Spam vs. Phishing: Was ist der Unterschied?

Der Zweck einer Spam ist es, so viele Menschen wie möglich mit Nachrichten zu überschwemmen, die Produkte und Dienstleistungen vermarkten und anpreisen. Es ist im Grunde das digitale Äquivalent zu all den Umschlägen und Postkarten mit Junk-Mail, die der Postbote in den Briefkasten zu Hause wirft. Im Bericht X-Force Threat Intelligence Index 2020 von IBM wird Spam als Zahlenspiel beschrieben: „

Grundsätzlich gilt: Wenn Sie genug E-Mails verschicken, wird irgendwann irgendjemand, irgendwo auf den Betrug hereinfallen. Aus diesem Grund sind Spam-Nachrichten nicht zielgerichtet und erreichen die breite Masse. Es gibt drei gängige Arten, wie Betrüger Spam einsetzen:

• E-Mail-Nachrichten,
• Telefonanrufe (Telefonmarketing und Robo-Anrufe) und
• SMS-Phishing-Nachrichten (Textnachrichten).

Auch wenn Spam nicht unbedingt so gefährlich ist wie Phishing, müssen die Benutzer dennoch vorsichtig sein, wenn es um diese Nachrichten geht. Sie versuchen häufig, Sie dazu zu bringen, persönliche Informationen preiszugeben, die sie in zukünftigen Spam-Versuchen verwenden können. Und manchmal können sie auch bösartig sein (obwohl das seltener vorkommt als bei Phishing-E-Mails).

Was ist Phishing?

Phishing ist eine Methode von Betrügern und Cyberkriminellen, sich als eine juristische Person auszugeben oder andere Methoden anzuwenden, um ihre Ziele zu betrügen. Phishing-Nachrichten sind in der Regel gefährlicher als Spam, da sie zwar den Anschein der Legalität erwecken, aber darauf abzielen, Menschen zu verletzen, zu manipulieren oder zu verleiten, etwas zu tun, was sie normalerweise nicht tun würden oder sollten. Wenn wir also von Spam und Phishing sprechen, liegt der Unterschied zwischen den Absichten des Absenders und dem Inhalt der Nachrichten.

Das Ziel von Phishing-E-Mails ist es, Benutzer dazu zu bringen, Informationen weiterzugeben, auf Links zu klicken oder auf bösartige Anhänge einzugehen. Mit den Links versuchen sie, Ihre Anmeldedaten zu stehlen oder Sie dazu zu bringen, versehentlich bösartige Software herunterzuladen. Mit den Anhängen versuchen sie außerdem, Sie zur Installation von Malware zu bewegen. In jedem Fall ist das eine schlechte Nachricht für Sie.

Zu den häufigsten Arten von Phishing gehören

• Phishing-E-Mails (einschließlich Wal-Phishing, Spear-Phishing),
• Telefonanrufe (Vishing),
• SMS (Smishing),
• Wi-Fi-Port-Phishing (böser Zwilling),
• HTTPS-Phishing und
• Angler-Phishing (Klonen von Posts und Profilen in sozialen Medien).

Spam vs. Phishing in E-Mails

E-Mails sind die beliebtesten Spamming- und Phishing-Techniken. Deshalb werden wir darüber sprechen, wie man Spam-E-Mails von Phishing-E-Mails unterscheiden kann.

Was ist Spam im Zusammenhang mit E-Mails?

Alle elektronischen Nachrichten, die zur kommerziellen Werbung oder Förderung eines Produkts, einer Dienstleistung oder des Inhalts einer Website verschickt werden, gelten als Spam. E-Mail-Spamming ist eine legale Aktivität im Rahmen des Controlling the Assault of Non-Solicited Pornography And Marketing Act von 2003, der als CAN-SPAM Act bekannt ist.

Dies sind einige der wichtigsten CAN-SPAM-Regeln, die der Absender einhalten muss:

• E-Mails müssen einen aktiven und sichtbaren Link oder eine Schaltfläche zum Abbestellen enthalten. Der Absender hat 10 Tage Zeit, um der Aufforderung zur Abmeldung nachzukommen und die Zusendung von E-Mails an den Empfänger einzustellen.
• Die E-Mail-Adresse des Absenders muss korrekt sein. Die „Absender“-Zeile darf nicht irreführend sein und der Betreff der Nachricht muss zum Inhalt der Nachricht passen.
• Die physische Adresse des Absenders muss angegeben werden. Eine physische Adresse (oder eine Postfachnummer) des Absenders (Unternehmen, Einzelabsender, Werbetreibender oder Drittanbieter) muss in der E-Mail vorhanden sein.
• Die Empfänger müssen gewarnt werden, wenn die E-Mail nicht jugendfreie Inhalte enthält. Wenn der Inhalt nicht jugendfrei ist, muss er als „SEXUELL EXPLICIT“ gekennzeichnet werden.
• Der Absender sollte E-Mails von mehreren E-Mail-Adressen aus versenden. Der Absender sollte keine Spam-Nachrichten an denselben Empfänger von verschiedenen E-Mail-Adressen aus senden.
• E-Mails dürfen keine Malware enthalten: Die Spam-Nachrichten dürfen keine Malware (Viren, Würmer, Trojaner usw.) enthalten oder die Nutzer auf bösartige Websites umleiten.

Wenn Unternehmen E-Mails an bestehende Kunden oder an Interessenten (Personen, die sich nach Produkten/Dienstleistungen erkundigt haben) zur Nachverfolgung, für Rückmeldungen, Vorschläge oder andere Arten der Kommunikation senden, werden solche Nachrichten ebenfalls nicht als Spam angesehen. Diese Nachrichten werden unter CAN-SPAM als Beziehungsnachrichten eingestuft. Auch politische und religiöse E-Mails sind von der SMAP-Definition in CAN-SPAM ausgenommen.

Spam-E-Mails sind nicht schädlich. Sie sind nur unerwünscht und nehmen unnötig Platz in Ihrem Posteingang ein. Aber SPAM-E-Mails sind dafür bekannt, dass sie Sicherheitslücken ausnutzen; Hacker können sie ausnutzen, um in den E-Mail-Client des Empfängers einzudringen und die Malware oder Phishing-E-Mails zu verbreiten. Laut dem IBM-Bericht X-Force Threat Intelligence Index 2020 machten beispielsweise die Sicherheitslücken mit den CVEs 2017-0199 und 2017-11882 „fast 90 Prozent der Schwachstellen aus, die Hacker über Spam-Kampagnen auszunutzen versuchten.“

Bei Spam geht es nur um Zahlen. Wenn Sie genug Leute mit Ihren Spam-Nachrichten erreichen, zahlen sich selbst minimale Erfolgsquoten langfristig aus.

Die meisten E-Mail-Clients erkennen Spam-E-Mails automatisch und werfen sie in den Spam/Junk-Ordner. Auch alle Anhänge und Bilder werden in einer solchen E-Mail blockiert. Wenn Sie aber immer noch unerwünschte Spam-E-Mails in Ihrem Posteingang erhalten, können Sie sich von diesen abmelden. (Achten Sie nur darauf, den Abmeldelink zu überprüfen, um sicherzustellen, dass es sich nicht um einen Phishing-Link oder einen bösartigen Link handelt). Sie können auch mit der rechten Maustaste auf die E-Mail in Ihrem Posteingang klicken, um sie in den Spam-Ordner zu verschieben. Sie können auch den Absender blockieren.

Hier ist ein Beispiel für eine typische Spam-E-Mail:

Dies ist eine Spam-E-Mail, die ich von einer Website für Logo-Design erhalten habe. Der Inhalt in der Betreffzeile stimmt mit dem Inhalt der E-Mail überein. Sie können auch sehen, dass die E-Mail eine Registerkarte „Abgemeldet“ und die physische Adresse des Unternehmens enthält. Das bedeutet, dass es sich um eine Spam-E-Mail handelt, die alle SPAM-CAN-Richtlinien erfüllt.

Was ist Phishing im Zusammenhang mit E-Mails?

Betrüger versenden Phishing-E-Mails, die sich als Unternehmen oder Person ausgeben, der die Empfänger vertrauen. Diese E-Mails sind von Natur aus trügerisch. Phishing-E-Mails sind so gestaltet, dass sie so aussehen, als kämen sie von Ihrer Bank, einer E-Commerce-Website, einer Universität, einer Behörde, Ihrem Arbeitgeber, Ihren Verwandten oder Kollegen. 96 % der Phishing-Angriffe erfolgen per E-Mail, wie der 2020 Data Breach Investigations Report (DBIR) von Verizon zeigt.

Diese E-Mails können mit Malware verseuchte Anhänge, bösartige Links oder Weiterleitungen zu Spam-Websites enthalten. Manchmal versuchen die Angreifer, eine emotionale Reaktion bei den Empfängern auszulösen und geben deren vertrauliche Informationen weiter, wie z. B.:

• Zahlungskartennummern,
• Telefonnummern,
• Physikalische Adresse,
• Sozialversicherungsnummer (SSN),
• Steuerinformationen und
• Gesundheitsinformationen

Zu den allgemeinen Motiven hinter Phishing-E-Mails gehören:

• Finanzbetrug,
• Identitätsdiebstahl,
• Diebstahl von Anmeldedaten,
• Verbreitung von Malware (Würmer, Viren, Trojaner, Rootkits, Adware usw.) und
• Umleitung von Empfängern auf bösartige Websites.

Unten sehen Sie ein Beispiel für eine typische Phishing-E-Mail. Die E-Mail sieht aus, als käme sie von PayPal, aber wenn Sie die E-Mail-Adresse des Absenders genau prüfen, sehen Sie, dass sie von einem Betrüger stammt, und der harmlos aussehende PDF-Anhang enthält möglicherweise gefährliche Malware.

Viele US-Bundesstaaten haben unterschiedliche Gesetze für Phishing. Es gibt kein Bundesgesetz, das Phishing direkt kriminalisiert, aber die Bundesstrafgesetze gelten für Finanzbetrug und Identitätsdiebstahl, die durch Phishing begangen werden.

Wenn Sie Opfer einer Phishing-E-Mail geworden sind, können Sie Ihre Beschwerde bei der www.ic3.gov, ftc.gov/complaint oder [email protected] einreichen.

Der Unterschied zwischen Spam- und Phishing-E-Mails

Um den Unterschied zwischen Spam- und Phishing-E-Mails besser zu verstehen, halten wir es für nützlich, sie in einer Tabelle nebeneinander zu stellen.

	Spam	Phishing
Zweck	Produkte und Dienstleistungen bewerben und vermarkten	Empfänger betrügen
Natur	Unerwünschte kommerzielle E-Mails, die in der Regel gutartig sind, aber manchmal auch bösartig sein können	Fehlleitende Nachrichten, die scheinbar von legitimen Unternehmen stammen, aber in Wirklichkeit bösartig sein sollen.
Enthalten	Produkt-/Dienstleistungswerbung, Gutscheincodes, Angebote, Rabatte, Anfrage- oder Umfrageformulare	Malware-beladene Anhänge, infizierte Links, Links, die auf Spamming-Websites umleiten, irreführende Nachrichten, die den Empfänger dazu bringen, seine PII/Finanzdaten preiszugeben
Gesetzgebung	Die U.S. Non-Solicited Pornography and Marketing Act of 2003 Für andere Länder: Anti-Spam-Gesetze	Verschiedene einzelstaatliche Gesetze, das US-Bundesstrafrecht

Spam vs. Phishing: Sprachnachrichten und Telefonanrufe

Täter verwenden Telefonanrufe, um Ziele zu spammen und zu phishen.

Spam-Anrufe

Wenn Sie einen unaufgeforderten Telefonanruf zu Marketingzwecken erhalten, insbesondere von einem Unternehmen, mit dem Sie noch nie zu tun hatten, kann dies als Spam-Anruf eingestuft werden. Die Definition von Marketing-Anrufen und Spam-Anrufen kann unscharf sein.

Wenn Sie zum Beispiel plötzlich einen Anruf erhalten, um eine Kreditkarte von einer Kartenfirma zu beantragen, mit der Sie noch nie zu tun hatten, gilt dies als Spam-Anruf. Wenn aber jemand anruft, um Ihnen die neue Karte oder die Versicherungspolicen der Bank zu verkaufen, bei der Sie bereits ein Konto haben, gilt dies als reiner Marketinganruf, um zusätzliche Produkte zu verkaufen. In den USA schränken der Telephone Consumer Protection Act (TCPA) und die Federal Communications Commission (FCC) Spam-Anrufe und Telemarketing-Nachrichten ein.

Voice Phishing (Vishing)

Wenn die Täter Anrufe tätigen, bei denen sie sich als eine andere Person ausgeben, um Sie zu betrügen, wird dies als Voice Phishing oder Vishing bezeichnet. Ein Betrüger ruft Sie beispielsweise an und gibt sich als Bankmanager aus und bittet Sie, die letzten vier Ziffern Ihrer Sozialversicherungsnummer und einige andere persönliche Daten anzugeben, um Ihnen eine neue Kreditkarte zu schicken.

Manchmal verwenden die Angreifer eine durchgesickerte Datenbank oder nutzen ihre Social-Engineering-Fähigkeiten, um vor dem Anruf ein wenig über die potenziellen Opfer zu recherchieren. Sie rufen beispielsweise Studenten an und geben sich als Bankangestellte aus, die sich um Studentendarlehen kümmern, oder als Vertreter der staatlichen oder bundesstaatlichen Abteilung für Studienbeihilfen, die weitere Informationen zu ihrem Stipendienantrag wünschen. Kurz gesagt, anstatt wahllos Nummern anzurufen, rufen die Betrüger an, um ihre Zielgruppe zu verstehen, so dass sie für die potenziellen Opfer seriös klingen.

Spam vs. Phishing: Textnachrichten

Heutzutage gibt es Websites und Tools, die Massen-SMS zu unglaublich niedrigen Kosten versenden können. Deshalb verschicken Spammer und Phishing-Betrüger ihre Nachrichten auch so gerne per SMS! Sie sind in der Lage, die Nutzer auf ihren Handys zu erreichen, wo immer sie sich befinden.

Spam-Textnachrichten

Wenn Unternehmen unerwünschte Massen-SMS zu kommerziellen, nicht böswilligen Zwecken versenden, werden sie als Spam-Textnachrichten oder Spam-SMS-Nachrichten bezeichnet. Diese Nachrichten können Produktinformationen, Einzelheiten zu Sonderangeboten/Rabatten, Angeboten, Programmen, Gutscheincodes usw. enthalten. Sie können auch Links zur Produkt-/Dienstleistungs-Website enthalten.

Einige Spam-SMS werden als Umfrage verschickt, um mehr Informationen über potenzielle Kunden zu erhalten. Der Zweck solcher Textnachrichten kann der Verkauf eines Produkts oder einer Dienstleistung, Branding, das Sammeln weiterer Informationen (wie Demografie, Kaufgewohnheiten, Kaufkraft, Vorlieben usw.) der Empfänger sein. Text-Spamming fällt auch unter das Telefon-Verbraucherschutzgesetz (TCPA).

SMS-Phishing (Smishing)

Hier versenden Betrüger Textnachrichten und geben sich dabei als legitime Organisationen aus. Art und Zweck solcher Phishing-SMS-Nachrichten sind die gleichen wie bei Phishing-E-Mails – nämlich die Empfänger zu betrügen. Die Angreifer versuchen, Sie auszutricksen oder zu manipulieren, damit Sie:

• Ihre persönlichen oder finanziellen Informationen weitergeben,
• Finanztransaktionen durchführen,
• mit Malware verseuchte Anhänge herunterladen oder
• auf Links in den SMS-Texten klicken, die Sie zu bösartigen Websites führen.

Zusammenfassend zu Spam und Phishing

Das Thema Spam und Phishing, oder genauer gesagt der Unterschied zwischen Spam und Phishing, kann verwirrend sein. Aber inzwischen können wir davon ausgehen, dass Sie wissen, dass Spam die lästige, aber harmlosere Art von Nachrichten ist, während Phishing die Cyberkriminalität erleichtert. Die feine Linie zwischen Phishing und Spam verschwimmt jedoch, wenn der Spammer gegen einige der CAN-SPAM-Richtlinien (oder die Gesetze Ihres Landes in Bezug auf SPAM) verstößt. Zum Beispiel ist der Inhalt der E-Mail oder die E-Mail-Adresse des Absenders irreführend, oder die E-Mail/Textnachrichten enthalten Malware (oder Links zu bösartigen Websites).

Spamming kann manchmal so lästig sein, dass man seine Telefonnummer oder E-Mail-Adresse ändern möchte! Andererseits kann Phishing dazu führen, dass Sie zum Opfer von Cyberkriminalität werden. Bilden Sie sich und Ihre Mitarbeiter also weiter über Phishing-Betrügereien und wie man sie erfolgreich erkennt.