Der wesentliche Unterschied zwischen Phishing, Spearphishing und Whaling ist der Grad der Personalisierung bei der Wahl der Opfer. Phishing ist am wenigsten personenbezogen, Whaling am stärksten und Spearphishing liegt dazwischen.

Was ist Phishing?

Beispiel für eine Phishing-E-Mail – zum Vergrößern klicken

Jeder, der ein digitales Postfach besitzt, kennt Phishing-Angriffe. Der berühmt-berüchtigte nigerianische Prinz war der erste Phishing-Angriff, der in der breiten Öffentlichkeit bekannt wurde. Seither sind die Betrugsmaschen jedoch raffinierter geworden. Eine moderne Phishing-E-Mail ist kaum noch von einer legitimen E-Mail eines bekannten Unternehmens oder einer Bank zu unterscheiden. Sie wird nur dann entlarvt, wenn ein aufmerksamer Benutzer sich die Mühe macht, die Absenderadresse genauer unter die Lupe zu nehmen, bevor er auf einen Link klickt oder einen Anhang herunterlädt.

Phishing-Angriffe setzen auf Masse. Statt nur eine Person werden sehr viele Menschen als Zielscheibe ausgewählt, in der Hoffnung, dass ein paar von ihnen auf den Betrug hereinfallen.

Die Angriffe sind nicht personalisiert. Ein wesentliches Merkmal einer Phishing-E-Mail ist, dass der Name des Empfängers nicht genannt wird. Phishing-Angriffe werden nicht nur per E-Mail, sondern auch per Textnachricht, Telefon und über Messaging-Apps gestartet.

Was ist Spearphishing?

Example of a spear-phishing email – click to enlarge

Während bei Phishing-Angriffen jede Zielperson willkommen ist, solange sie nur klickt, richten sich Spearphishing-Angriffe gegen Mitarbeiter in bestimmten Unternehmen oder Branchen, um Zugriff auf das eigentliche Ziel zu erhalten: das Unternehmen selbst.

Spearphishing-Angriffe sind mindestens im gleichen Maße personalisiert wie eine typische Marketingkampagne. Ein Spearphishing-Angriff kann sich zum Beispiel zunächst gegen Führungskräfte der mittleren Ebene richten, die in Finanzunternehmen in einer bestimmten geografischen Region arbeiten und deren Stellenbezeichnung mit Finanzen zu tun hat.

Im Vorfeld eines Spearphishing-Angriffs leistet der Angreifer oft intensive Recherchearbeit, die sich jedoch meistens auszahlt. Der Gewinn ist nicht immer monetärer Art. Spearphishing-Angriffe werden oft staatlich unterstützt.

Für einen Spearphishing-Angriff kann der Angreifer eine Mischung aus E-Mail-Spoofing, dynamischen URLs und Drive-by-Downloads nutzen, um Sicherheitskontrollen zu umgehen. Komplexe Spearphishing-Angriffe können Zero-Day-Schwachstellen in Browsern, Anwendungen oder Plug-ins ausnutzen. Der Spearphishing-Angriff kann eine frühe Phase einer mehrstufigen hochentwickelten hartnäckigen Bedrohung (APT) darstellen, in deren weiterem Verlauf Binärdateien heruntergeladen werden, ausgehende Malware-Kommunikation stattfindet und Daten exfiltriert werden.

Was ist Whaling?

Whaling-Angriffe richten sich gegen eine einzige, meist hochrangige Führungsperson im Unternehmen. Ziel ist der Diebstahl von Geld oder der Zugriff auf vertrauliche Informationen. Angreifer setzen einiges in Bewegung, um mehr über die Führungskraft zu erfahren. Sie verfolgen sie in den sozialen Medien oder beschaffen sich über einen Spearphishing-Angriff genügend Zugriff auf das Netzwerk, um den E-Mail-Verkehr des Opfers abzufangen.

Whaling-Angriffe dienen der Durchführung von Business Email Compromise-Angriffen (BEC), deren ultimatives Ziel Überweisungsbetrug ist. Bei einem solchen Angriff erhält eine Führungskraft mit Prokura beispielsweise eine E-Mail von einem Vorstandsmitglied mit der Aufforderung, dringend einen größeren Geldbetrag zur Erfüllung einer Zahlungsverpflichtung durchzuführen. Oft wird eine gewisse Dringlichkeit suggeriert. Aussagen wie „Ich bin am Flughafen auf dem Weg in den Urlaub, können Sie das bitte schnell erledigen?“ sind dafür typisch. Wenn der angebliche Absender tatsächlich gerade seinen Urlaub angetreten hat, wirkt die E-Mail umso plausibler für das Opfer.