Phishing leicht gemacht

Die Bezeichnungen RaaS und PaaS wirken auf den ersten Blick unschuldig, doch in einem bestimmten Kontext verbergen sich dahinter kriminelle Aktivitäten wie Ransomware und Phishing – und zwar als Online-Services für technisch Unbedarfte. [...]

Phishing – Crime as a Service (c) Anne Nygard / Unsplash
Phishing – Crime as a Service (c) Anne Nygard / Unsplash

Mittlerweile hat sich herumgesprochen, dass Ransomware-as-a-Service (RaaS) zu einem echten Geschäftsmodell mit hochprofessionalisierten Akteuren geworden ist – und das nicht zuletzt, weil sich die mögliche Angriffsfläche für Cyberkriminelle deutlich vergrößert hat. Nach Schätzungen wurden im Jahr 2020 64 Prozent aller Ransomware-Angriffe mit dem RaaS-Ansatz durchgeführt.

„Das RaaS-Business hat sich in den letzten Jahren extrem professionalisiert“, sagt Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf. „Die kriminellen Anbieter liefern unterschiedlichste Angriffstools und einzelne Angriffschritte als Services. Die Tools werden zusammen mit Anleitungen für die Durchführung von Angriffen, bewährten Verfahren, Lösegeldstrategien und sogar einem IT-Helpdesk angeboten. RaaS bietet nicht selten genau die Art von Dokumentation und Architektur, die man auch von gängigen SaaS-Angeboten erwarten würde, und ist weit entfernt von der popkulturellen Darstellung des stereotypen, kapuzenpullitragenden Einzelgängers.“

Vielleicht weniger bekannt ist, dass auch Phishing den Weg der Online-Services genommen hat – genannt „Phishing as a Service« (PaaS, nicht zu verwechseln mit »Platform as a Service«). PaaS-Anbieter werben mit Phishing-Kits, die in der Regel im Dark Web verkauft werden. Einige dieser Kits sind inzwischen auch im regulären Web erhältlich, wie Elliot Nesbo auf www.makeuseof.com schreibt. Ein Kit enthält alles, was für einen erfolgreichen Phishing-Angriff erforderlich ist. Dazu gehören Vorlagen für den Versand von E-Mails, die scheinbar von seriösen Unternehmen stammen, sowie Templates für Websites, auf die die Opfer geleitet werden sollen. Einige Produkte enthalten auch Listen mit potenziellen Zielen. Da sich Phishing-Kits an Personen richten, die über keine technischen Kenntnisse verfügen, enthalten sie häufig auch ausführliche Anleitungen und sogar „Kundensupport“.

Mit anderen Worten: PaaS beseitigt die Einstiegshürde in die Phishing-Welt ohne HTML verstehen zu müssen oder eine Website erstellen zu können. Kriminalität für Dummies quasi. 

Nachdem eine Angreiferin oder ein Angreifer die Anmeldedaten eines Opfers gestohlen hat, gibt es eine Reihe von Möglichkeiten. Der oder die Kriminelle ist zum Beispiel in der Lage, die Anmeldedaten selbst zu verwenden. Wenn es sich um ein Finanzkonto handelt, kann er oder sie versuchen, direkt Geld zu lukrieren. Geht es um den Zugang zu einem Netzwerk, lässt sich dieser nutzen, um einen Ransomware-Angriff zu starten. Die Zugangsdaten werden auch im Dark Web weiterverkauft. Auf diese Weise kann jemand von gestohlenen Zugangsdaten profitieren, auch wenn er oder sie eigentlich keine Verwendung dafür hat, so Elliot Nesbo.

Beliebteste Marken

Was die E-Mail-Vorlagen betrifft, so führt derzeit LinkedIn mit 45 Prozent, so der Brand Phishing Report Q2 2022 von Check Point Research. „Phishing-E-Mails sind ein wichtiges Werkzeug im Arsenal eines jeden Hackers, da sie schnell eingesetzt werden können und mit relativ geringem Aufwand Millionen von Nutzern ansprechen“, kommentiert Omer Dembinsky, Data Research Group Manager bei Check Point. Den auffälligsten Anstieg bei der Ausnützung bekannter Technologieunternehmen verzeichnete der Brand Phishing Report bei Microsoft, auf das 13 Prozent aller Phishing-Versuche weltweit entfielen, mehr als doppelt so viele wie im vorherigen Quartal. Damit imitiert jede zweite Phishing-E-Mail Microsoft-Marken, da die Redmonder bekanntlich Eigentümer von LinkedIn sind. „Die Phishing-Mails geben Cyberkriminellen die Möglichkeit, den Ruf vertrauenswürdiger Marken auszunutzen, um den Benutzern ein falsches Gefühl der Sicherheit zu vermitteln, das genutzt werden kann, um persönliche oder geschäftliche Informationen zu stehlen und sich so einen finanziellen Vorteil zu verschaffen“, so Dembinsky. Damit ist die größte und potenteste Gruppe der Phishing-Community angesprochen: Es sind die Menschen, die sich von den Mails täuschen lassen. Ohne sie wäre Phishing kein Thema. 

Gefährliche Geschäftsmails 

Neben bekannten Brands sind es vor allem vermeintliche Geschäftsmails, die zum Anklicken locken. KnowBe4 veröffentlichte vor kurzem die Ergebnisse einer Studie, in der die erfolgreichsten Phishing-Methoden untersucht wurden. Darunter befinden sich auch die am häufigsten angeklickten E-Mail-Betreffzeilen. Die Hälfte der angeklickten E-Mails enthielt Betreffzeilen, die sich auf die Personalabteilung bezogen, darunter Informationen zu Urlaubsrichtlinien, Änderungen des Dresscodes und Personalgespräche. Die andere Hälfte setzen sich aus IT-Anfragen zusammen, einschließlich Passwortüberprüfungen. 

Mittlerweile wissen die meisten Mitarbeitenden, dass sie nicht auf Links in einer SMS klicken sollten, in der eine angebliche Bestellung im Wert von mehreren Tausend Euro bestätigt werden soll, oder in der sie darüber informiert werden, vermeintlich aus heiterem Himmel einen Preis gewonnen zu haben, so die Autoren der KnowBe4-Studie. Aber was ist, wenn die Nachricht von der Personalabteilung kommt und ein Personalgespräch ansteht? Oder was, wenn es sich bei dem Anhang um den Entwurf einer Personalplanung handelt, in dem ihr Name erwähnt wird? 

„Geschäftliche Phishing-E-Mails sind besonders effektiv, weil sie legitimer wirken, dringlicher sind und dadurch eine schnellere Reaktion beim Empfänger auslösen. Die E-Mail-Quelle kann durch eine gefälschte Domäne verschleiert werden, so dass sie noch leichter zu übersehen ist, und kann sogar den Namen und das Logo des Unternehmens – manchmal sogar den Namen des Mitarbeiters – im E-Mail-Text enthalten“, so die Studien-Autoren.

Wie viele Personen sind nun gefährdet? Laut Tests von KnowBe4 sind es 32,4 Prozent der Mitarbeiterinnen und Mitarbeiter, die wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Aufforderung nachkommen würden, wenn sie davor keine Security-Awareness-Schulung absolviert haben. In einigen Branchen wie Beratung, Energie- und Versorgungsunternehmen sowie Gesundheitswesen und Pharmazeutik liegt der Prozentsatz sogar bei über 50 Prozent.

Folgen und Gegenmaßnahmen

Die Folgen dieses Fehlverhaltens gepaart mit der Beliebtheit von Phishing-as-a-Service sind erschreckend. Der jährliche ThreatLabz-Report von Zscaler zeigt einen Anstieg von Phishing-Angriffen um 29 Prozent im Vergleich zum Vorjahr, wobei Einzel- und Großhandelsunternehmen die Hauptlast des Anstiegs zu tragen hatten: Hier verzeichnen die Security-Experten ein Wachstum von satten 400 Prozent. 

Was die Länder betrifft, so waren die USA mit über 60 Prozent aller von der Zscaler Security Cloud blockierten Phishing-Angriffe das am häufigsten angegriffene Land weltweit. Es folgen Singapur, Deutschland, die Niederlande und Großbritannien. Angesichts der Studienergebnisse, welche – wieder einmal – die User als schwächstes Glied ausmachen, liegt es auf der Hand, vor allem in Awareness-Schulungen zu investieren, um das Phishing-Problem in den Griff zu bekommen. Diese Schulungen sind auch nicht sehr aufwendig. Es würde schon helfen, wenn User auf Grundlegendes wie Orthografie, Grammatik oder Design der Mails achten würden. Denn Tatsache ist, dass Menschen, die ihr Heil in Dummy-Phishing-Kits suchen, auch in anderen Bereichen meist nicht die Hellsten sind.  

Smishing-Raten steigen

Der Diebstahl von Anmeldedaten per E-Mail, also Phishing, ist nach wie vor die häufigste Form der Cyberkriminalität. Allerdings ist Smishing ein schnell wachsendes Pendant zum E-Mail-Phishing, so die IT-Sicherheitsexperten von Proofpoint. Es nutzt SMS, MMS, RCS und andere Nachrichtenarten, um Anmeldedaten zu erbeuten. In den USA beispielsweise haben sich die Smishing-Raten im letzten Jahr fast verdoppelt und dieser Trend wird sich in diesem Jahr fortsetzen. Die Proofpoint-Experten gehen davon aus, dass die Erfolgsquote von Smishing-Angriffen insgesamt wesentlich höher ist als die von E-Mail-Phishing, obwohl das Volumen der E-Mail-Angriffe nach wie vor wesentlich größer ist.

Im Gegensatz zum Internet, wo sich die oben erwähnten Dummies herumtreiben, handelt es sich bei Mobilfunknetzen um geschlossene Systeme. Dies macht es schwieriger, anonym Nachrichten zu erstellen und über das Netz zu versenden. Um eine bösartige Mobilfunknachricht zu versenden, muss sich ein Smishing-Angreifer zunächst Zugang zum Netz verschaffen, was ausgeklügelte Exploits oder spezielle Hardware erfordert. Obwohl wichtige strukturelle Unterschiede zwischen Smishing und Phishing bestehen, weisen diese Angriffe beim Einsatz von Social Engineering viele Gemeinsamkeiten auf, so die Proofpoint-Studie. Im Grunde beruhen beide Ansätze auf Lockmitteln, welche die menschliche Psychologie auszunutzen versuchen. Sie nutzen die Verlustängste potenzieller Opfer ebenso wie vermeintlich dringliche Anliegen oder autoritäres Auftreten, um die Opfer zu einer Aktion zu bewegen.  

Ein wesentlicher Unterschied besteht allerdings darin, dass die Klickraten auf URLs in mobilen Nachrichten bis zu achtmal höher sind als bei E-Mails. Das Fazit der Proofpoint-Experten: „Als Schnittstelle zwischen privatem und beruflichem Leben sind Mobiltelefone ein wertvolles Ziel für Cyberkriminelle.“ Mit anderen Worten: Die Verlockungen, falsch zu klicken, nehmen nicht ab – im Gegenteil.  


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*