Spear Phishing: Definition und Unterschiede zu Phishing

Mit Spear Phishing ist nicht die Unterwasserjagd in tropischer Umgebung gemeint, sondern ein gezielter Cyberangriff auf eine bestimmte Person oder Organisation, der dazu dient, vertrauliche Informationen zu betrügerischen Zwecken zu ergaunern.

Wie der Name schon sagt, handelt es sich um eine Form von Phishing – und sie erfreut sich unter Cyberkriminellen großer Beliebtheit. Keine Definition von Spear Phishing wäre vollständig ohne eine Erklärung, was es mit Phishing auf sich hat. Hier finden Sie einen Überblick über die Unterschiede zwischen den beiden Methoden, einschließlich einer Definition von Spear Phishing, sowie Tipps, wie Sie sich effektiv vor Spear Phishing schützen können.

Was ist Spear Phishing?

Spear Phishing ist eine Phishing-Methode, die sich ganz gezielt gegen eine bestimmte Person oder einen Personenkreis richtet. Dabei geben sich Cyberkriminelle – auch Spear Phisher genannt – als vertrauenswürdige Quelle aus, um die Zielpersonen dazu zu bringen, vertrauliche Daten, persönliche Informationen oder andere sensible Details preiszugeben. Diese Informationen können die Drahtzieher dann für kriminelle Zwecke wie Identitätsdiebstahl oder Datenleaks missbrauchen.

Spear Phisher sprechen ihre Opfer oft direkt über E-Mail, Social Media, Instant-Messaging-Apps und andere Online-Plattformen an. Diese Cyberangriffe sind besonders perfide, da sie individuell auf die Zielperson zugeschnitten sind und eher auf Qualität als auf Quantität beruhen.

Denn Speer Phisher stellen umfassende Nachforschungen an und setzen sich intensiv mit ihrem Ziel auseinander, um sich glaubwürdig als vertrauenswürdige Quelle ausgeben zu können. Das ist einer der größten Unterschiede zwischen herkömmlichem Phishing und Spear Phishing.

Unterschiede zwischen Spear Phishing und Phishing

Spear Phishing ist ein Cyberangriff, bei dem eine bestimmte Person oder Organisation ins Visier genommen wird. Beim Phishing senden die Betrüger hingegen automatisierte Nachrichten an einen größeren Personenkreis in der Hoffnung, dass einige von ihnen in die Falle tappen. Das lässt sich anhand der folgenden Analogie verbildlichen: Beim normalen Fischen (analog zum Phishing) wird ein großes Netz über einen Fischschwarm ausgeworfen, während beim Speerfischen (analog zum Spear Phishing) ein einzelner Fisch mit einem Speer angegriffen wird.

Phishing-E-Mails können an Hunderte von Empfängern gleichzeitig versendet werden, ohne dass sie individuell angepasst werden. Spear Phisher geben sich hingegen als Freund, Chef, Familienmitglied oder Unternehmensvertreter aus, um sich das Vertrauen ihrer Opfer zu erschleichen und sie zur Preisgabe ihrer Daten zu bringen. Diese E-Mails sind gut recherchiert und individuell auf den Empfänger abgestimmt, sodass es schwieriger ist, sie als Trickbetrug zu entlarven.

Letztlich verfolgen Phisher und Spear Phisher die gleiche Absicht: Sie wollen vertrauliche Daten oder sensible Informationen abgreifen, um sie zu kriminellen Zwecken zu missbrauchen. Doch die Opfer von Spear Phishing sind aufgrund des hohen Grads an Personalisierung stärker gefährdet, denn diese Taktik funktioniert nicht nur im Marketing-Bereich.

So funktioniert Spear Phishing: 3 Beispiele

Spear Phishing basiert auf Aufklärung: Cyberkriminelle studieren ihre Opfer, um sich glaubwürdig als Freund, Chef, Kollege oder Verwandter ausgeben zu können. Dieser Informationsvorsprung macht den Erfolg der Methode aus. Nicht selten gehen Spear-Phishing-Angriffe auf das Konto von Hacktivisten und Hackern, die im Auftrag einer Regierung handeln.

Wie funktionieren also Spear-Phishing-Angriffe? Die Attacke läuft in der Regel nach einem bestimmten Schema ab:

1. Die Spear Phisher identifizieren die Daten, auf die sie es abgesehen haben, z. B. Zahlungsinformationen, Benutzernamen und Passwörter.
   
2. Die Spear Phisher bringen in Erfahrung, wer über diese Daten verfügt, indem sie Nachforschungen zu einer Person oder einem Unternehmen anstellen und öffentliche Profile in sozialen Medien oder auf Unternehmenswebsites durchforsten.
   
3. Die Spear Phisher informieren sich auch über die Cybersicherheitsvorkehrungen ihres Opfers, z. B. Antivirus-Software und mögliche Sicherheitslücken, die sie ausnutzen können.
   
4. Die Spear Phisher erstellen eine E-Mail und manchmal sogar einen Domainnamen, der zu ihrer Tarnung passt, und verfassen eine persönliche Nachricht an die Zielperson. Die Nachricht erzeugt oft künstlichen Handlungsdruck und wird per E-Mail, Social Media, Anruf (Vishing) oder SMS (Smishing) zugestellt.
   
5. Die Spear Phisher bringen ihre Zielperson zur Preisgabe der Daten, auf die sie es abgesehen haben, und nutzen diese für eine betrügerische Handlung. 
   

Natürlich gibt es eine Vielzahl verschiedener Spear-Phishing-Techniken. Hier sind einige Beispiele für Betrugsfälle, vor denen Sie sich in Acht nehmen sollten. 

1. CEO Fraud

CEO Fraud – nicht zu verwechseln mit Whaling, einem gezielten Phishing-Angriff auf leitende Angestellte – ist eine Spear-Phishing-Methode, bei der sich Cyberkriminelle selbst als leitende Angestellte ausgeben, um einen Mitarbeiter dazu zu bringen, einer dringenden Bitte nachzukommen oder wichtige Daten zu übermitteln.

Ein vermeintlicher "CEO" könnte einen Mitarbeiter beispielsweise am Wochenende per E-Mail darum bitten, eine Überweisung an einen Auftragnehmer zu tätigen. Kommt der Mitarbeiter der Bitte nach, fließen Firmengelder an den Spear Phisher.

2. Bösartige Anhänge

Nicht immer richten sich Spear Phisher mit einer Bitte um Daten an ihre Opfer. Manchmal haben sie es auch darauf abgesehen, Ihnen über die Schulter zu sehen, wenn Sie die Daten selbst eingeben. Dazu versenden sie Malware-Anhänge.

Ein Spear Phisher könnte sich beispielsweise als Auftragnehmer ausgeben und Ihnen eine E-Mail mit einer Rechnung im Anhang senden. Sobald Sie auf den Anhang klicken, wird Malware oder ein Keylogger, der Ihre Tastatureingaben aufzeichnet, auf Ihr Gerät geschleust.

3. Ransomware

Einige Spear Phisher kombinieren ihre Angriffe mit Ransomware. Dabei werden Ihr Gerät oder sensible Daten als Geisel genommen, bis ein Lösegeld gezahlt wurde.

Ein Spear Phisher könnte sich z. B. als Freund oder Familienmitglied ausgeben und Ihnen einen Link zu einem "lustigen Video" schicken, das er im Internet gefunden hat. Sobald Sie auf den Link klicken, wird die Nachricht angezeigt, dass Ihr Gerät gesperrt wurde und erst wieder entsperrt wird, wenn Sie ein Lösegeld zahlen.

Warum Spear Phishing besonders effektiv ist

Spear Phishing ist ein effektiver Cyberangriff, der sowohl bei Privatpersonen als auch bei Unternehmen häufig funktioniert. Niemand scheint dagegen immun zu sein. Es gab sogar schon Spear-Phishing-Angriffe auf die Kampagnenteams von Präsidentschaftskandidaten und Mitarbeiter von Non-Profit-Organisationen. Allein im Jahr 2020 waren 75 Prozent aller Unternehmen weltweit von Phishing-Versuchen betroffen. Davon wurden 35 Prozent zum Ziel von Spear-Phishing-Angriffen.

Die Folgen können verheerend sein. Betrugsversuche dieser Art können zu manipulierten Aktienkursen, Spionage, gekaperten Computern und DDoS-Angriffen führen.

Die Erfolgsquote hängt in der Regel davon ab, wie viel Aufklärung in den Spear-Phishing-Angriff fließt – denn je individueller die Nachricht, desto glaubwürdiger der Trickbetrug. In diesem Sinne könnte man Spear Phishing als besonders ausgeklügelte Variante des Social Engineering betrachten.

8 Tipps zum Schutz vor Spear Phishing

Hier finden Sie hilfreiche Tipps zum Schutz vor Spear Phishing. Die wichtigste Voraussetzung ist ein umsichtiges Verhalten bei all Ihren Online-Aktivitäten.

1. Prüfen Sie die Absenderadresse

Eine Spear-Phishing-E-Mail unterscheidet sich in der Regel kaum von einer normalen E-Mail von einem Freund oder Unternehmen, doch es gibt mehrere Hinweise, die auf düstere Machenschaften hindeuten.

Spear Phisher kennen zwar meistens den Namen des vorgetäuschten Bekannten oder Kollegen, von dem Sie regelmäßig E-Mails erhalten, aber dessen Tonfall können sie oft nicht perfekt nachahmen. Wenn Ihnen eine E-Mail verdächtig erscheint, sehen Sie sich die Absenderadresse an. Üblicherweise gibt es leichte Abwandlungen; vielleicht wurde etwa der Buchstabe "o" durch eine Null ersetzt.

2. Überprüfen Sie Links

Wenn die E-Mail einen Hyperlink enthält, lässt sich schnell überprüfen, ob er echt ist, indem Sie mit dem Mauszeiger darüber fahren. Daraufhin wird die vollständige URL der verlinkten Website angezeigt. Wenn Ihnen daran etwas verdächtig vorkommt, lassen Sie die Finger davon.

Grundsätzlich ist es nicht nötig, auf einen Link zu klicken, den Sie nicht angefordert haben. Rufen Sie die jeweilige Website stattdessen direkt auf, um den Link selbst in Erfahrung zu bringen.

3. Wechseln Sie den Kommunikationskanal

Spear-Phishing-E-Mails werden unter dem Deckmantel eines Freundes oder einer Person verschickt, der Sie vertrauen. Wenn Sie es seltsam finden, dass Sie ein Freund per E-Mail nach Ihrem Passwort oder Benutzernamen fragt, sollten Sie ihn über einen anderen Kommunikationskanal – z. B. per Telefon oder SMS bzw. in einem persönlichen Gespräch – fragen, ob die Bitte wirklich von ihm stammt. Denken Sie auch daran, dass Sie grundsätzlich keine Passwörter oder Benutzernamen weitergeben sollten.

4. Halten Sie Ihre persönlichen Daten unter Verschluss

Sicher – wenn Sie bei allen Online-Interaktionen konsequent darauf achten, keine sensiblen Daten oder persönlichen Informationen weiterzugeben, können Sie Spear Phishing von sich fernhalten. Doch ebenso sollten Sie darauf verzichten, in den sozialen Medien oder in dem Mitarbeiterprofil Ihrer Unternehmenswebsite zu viele Informationen über sich preiszugeben. So können Sie Spear-Phishern die Recherche erschweren, die dem Cyberangriff vorangeht.

Sie können auch die Datenschutzeinstellungen Ihrer Social-Media-Konten auf Ihren verschiedenen Geräten anpassen, damit Ihre Informationen nur für ausgewählte Personen sichtbar sind. Überprüfen Sie regelmäßig Ihre Online-Profile und nehmen Sie je nach Bedarf Änderungen an den Datenschutzeinsteillungen vor.

5. Legen Sie nicht überall Konten an

Im Internet kursieren viele Informationen über Sie. Jedes Mal, wenn Sie einen Social-Media-Beitrag posten oder ein Quiz ausfüllen, kommen weitere persönliche Daten in Umlauf. So finden mit der Zeit immer mehr Details – von Ihrer Heimatstadt bis zum Namen Ihres Haustiers – den Weg ins Internet, wo sie auf Datenbroker-Websites landen oder Spear-Phishern in die Hände fallen können.

Registrieren Sie sich daher nur dann bei Apps, sozialen Netzwerken, Werbeaktionen oder sonstigen Portalen, wenn dies unbedingt nötig ist. 

6. Installieren Sie stets die neuesten Updates für Ihre Software

Installieren Sie, wenn möglich, eine Antivirus-Software, die Sie vor Phishing-Versuchen warnen kann, und achten Sie darauf, dass diese Software und die Betriebssysteme Ihrer verschiedenen Geräte stets auf dem neuesten Stand sind. Dies erschwert Spear-Phishern die Arbeit, da im Rahmen von Updates viele Sicherheitslücken behoben werden.

7. Achten Sie auf Anzeichen für Spear Phishing

Der Schutz Ihrer privaten Daten und der Daten Ihres Unternehmens hat oberste Priorität. Achten Sie auf Warnsignale, die auf einen Spear-Phishing-Angriff hindeuten können:

• Dringende Anfragen
  
• Ungewöhnlich formulierte Nachrichten, vermeintlich aus einer vertrauenswürdigen Quelle
  
• Links oder Anhänge, die Sie nicht angefordert haben
  
• Auskunftsgesuche nach privaten Daten
  

Und wenn Ihnen eine E-Mail verdächtig vorkommt, verlassen Sie sich auf Ihr Bauchgefühl und gehen Sie der Sache auf den Grund. Markieren Sie die Nachricht außerdem als Spam, um zu verhindern, dass Sie erneut kontaktiert werden, und stellen Sie in Ihren Spamfiltern eine hohe Schutzstufe ein.

8. Auf die richtige Reaktion kommt es an

Es kann schnell passieren, dass man auf eine Spear-Phishing-Masche hereinfällt. Sollten Sie jemals auf einen Phishing-Link in einer E-Mail klicken oder einen verdächtigen Anhang herunterladen, gehen Sie wie folgt vor:

1. Trennen Sie die Internetverbindung: Schalten Sie Ihr WLAN aus oder ziehen Sie das Ethernet-Kabel aus der Buchse. Dies kann dazu beitragen, die unmittelbare Ausbreitung der Malware zu stoppen.
   
2. Erstellen Sie Backups von Ihren Dateien: Es ist immer klug, Dateien regelmäßig zu sichern, aber im Falle eines Spear-Phishing-Angriffs sind Backups ein wahrer Segen. Speichern Sie externe Backups Ihrer Dateien, damit diese Ihnen erhalten bleiben, falls die Cyberkriminellen Ihre Daten löschen.
   
3. Ändern Sie Ihre Passwörter: Sobald ein Hacker eines Ihrer Konten geknackt hat, kann er sich nach und nach zu allen anderen vorarbeiten. Wenn Sie Grund zu der Annahme haben, dass ein Konto kompromittiert wurde, ändern Sie so schnell wie möglich alle Ihre Passwörter und aktivieren Sie Zwei-Faktor-Authentifizierung, wo dies möglich ist.
   
4. Scannen Sie Ihre Hardware: Sicherheitssoftware kann Ihnen helfen, die Bedrohung zu erkennen und abzuwehren.
   

Nicht nur, dass es sich übergriffig und verstörend anfühlen kann, einem Spear-Phishing-Angriff zum Opfer zu fallen – zu allem Übel müssen Sie auch noch die Scherben zusammenkehren. Es kann Wochen oder Monate dauern, Ihre Internetsicherheit wiederherzustellen. 

Doch mit Achtsamkeit und ein paar Vorsichtsmaßnahmen können Sie das Risiko, Opfer eines Cyberangriffs zu werden, reduzieren.