dollar an gef\u00e4lschten Rechnungen zu bezahlen.\u00a0<\/em><\/p>\n

2. Whaling<\/h3>\n

Beim Whaling werden F\u00fchrungskr\u00e4fte angegriffen, um an sensible Informationen \u00fcber ein Unternehmen zu gelangen oder sie zu manipulieren, damit sie hohe Geldbetr\u00e4ge \u00fcberweisen. Der Name leitet sich wohl von „Moby Dick“ ab, also der Jagd nach dem „gro\u00dfen Fisch“ und dem ultimativen Preis. Es ist erw\u00e4hnenswert, dass alle Spear-Phishing-Angriffe auf Entscheidungstr\u00e4ger:innen abzielen, z. B. auf den CEO oder COO.<\/p>\n

Ein Beispiel aus der Praxis: Als einer der <\/em>gr\u00f6\u00dften Cyber-Betrugsf\u00e4lle in Pune<\/em><\/a>, hat ein indisches Immobilienunternehmen durch Whaling rund 4 Millionen Rupien (etwa 600.000 Dollar) verloren.<\/em><\/p>\n

3. CEO-Betrug<\/h3>\n

Beim CEO-Betrug, auch bekannt als Executive Phishing, geben sich die Angreifer:innen als hochrangige F\u00fchrungskr\u00e4fte aus, um Teammitglieder dazu zu bringen, unbefugte \u00dcberweisungen vorzunehmen oder sensible Daten an die Hacker:innen weiterzugeben. Im Gegensatz zum Whaling, das sich auf F\u00fchrungskr\u00e4fte der oberen Ebene konzentriert, zielt CEO-Betrug auf Mitarbeiter:innen der unteren Ebenen ab, die unter der Anma\u00dfung von Autorit\u00e4t handeln.<\/p>\n

Ein Beispiel aus der Praxis: Ein Finanzangestellter <\/em>\u00fcberwies 25 Millionen Dollar<\/em><\/a> auf ein betr\u00fcgerisches Konto, nachdem er von seinem Chief Financial Officer dazu „aufgefordert“ worden war. Es stellte sich heraus, dass der CFO ein Deep Fake war.\u00a0<\/em><\/p>\n

Wie man einen Spear-Phishing-Angriff erkennt<\/h2>\n

Der beste Weg, einen Spear-Phishing-Angriff zu verhindern, besteht darin, die E-Mail zu lesen, bevor Sie auf einen Link klicken oder einen Anhang \u00f6ffnen. Leider gehen viele Benutzer:innen davon aus, dass eine E-Mail sicher ist, ohne die G\u00fcltigkeit oder den Inhalt des Absenders zu \u00fcberpr\u00fcfen. Dies gilt insbesondere, wenn die E-Mail angeblich von einem hochrangigen Entscheidungstr\u00e4ger stammt. Hacker nutzen dies zu ihrem Vorteil: Sie setzen darauf, dass Sie eine personalisierte oder offiziell aussehende E-Mail nicht in Frage stellen werden.<\/p>\n

Es gibt jedoch keine einheitliche Methode, um einen Spear-Phishing-Angriff zu erkennen. Es ist immer am besten, wenn Sie Ihrem Urteilsverm\u00f6gen vertrauen. Wenn Sie das Gef\u00fchl haben, dass etwas nicht stimmt, schadet es nicht, Ihren Direktor, Ihren Vorgesetzten oder denjenigen, der Ihnen die E-Mail angeblich geschickt hat, zu fragen, ob die Angaben richtig sind.<\/p>\n

Einige h\u00e4ufige Warnsignale, auf die man achten sollte, sind:<\/p>\n