Phishing war die häufigste Cyberkriminalität, die 2024 dem Internet Crime Complaint Center(neues Fenster) gemeldet wurde. Wir haben auf unserem Blog darüber geschrieben, was Phishing ist und einige Beispiele für überzeugende Phishing-E-Mails gegeben, aber Cyberkriminelle passen ihre Angriffe ständig an, um ihren Ertrag zu maximieren.

Eine effektivere Version von Phishing ist, wenn Angreifer bestimmte Personen ins Visier nehmen, was Whaling oder Spear-Phishing genannt wird. Während Phishing auf Einzelpersonen oder Unternehmen abzielen kann, zielen Whaling und Spear-Phishing speziell auf Personen innerhalb eines Unternehmens ab. Es ist wichtig, den Unterschied zwischen diesen Begriffen zu verstehen sowie zu wissen, wie man sie erkennt und wie man sich davor schützt.

Was ist der Unterschied zwischen Whaling, Phishing und Spear-Phishing?

Phishing ist eine Methode, die Hacker verwenden, um dich dazu zu bringen, sensible Informationen mit ihnen zu teilen. Wenn du jemals eine verdächtig aussehende E-Mail von einem Dienst wie Amazon, Google oder PayPal erhalten hast, in der dir mitgeteilt wurde, dass dein Konto eingefroren wurde, warst du Ziel eines Phishing-Versuchs. Diese Angriffe sind breit gefächert und zielen darauf ab, so viele Antworten wie möglich zu erhalten. Du erhältst sie sowohl an deine persönliche E-Mail-Adresse als auch an deine geschäftliche E-Mail-Adresse.

Spear-Phishing- und Whaling-Angriffe nutzen dieselben Taktiken wie Phishing, setzen sie jedoch bei einer viel kleineren und spezifischeren Gruppe von Zielen innerhalb eines Unternehmens ein. Beide Arten von Angriffen fallen allgemein unter die Kategorie Phishing, aber es lohnt sich zu verstehen, wie das Ziel eines Hackers die von ihm verwendeten Taktiken beeinflusst.

Was ist Spear-Phishing?

Spear-Phishing übernimmt dieselben breiten Techniken, die für Phishing-Angriffe verwendet werden, und passt sie auf bestimmte Personen an. Die von Spear-Phishing anvisierten Personen arbeiten oft in Rechts- oder Finanzabteilungen, was ihnen Zugriff auf besonders sensible und wertvolle Daten gibt.

Laut Untersuchungen von Barracuda Networks(neues Fenster) beinhalten mehr als 80 % der Spear-Phishing-Angriffe Markenimitation. Nach der Analyse von 360.000 Phishing-E-Mails über drei Monate stellte das Unternehmen fest, dass Microsoft und Apple die am häufigsten imitierten Marken sind, wobei Angriffe am wahrscheinlichsten zwischen Dienstag und Donnerstag auftreten und um Termine wie die Steuersaison herum ihren Höhepunkt erreichen. Dieses Maß an Planung seitens der Betrüger spricht dafür, wie genau sie Mitarbeiter studieren und ihre Angriffe planen.

Der Bericht legt nahe, dass die drei häufigsten Betreffzeilen, die bei Spear-Phishing-Angriffen verwendet werden, eine Variation der folgenden sind:

  1. Anfrage
  2. Nachfassen
  3. Dringend/Wichtig

Es ist nicht überraschend, dass die Betreffzeilen entweder ein Gefühl der Dringlichkeit oder den Eindruck erwecken, dass du bereits mit dem Absender in Kontakt standest. Es kann auch politische Motivationen für Spear-Phishing-Angriffe geben. Im Jahr 2024 veröffentlichte Microsoft Erkenntnisse(neues Fenster) bezüglich iranischer Einmischung in die US-Wahlen. Das Microsoft Hotmail-Konto eines ehemaligen leitenden Beraters wurde gefährdet, um einen Angriff zu starten, der auf einen hochrangigen Beamten einer Präsidentschaftskampagne abzielte.

Was ist Whaling?

Wo Spear-Phishing mehrere hochrangige Personen ins Visier nimmt, zielt Whaling auf… nun ja, Wale. Whaling ist effektiv Spear-Phishing, das auf ein sehr wertvolles Ziel gerichtet ist, wie einen CEO oder CFO. Diese Angriffe sind hochgradig personalisiert und akribisch recherchiert. Cyberkriminelle können Geld verdienen sowie potenziell Zugriff auf sensible Daten wie IP oder Investoreninformationen erhalten, ihre Ziele erpressen und enormen Reputationsschaden verursachen.

Whaling-Angriffe dauern Monate, wenn nicht Jahre, um effektiv geplant zu werden, und Kriminelle nehmen Unternehmen ins Visier, die turbulente Termine durchlaufen, um das Chaos auszunutzen. 2015 zielten Angreifer mit einem aufwendigen Whaling-Angriff(neues Fenster) auf Führungskräfte der C-Ebene bei Mattel ab, während das Unternehmen umstrukturiert wurde und seine Zahlungsrichtlinie änderte. Eine Finanzführungskraft erhielt eine Notiz vom neuen CEO des Unternehmens, in der eine neue Lieferantenzahlung nach China angefordert wurde, ein Land, in das Mattel expandieren wollte. Aufgrund der Änderungen der Zahlungsrichtlinie erforderten Überweisungen die Genehmigung von zwei hochrangigen Managern innerhalb von Mattel, sodass die Empfängerin ihre Genehmigung gab und die Überweisung getätigt wurde. Erst nachdem das Geld weg war, erwähnte die Führungskraft die Zahlung gegenüber dem neuen CEO, der die Anfrage nicht gestellt hatte.

Dank des 1. Mai, der in China ein Bankfeiertag ist, konnte Mattel das Konto, auf dem die gestohlenen Gelder lagen, einfrieren, und das Geld wurde innerhalb von zwei Tagen wiederhergestellt. Aber dieser hoch gezielte Angriff hätte Mattel mit einer einzigen E-Mail 3 Millionen Dollar kosten können.

Whaling vs. Spear-Phishing

Um die Unterschiede zwischen den drei Arten von Angriffen zusammenzufassen:

PhishingZielt mit generischen Angriffen auf jeden ab
Spear-PhishingZielt mit spezifischen Angriffen auf bestimmte Personen ab
WhalingZielt mit personalisierten Angriffen auf VIPs und Unternehmensführer ab

Die Spezifität des Ziels bestimmt den Aufwand an Recherche und Zielausrichtung, der in jeden Angriff fließt. Aber unabhängig von der Art des Angriffs gibt es einen ähnlichen Prozess, den Hacker für die Planung und Ausführung befolgen.

Wie läuft ein Whaling- oder Spear-Phishing-Angriff ab?

  1. Aufklärung: Der Hacker recherchiert sein Ziel, indem er dessen Online-Präsenz untersucht, um ein Profil der wahrscheinlichen Auslöser für eine Antwort seines Ziels zu erstellen. Dazu gehören Social-Media-Profile, Unternehmens-Websites und jeder andere Ort, an dem sein Ziel online erscheinen könnte. Sie nutzen auch Datenbroker und möglicherweise das Dark Web, um persönliche Informationen zu erhalten.
  2. Den Köder basteln: Der Hacker stellt dann einen Angriffsplan zusammen. Er erstellt eine E-Mail, die darauf ausgelegt ist, sein Ziel davon zu überzeugen, dass er ein Kollege, ein Drittanbieter-Dienst oder eine Regierungsbehörde ist. Er sammelt so viele Informationen wie möglich, um sein Ziel zu täuschen, möglicherweise durch breiteres Phishing innerhalb des Unternehmens.
  3. Zustellung: Die Angreifer senden die maßgeschneiderte E-Mail an ihr Ziel. Sie könnte wie eine Rechnung aussehen und einen Link zu einer bösartigen Website enthalten, der den Leser auffordert, Zahlungsdetails einzugeben, oder eine Anfrage der IT-Abteilung des Unternehmens nach Anmeldungen und Passwörtern.
  4. Ausnutzung: Die E-Mail könnte mit Malware oder Ransomware geladen sein, auf eine gefälschte Seite verlinken oder nach Anmeldedaten, sensiblen Informationen oder Zahlungen fragen. Es gibt mehrere Wege für Hacker, dein Netzwerk auszunutzen, sobald sie Zugriff erlangt haben, wie das Einrichten eines Hintertür-Zugriffs und das Geben von Administrator-Rechten.
  5. Auswirkung: Wenn der Angriff erfolgreich ist, wird der Hacker weiter nach mehr Zugriff phishen oder damit beginnen, Transaktionen durchzuführen, Daten herunterzuladen oder Konten zu übernehmen. Dem Unternehmen drohen finanzieller Verlust, ein Datenleck, Reputationsschaden oder all das zusammen.

Angriffe gibt es in vielen Formen, was es schwierig macht, immer auf der Hut zu sein. Im Allgemeinen gilt: Je höher deine Rolle oder je sensibler die Daten sind, auf die du Zugriff hast, desto wichtiger wird die Verifizierung.

Wie kannst du dich vor Angriffen schützen?

Es gibt zwei Teile, um dich vor Cyberangriffen zu schützen: Deine Unternehmensinfrastruktur und dein eigenes Bewusstsein.

Schauen wir uns zuerst an, was du persönlich tun kannst.

  • Vertrauen, aber verifizieren. Wenn du eine Anfrage bezüglich einer Zahlung oder der Gewährung von Zugriff auf sensible Daten erhältst, ist das Sprechen mit der Person, die dir die Anfrage angeblich gesendet hat, deine beste Wette. Wenn du die Person schon einmal getroffen hast, ruf sie an oder sprich persönlich mit ihr und bestätige, dass die Anfrage legitim ist. Wenn nicht, verifiziere ihre Identität über vertrauenswürdige Kanäle, wie einen Kollegen mit Verbindungen oder eine höherrangige Person in ihrem Unternehmen.
  • Lass dich nicht durch Dringlichkeit zu einem Fehler drängen. Betrüger nutzen vorgetäuschte Dringlichkeit, um dich zu einer schnellen Entscheidung zu ermutigen. Du wirst es nicht bereuen, mit der Verifizierung einer Anfrage gewartet zu haben, aber du könntest es bereuen, eine nicht verifiziert zu haben.
  • Prüfe die E-Mail-Adresse des Absenders genau. Wenn ein Hacker es so aussehen lässt, als käme seine E-Mail von einem legitimen Absender, nennt man das E-Mail-Spoofing. Stelle sicher, dass der Domain-Name korrekt ist und keine Rechtschreibfehler in der E-Mail-Adresse selbst enthalten sind. Erfahre mehr darüber, wie du dich vor E-Mail-Spoofing schützen kannst.

  • Kläre dein Team über die Risiken von Phishing-Angriffen auf. Eine einzige erfolgreiche Phishing-E-Mail kann verheerende Folgen für ein Unternehmen haben.

Sich potenzieller Bedrohungen bewusst zu sein, bedeutet nicht, jeder einzelnen E-Mail, die du erhältst, misstrauisch gegenüberzustehen, aber es bedeutet sicherzustellen, dass du Schritte unternimmst, um sowohl dich selbst als auch deinen Arbeitsplatz zu schützen.

Wie Proton dir hilft, dein Risiko zu verringern

Ein weiterer effektiver Weg, deinen Arbeitsplatz zu schützen, ist die Einführung sicherer, Ende-zu-Ende-verschlüsselter Tools, die dir helfen, die Kontrolle über deine Daten zu behalten:

  • Proton Pass ist ein sicherer Passwort-Manager, der dir hilft, Geschäftspasswörter zu erstellen, zu speichern und zu verwalten. Deinem Team zu ermöglichen, seine Anmeldedaten sicher zu teilen, hilft jedem, illegitime Anfragen nach Anmeldungen oder Daten zu identifizieren – wenn jemand aufgefordert wird, ein Passwort per E-Mail zu senden, anstatt es sicher in Proton Pass zu teilen, kann er die Anfrage als verdächtig kennzeichnen. Du kannst auch sicherstellen, dass du sofort alarmiert wirst, wenn deine Daten im Dark Web auftauchen, damit du Maßnahmen ergreifen kannst, um Phishing-Versuche zu verhindern.
  • Proton Mail ist eine sichere E-Mail und Kalender, die deine geschäftlichen E-Mails geschützt hält. Unser fortschrittlicher Phishing-Schutz PhishGuard verteidigt dich gegen Phishing-Versuche, indem er potenziell gespoofte E-Mail-Adressen für dich kennzeichnet. Alle verdächtigen Anmeldungen oder Kontoänderungen werden identifiziert und dir automatisch gemeldet, und der Link-Schutz hilft dir, vollständige URLs zu sehen, bevor du sie öffnest, um zu verhindern, dass du versehentlich einen Phishing-Link öffnest.

Wenn du bereit bist, dich und dein Unternehmen vor Whaling, Spear-Phishing und Phishing-Angriffen zu schützen, beginne noch heute damit, zu sehen, welches Proton-Abonnement das beste für dich ist.