31. August 2022 Wolfgang Franz

Phishing leicht gemacht

Die Bezeichnungen RaaS und PaaS wirken auf den ersten Blick unschuldig, doch in einem bestimmten Kontext verbergen sich dahinter kriminelle Aktivitäten wie Ransomware und Phishing – und zwar als Online-Services für technisch Unbedarfte. [...]

Phishing – Crime as a Service (c) Anne Nygard / Unsplash
Phishing – Crime as a Service (c) Anne Nygard / Unsplash

Mittlerweile hat sich herumgesprochen, dass Ransomware-as-a-Service (RaaS) zu einem echten Geschäftsmodell mit hochprofessionalisierten Akteuren geworden ist – und das nicht zuletzt, weil sich die mögliche Angriffsfläche für Cyberkriminelle deutlich vergrößert hat. Nach Schätzungen wurden im Jahr 2020 64 Prozent aller Ransomware-Angriffe mit dem RaaS-Ansatz durchgeführt.

„Das RaaS-Business hat sich in den letzten Jahren extrem professionalisiert“, sagt Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf. „Die kriminellen Anbieter liefern unterschiedlichste Angriffstools und einzelne Angriffschritte als Services. Die Tools werden zusammen mit Anleitungen für die Durchführung von Angriffen, bewährten Verfahren, Lösegeldstrategien und sogar einem IT-Helpdesk angeboten. RaaS bietet nicht selten genau die Art von Dokumentation und Architektur, die man auch von gängigen SaaS-Angeboten erwarten würde, und ist weit entfernt von der popkulturellen Darstellung des stereotypen, kapuzenpullitragenden Einzelgängers.“

Vielleicht weniger bekannt ist, dass auch Phishing den Weg der Online-Services genommen hat – genannt „Phishing as a Service« (PaaS, nicht zu verwechseln mit »Platform as a Service«). PaaS-Anbieter werben mit Phishing-Kits, die in der Regel im Dark Web verkauft werden. Einige dieser Kits sind inzwischen auch im regulären Web erhältlich, wie Elliot Nesbo auf www.makeuseof.com schreibt. Ein Kit enthält alles, was für einen erfolgreichen Phishing-Angriff erforderlich ist. Dazu gehören Vorlagen für den Versand von E-Mails, die scheinbar von seriösen Unternehmen stammen, sowie Templates für Websites, auf die die Opfer geleitet werden sollen. Einige Produkte enthalten auch Listen mit potenziellen Zielen. Da sich Phishing-Kits an Personen richten, die über keine technischen Kenntnisse verfügen, enthalten sie häufig auch ausführliche Anleitungen und sogar „Kundensupport“.

Mit anderen Worten: PaaS beseitigt die Einstiegshürde in die Phishing-Welt ohne HTML verstehen zu müssen oder eine Website erstellen zu können. Kriminalität für Dummies quasi. 

Nachdem eine Angreiferin oder ein Angreifer die Anmeldedaten eines Opfers gestohlen hat, gibt es eine Reihe von Möglichkeiten. Der oder die Kriminelle ist zum Beispiel in der Lage, die Anmeldedaten selbst zu verwenden. Wenn es sich um ein Finanzkonto handelt, kann er oder sie versuchen, direkt Geld zu lukrieren. Geht es um den Zugang zu einem Netzwerk, lässt sich dieser nutzen, um einen Ransomware-Angriff zu starten. Die Zugangsdaten werden auch im Dark Web weiterverkauft. Auf diese Weise kann jemand von gestohlenen Zugangsdaten profitieren, auch wenn er oder sie eigentlich keine Verwendung dafür hat, so Elliot Nesbo.

Beliebteste Marken

Was die E-Mail-Vorlagen betrifft, so führt derzeit LinkedIn mit 45 Prozent, so der Brand Phishing Report Q2 2022 von Check Point Research. „Phishing-E-Mails sind ein wichtiges Werkzeug im Arsenal eines jeden Hackers, da sie schnell eingesetzt werden können und mit relativ geringem Aufwand Millionen von Nutzern ansprechen“, kommentiert Omer Dembinsky, Data Research Group Manager bei Check Point. Den auffälligsten Anstieg bei der Ausnützung bekannter Technologieunternehmen verzeichnete der Brand Phishing Report bei Microsoft, auf das 13 Prozent aller Phishing-Versuche weltweit entfielen, mehr als doppelt so viele wie im vorherigen Quartal. Damit imitiert jede zweite Phishing-E-Mail Microsoft-Marken, da die Redmonder bekanntlich Eigentümer von LinkedIn sind. „Die Phishing-Mails geben Cyberkriminellen die Möglichkeit, den Ruf vertrauenswürdiger Marken auszunutzen, um den Benutzern ein falsches Gefühl der Sicherheit zu vermitteln, das genutzt werden kann, um persönliche oder geschäftliche Informationen zu stehlen und sich so einen finanziellen Vorteil zu verschaffen“, so Dembinsky. Damit ist die größte und potenteste Gruppe der Phishing-Community angesprochen: Es sind die Menschen, die sich von den Mails täuschen lassen. Ohne sie wäre Phishing kein Thema. 

Gefährliche Geschäftsmails 

Neben bekannten Brands sind es vor allem vermeintliche Geschäftsmails, die zum Anklicken locken. KnowBe4 veröffentlichte vor kurzem die Ergebnisse einer Studie, in der die erfolgreichsten Phishing-Methoden untersucht wurden. Darunter befinden sich auch die am häufigsten angeklickten E-Mail-Betreffzeilen. Die Hälfte der angeklickten E-Mails enthielt Betreffzeilen, die sich auf die Personalabteilung bezogen, darunter Informationen zu Urlaubsrichtlinien, Änderungen des Dresscodes und Personalgespräche. Die andere Hälfte setzen sich aus IT-Anfragen zusammen, einschließlich Passwortüberprüfungen. 

Mittlerweile wissen die meisten Mitarbeitenden, dass sie nicht auf Links in einer SMS klicken sollten, in der eine angebliche Bestellung im Wert von mehreren Tausend Euro bestätigt werden soll, oder in der sie darüber informiert werden, vermeintlich aus heiterem Himmel einen Preis gewonnen zu haben, so die Autoren der KnowBe4-Studie. Aber was ist, wenn die Nachricht von der Personalabteilung kommt und ein Personalgespräch ansteht? Oder was, wenn es sich bei dem Anhang um den Entwurf einer Personalplanung handelt, in dem ihr Name erwähnt wird? 

„Geschäftliche Phishing-E-Mails sind besonders effektiv, weil sie legitimer wirken, dringlicher sind und dadurch eine schnellere Reaktion beim Empfänger auslösen. Die E-Mail-Quelle kann durch eine gefälschte Domäne verschleiert werden, so dass sie noch leichter zu übersehen ist, und kann sogar den Namen und das Logo des Unternehmens – manchmal sogar den Namen des Mitarbeiters – im E-Mail-Text enthalten“, so die Studien-Autoren.

Wie viele Personen sind nun gefährdet? Laut Tests von KnowBe4 sind es 32,4 Prozent der Mitarbeiterinnen und Mitarbeiter, die wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Aufforderung nachkommen würden, wenn sie davor keine Security-Awareness-Schulung absolviert haben. In einigen Branchen wie Beratung, Energie- und Versorgungsunternehmen sowie Gesundheitswesen und Pharmazeutik liegt der Prozentsatz sogar bei über 50 Prozent.

Folgen und Gegenmaßnahmen

Die Folgen dieses Fehlverhaltens gepaart mit der Beliebtheit von Phishing-as-a-Service sind erschreckend. Der jährliche ThreatLabz-Report von Zscaler zeigt einen Anstieg von Phishing-Angriffen um 29 Prozent im Vergleich zum Vorjahr, wobei Einzel- und Großhandelsunternehmen die Hauptlast des Anstiegs zu tragen hatten: Hier verzeichnen die Security-Experten ein Wachstum von satten 400 Prozent. 

Was die Länder betrifft, so waren die USA mit über 60 Prozent aller von der Zscaler Security Cloud blockierten Phishing-Angriffe das am häufigsten angegriffene Land weltweit. Es folgen Singapur, Deutschland, die Niederlande und Großbritannien. Angesichts der Studienergebnisse, welche – wieder einmal – die User als schwächstes Glied ausmachen, liegt es auf der Hand, vor allem in Awareness-Schulungen zu investieren, um das Phishing-Problem in den Griff zu bekommen. Diese Schulungen sind auch nicht sehr aufwendig. Es würde schon helfen, wenn User auf Grundlegendes wie Orthografie, Grammatik oder Design der Mails achten würden. Denn Tatsache ist, dass Menschen, die ihr Heil in Dummy-Phishing-Kits suchen, auch in anderen Bereichen meist nicht die Hellsten sind.  

Smishing-Raten steigen

Der Diebstahl von Anmeldedaten per E-Mail, also Phishing, ist nach wie vor die häufigste Form der Cyberkriminalität. Allerdings ist Smishing ein schnell wachsendes Pendant zum E-Mail-Phishing, so die IT-Sicherheitsexperten von Proofpoint. Es nutzt SMS, MMS, RCS und andere Nachrichtenarten, um Anmeldedaten zu erbeuten. In den USA beispielsweise haben sich die Smishing-Raten im letzten Jahr fast verdoppelt und dieser Trend wird sich in diesem Jahr fortsetzen. Die Proofpoint-Experten gehen davon aus, dass die Erfolgsquote von Smishing-Angriffen insgesamt wesentlich höher ist als die von E-Mail-Phishing, obwohl das Volumen der E-Mail-Angriffe nach wie vor wesentlich größer ist.

Im Gegensatz zum Internet, wo sich die oben erwähnten Dummies herumtreiben, handelt es sich bei Mobilfunknetzen um geschlossene Systeme. Dies macht es schwieriger, anonym Nachrichten zu erstellen und über das Netz zu versenden. Um eine bösartige Mobilfunknachricht zu versenden, muss sich ein Smishing-Angreifer zunächst Zugang zum Netz verschaffen, was ausgeklügelte Exploits oder spezielle Hardware erfordert. Obwohl wichtige strukturelle Unterschiede zwischen Smishing und Phishing bestehen, weisen diese Angriffe beim Einsatz von Social Engineering viele Gemeinsamkeiten auf, so die Proofpoint-Studie. Im Grunde beruhen beide Ansätze auf Lockmitteln, welche die menschliche Psychologie auszunutzen versuchen. Sie nutzen die Verlustängste potenzieller Opfer ebenso wie vermeintlich dringliche Anliegen oder autoritäres Auftreten, um die Opfer zu einer Aktion zu bewegen.  

Ein wesentlicher Unterschied besteht allerdings darin, dass die Klickraten auf URLs in mobilen Nachrichten bis zu achtmal höher sind als bei E-Mails. Das Fazit der Proofpoint-Experten: „Als Schnittstelle zwischen privatem und beruflichem Leben sind Mobiltelefone ein wertvolles Ziel für Cyberkriminelle.“ Mit anderen Worten: Die Verlockungen, falsch zu klicken, nehmen nicht ab – im Gegenteil.  


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Miro Mitrovic ist Area Vice President für die DACH-Region bei Proofpoint.(c) Proofpoint
Kommentar

Die Achillesferse der Cybersicherheit

19. September 2024 Miro Mitrovic*

Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyberangreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. Eine große Schwachstelle ist dabei der Mensch, meint Miro Mitrovic, Area Vice President DACH bei Proofpoint. […]

Brian Wrozek, Principal Analyst bei Forrester (c) Forrester
Interview

Cybersicherheit in der Ära von KI und Cloud

19. September 2024 Christof Baumgartner

Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich zu einer unbeständigen Mischung von Bedrohungen entwickelt, die durch zunehmende Unsicherheit und steigende Komplexität bedingt ist. Zu diesem Schluss kommt der Report »Top Cyber-security Threats In 2024« von Forrester. ITWelt.at hat dazu mit Studienautor Brian Wrozek ein Interview geführt. […]

Alexander Graf ist Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH. (c) Antares-NetlogiX Netzwerkberatung GmbH
Interview

Absicherung kritischer Infrastrukturen

19. September 2024 Wolfgang Franz

NIS2 steht vor der Tür – höchste Zeit, entsprechende Maßnahmen auch im Bereich der Operational Technology (OT) zu ergreifen. »Wenn man OT SIEM richtig nutzt, sichert es kritische Infrastrukturen verlässlich ab«, sagt Alexander Graf, Experte für OT-Security (COSP) und Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH, im ITWelt.at-Interview. […]

In Österreich gibt es die freie Wahl des Endgeräts. Oder doch nicht? (c) Pexels
News

RTR erklärt Wahlfreiheit zum Nischenthema

19. September 2024 Christof Baumgartner

Bei der Frage, ob Endkunden oder die Provider darüber entscheiden sollten, welches Endgerät sie an ihrem Breitbandanschluss nutzen können, stellt sich die RTR klar auf eine Seite. Laut RTR existiert bereits Wahlfreiheit. Dennoch will die Regulierungsbehörde aktiv werden, wenn sich noch mehr Kunden über das Fehlen der Wahlfreiheit bei ihr beschweren. Logik geht anders. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*