Es gibt viele Unterschiede zwischen Phishing-, Spear-Phishing- und Social-Engineering-Angriffen, aber die Begriffe werden oft synonym und falsch verwendet. Das sorgt für Verwirrung, wenn es um die Beschreibung von Angriffen und die Planung von Abwehrmaßnahmen geht. Es ist wichtig, diese Angriffsarten zu verstehen.
In unserem Bericht über die 5 Qualen von Cyberangriffen haben wir darauf hingewiesen, dass 60 % der Unternehmen berichteten, im vergangenen Jahr Opfer von Social-Engineering-Angriffen geworden zu sein, und 61 % sahen Spear-Phishing als eine der größten Bedrohungen der heutigen Zeit an. Aus anderen Berichten geht hervor, dass 91 % aller Cyberangriffe mit einer Phishing- oder Spear-Phishing-Kampagne beginnen, und Proofpoint stellte fest, dass 99,7 % der in anhangbasierten Kampagnen verwendeten Dokumente auf Social Engineering und Makros beruhen.
Verstanden? Gut. Das Team Graphus einige klare Definitionen für Phishing, Spear-Phishing und Social Engineering zusammengestellt. Wir haben auch einige Beispiele hinzugefügt und als Bonusbegriff „Whaling“ aufgenommen. Ein gemeinsames Verständnis dieser Begriffe kann IT-Organisationen und Führungskräften helfen, klarer zu kommunizieren und sich besser zu koordinieren, um sich gegen die häufigsten Formen erfolgreicher Cyberangriffe zu verteidigen.
Was ist Phishing?
Herkömmliche Phishing-Betrügereien werfen ein weites Netz aus, in der Hoffnung, ein paar unvorsichtige Opfer zu erwischen. In der Regel erhält die Zielperson eine legitim aussehende E-Mail, in der sie gewarnt wird, dass sie sich auf einer Website anmelden muss, um eine bestimmte Aktion durchzuführen. Die E-Mail enthält einen Link zu einer scheinbar seriösen Website, und das Opfer wird aufgefordert, seine Kontodaten einzugeben. Nach der Eingabe nutzt der Cyberkriminelle diese Daten, um sie zu stehlen, zu betrügen oder noch wertvollere Informationen zu erhalten. Die Angriffsstrategie besteht darin, eine große Anzahl potenzieller Opfer zu kontaktieren, in der Hoffnung, eine Handvoll zu finden, die auf den Link klicken und auf den Trick hereinfallen.
Was sind einige Beispiele für Phishing?
Phishing-Angriffe beinhalten in der Regel einen bösartigen Anhang oder einen bösartigen Link zu einer kompromittierten Website. Ars Technica berichtete über mehrere durch Phishing ausgelöste Ransomware-Angriffe auf Krankenhäuser im Jahr 2016.
"Der März war kein guter Monat für die Krankenhaus-IT. Letzte Woche zahlte das Personal des Methodist Hospital in Henderson, Kentucky, ein Lösegeld in Höhe von 17.000 Dollar, um die Systeme des Krankenhauses wiederherzustellen - obwohl Quellen, die mit dem Vorfall vertraut sind, behaupten, das Krankenhaus habe viel mehr bezahlt. Und in Kalifornien waren zwei Krankenhäuser, die von Prime Healthcare Management, Inc. betrieben werden, gezwungen, ihre Systeme abzuschalten. Der Ransomware-Angriff von Prime verursachte auch in mehreren anderen Krankenhäusern und bei angeschlossenen Pflegeanbietern Unterbrechungen, da gemeinsam genutzte Systeme offline genommen wurden... Die Ransomware-Angriffe auf das Methodist Hospital und Prime Healthcare erfolgten über "Phishing"-E-Mails."
Was ist Spear Phishing?
Im Gegensatz dazu geht es beim Spear-Phishing um eine kleine Anzahl von Kontakten, die eine hohe Konversionsrate aufweisen. Spear-Phisher beschaffen sich private Informationen, indem sie den Hintergrund von Personen und Unternehmen in sozialen Medien, auf Unternehmenswebsites und anderen öffentlich zugänglichen Informationen recherchieren. Cyber-Kriminelle nutzen diese gezielten Informationen, um das Opfer davon zu überzeugen, eine Aufgabe auszuführen oder Informationen weiterzugeben.
Was sind einige Beispiele für Spear Phishing?
Ein kürzlich erschienener Artikel auf der lokalen Nachrichtenseite von Berks County, Pennsylvania, ist ein gutes Beispiel dafür.
„Weidenhammer wurde Opfer eines Spear-Phishing-Angriffs, bei dem 100 Prozent unserer W-2-Formulare für 2016 an eine unbekannte Partei übertragen wurden“, teilte der Gründer der Weidenhammer Systems Corporation seinen Mitarbeitern im Jahr 2017 mit. „Sie sollten davon ausgehen, dass Ihre Sozialversicherungsnummer, Ihre Privatadresse, Ihre Einkünfte für 2016 und alle Steuerabzüge, die auf einem W-2-Formular aufgeführt sind, kompromittiert wurden.“
"Die Täter haben bereits damit begonnen, die Informationen zu nutzen, um betrügerische Einkommenssteuererklärungen für 2016 einzureichen, Eigenheimkredite zu beantragen und Kreditkartenkonten zu eröffnen bzw. zu betrügen", so John Weidenhammer.
Dieses Beispiel verdeutlicht, wie schnell ein Spear-Phishing-Betrug Unternehmensmitarbeiter schädigen kann. Die typischere Gefahr besteht jedoch direkt für die Finanzen oder das geistige Eigentum des Unternehmens. Das Infosec Institute hat Details zu einem weiteren Spear-Phishing-Angriff auf Ubiquiti Networks im Jahr 2015 aufgezeichnet.
„Die potenzielle Zerstörungskraft eines Spear-Phishing-Angriffs für ein Unternehmen wird am Beispiel von Ubiquiti Networks Inc., einem amerikanischen Netzwerktechnologieunternehmen für Dienstleister und Unternehmen, deutlich. Im Juni 2015 verlor das Unternehmen aufgrund einer Spear-Phishing-E-Mail 46,7 Millionen US-Dollar. Ein Bericht der US-Börsenaufsichtsbehörde SEC zeigt, dass der Angriff durch „die Identitätsfälschung von Mitarbeitern und betrügerische Anfragen einer externen Stelle, die sich an die Finanzabteilung des Unternehmens richteten“, durchgeführt wurde.
Was ist Walfang?
Dies ist ein neuerer Begriff und ist einfach ein Spear-Phishing-Angriff, der auf leitende Angestellte, die Wale, abzielt. Whaling kann Spear-Phishing oder Social Engineering ähneln, unterscheidet sich aber dadurch, auf wen im Unternehmen es abzielt. Führungskräfte benötigen möglicherweise eine zusätzliche Schulung, um diese Art von Angriffen zu erkennen, und sie benötigen sicherlich einen zusätzlichen Schutz durch Technologielösungen, die Vorfälle verhindern können, bevor sie auftreten. Wenn Sie vor Spear-Phishing geschützt sind, können Sie davon ausgehen, dass Sie auch vor Whaling geschützt sind.
Was ist ein Beispiel für Walfang?
Ein Beispiel aus dem Jahr 2016 betrifft das bekannte Social-Media-Unternehmen Snap, das für seine beliebte App Snapchat bekannt ist. Digital Guardian hat diese Zusammenfassung des Angriffs veröffentlicht.
Anfang 2016 wurde die Social-Media-App Snapchat Opfer eines Walfangangriffs, als ein hochrangiger Mitarbeiter von einem Cyberkriminellen, der sich als CEO ausgab, per E-Mail kontaktiert und zur Preisgabe von Gehaltsabrechnungsdaten verleitet wurde.
Ein Angriff im Jahr 2015 galt Mattel, dem weltberühmten Hersteller von Barbie und anderem Spielzeug. CBS News berichtete:
"Die E-Mail schien unauffällig: eine routinemäßige Anfrage des Chefs von Mattel für eine neue Lieferantenzahlung nach China... Die Finanzmanagerin, die die Nachricht erhielt, war natürlich bestrebt, ihrem neuen Chef zu gefallen. Sie überprüfte das Protokoll. Geldtransfers mussten von zwei hochrangigen Managern genehmigt werden. Sie qualifizierte sich und der CEO auch... Zufrieden überwies die Führungskraft über 3 Millionen Dollar an die Bank of Wenzhou in China. Stunden später erwähnte sie die Zahlung gegenüber Sinclair. Aber er hatte keine derartige Anfrage gestellt."
Was ist Social Engineering?
Während Phishing-Schemata in der Regel auf E-Mails, Anhänge und Webseiten zurückgreifen, um private Daten abzufangen, kann Social Engineering diese, das Telefon oder eine Reihe anderer Methoden nutzen. Beim Social Engineering werden Menschen durch psychologische Manipulation dazu gebracht, Informationen preiszugeben oder unangemessene Handlungen vorzunehmen. Sehr oft haben die Opfer keine Ahnung, dass sie etwas Falsches getan haben, bis der Betrug später aufgedeckt wird. Wie Spear-Phishing sind auch Social-Engineering-Angriffe sehr gezielt auf eine kleine Zahl potenzieller Opfer ausgerichtet.
Was sind einige Beispiele für Social Engineering-Angriffe?
In einem Artikel der USA Today wird eine Social-Engineering-Angriffstechnik beschrieben, die 2016 in einem aktuellen Artikel verwendet wurde.
„In einer der jüngsten Varianten dieses Betrugs geben sich die Kriminellen als Anwälte aus und kontaktieren Führungskräfte der Zielunternehmen mit der Behauptung, dass sie wichtige, vertrauliche oder äußerst zeitkritische Angelegenheiten bearbeiten. Mit psychologischem Druck bringen sie die Führungskräfte dazu, Geld an die Betrüger zu überweisen.“
Ein weiteres Beispiel stammt von Smartfile. Es beschreibt einen Angriff auf das FBI mit einer einfachen Social-Engineering-Technik, die durch einen Telefonanruf eingeleitet wurde.
Also rief ich [den Helpdesk] an und sagte ihnen, dass ich neu sei und nicht wüsste, wie ich [das Portal] überwinden könnte", so der Hacker gegenüber Motherboard. Sie fragten mich, ob ich einen Token-Code hätte, ich sagte nein, sie sagten, das sei in Ordnung - verwenden Sie einfach unseren. Ich habe darauf geklickt und hatte vollen Zugriff auf den Computer.
Kurz darauf wurden 20.000 FBI- und 9.000 Heimatschutzministerium-Datensätze der Öffentlichkeit zugänglich gemacht. Der Hacker verschaffte sich Zugang zu den Namen der Mitarbeiter und sogar zu Kreditkartendaten. Nach dem IBM-Standard für die Kosten pro Datensatz bei Datenschutzverletzungen aus dem Jahr 2015 (170 US-Dollar pro Datensatz aufgrund böswilliger Aktivitäten) entspricht dies einem Verlust von fast 5 Millionen US-Dollar während eines zweiminütigen Telefongesprächs. Angesichts der Menge an Kreditkartendaten und der noch unbekannten Auswirkungen des Zugriffs auf Daten zur nationalen Sicherheit dürfte der Schaden sogar noch höher sein.“
Was ist bei diesen Angriffen gemeinsam?
All diese Techniken können dazu führen, dass Anmeldedaten kompromittiert werden, bösartige Links oder Malware als Teil der Angriffe verwendet werden. Wie in der Branche üblich, kommen bei vielen Verstößen gegen die Informationssicherheit mehrere Tools, Techniken und Verfahren (TTP) zum Einsatz. Die meisten beginnen jedoch mit einer einfachen E-Mail. Phishing, Spear-Phishing, Whaling und Social Engineering werden in der Regel als Einstiegspunkte für Angriffe oder als Eskalationspunkte verwendet, um leichter an wertvolle Informationen zu gelangen oder schädlichere Aktionen auszuführen.
Außerdem kommen dabei Techniken zum Einsatz, die selbst Ihre besten Intrusion-Prevention- und Endpoint-Detection-Systeme nicht verhindern können. Ihre Mitarbeiter lassen diese Personen durch Ihre Haustür herein. Manchmal begehen Ihre Mitarbeiter unwissentlich Diebstahl im Auftrag der Kriminellen.
Graphus Ihnen dabei, Vertrauen zu messen und Kompromisse zu verhindern.
Graphus einen Weg gefunden, fast alle diese Angriffe zu stoppen, indem es bekannte Anzeichen für Betrug identifiziert UND ein Diagramm der vertrauenswürdigen Beziehungen zwischen Ihren Mitarbeitern und der Außenwelt erstellt. Dies geht weit über die von Google angebotene E-Mail-Sicherheit oder Anti-Phishing-Schulungen hinaus. Beide Lösungen sind hilfreich, lassen jedoch viel zu viele Angriffe durch. Ein Bericht von ISMG legt nahe, dass 65 % aller Social-Engineering-Angriffe diese traditionellen Abwehrmaßnahmen erfolgreich umgehen. Durch die Verwendung von Graphentheorie in Verbindung mit maschinellem Lernen und Big-Data-Algorithmen ist Graphus in der Lage, Spear-Phishing- und Social-Engineering-Angriffe Graphus verhindern.
