Im Jahr 2022 werden laut den Analyseunternehmen Radicati und Statista nicht weniger als 3,4 Milliarden Phishing-E-Mails pro Tag versendet. Eine Zahl, die einem den Kopf verdreht und Fragen aufwirft. Wie schafft es ein seit Jahrzehnten so gut identifiziertes Phänomen, die Schutzmechanismen Jahr für Jahr zu durchbrechen? Und was sind die neuesten Entwicklungen auf diesem Gebiet? Rückblick auf ein Phänomen, das immer wieder Opfer fordert.
Aber was ist phishing? Diese bösartige Technik, die darauf abzielt, einen Dritten zu einer gefährlichen Handlung zu verleiten, um persönliche Informationen wie Passwörter, Geburtsdaten, Kreditkartennummern oder Ausweiskopien zu stehlen. Dazu bedient sich diese Technik verschiedener Arten von Spoofing (Website-Spoofing, Domain-Namen-Spoofing, Identitäts-Spoofing usw.) und verschiedener Kanäle (E-Mail, SMS usw.).Eine Definition, die ergänzt wird durch die Definition von Mitre Att&ck, die die Möglichkeit einbezieht, dass E-Mails bösartige Anhänge oder Links enthalten können. Auch heute noch nutzen 91 % aller Cyberangriffe E-Mails als ersten Kompromittierungsvektor. Eine Situation, die unter anderem zu landesweiten Sensibilisierungsmaßnahmen geführt hat, wie die Kampagne „Think before you click“ des Center for cybersecurity in Belgien. Angesichts solcher Aktivitäten ist es interessant, sich die Frage zu stellen, woher diese Art von Angriff kommt und wie sie sich unter Cyberkriminellen demokratisiert hat.
Die handwerklichen Anfänge und ersten Entwicklungen des Phishing
Das Wort Phishing wurde erstmals 1996 in einer Usenet-Newsgroup namens AOHell verwendet. Um den Spoofing-Charakter dieses Angriffs zu verdeutlichen, hat der Autor die Schreibweise bewusst von Fishing auf Phishing geändert. Das Stehlen von Benutzerzugängen zu AOL-Konten eröffnet dann das, was später zu einem grundlegenden Trend unter Cyberkriminellen werden wird: die Möglichkeit, massiv auf die Kunden eines großen Unternehmens abzuzielen. Adrien Gendre, Chief Tech & Product Officer bei Vade, fügt hinzu: „Als Phishing aufkam, waren es Privatpersonen, die über Verbrauchermarken ins Visier genommen wurden. Die AOHell-Episode ist ein perfektes Beispiel dafür, denn American Online war zu dieser Zeit eine starke Marke und ein wichtiger Akteur auf dem Markt für Internetanbieter. So können Millionen von Nutzern anhand eines einzigen Szenarios gezielt angesprochen werden.“
Früher haben einzelne Akteure auf bösartige Weise durch einige wenige Opfer Einnahmen generiert. Nun handelt es sich um strukturierte cyberkriminelle Organisationen, die Phishing nutzen, um Einnahmen zu erzielen, Industriespionage zu betreiben oder Wirtschaftskriege zu führen. Das bringt uns zur Entstehung von Phishing-Aktivitäten, bei denen B2B-Marken missbraucht werden.
Adrien Gendre, Chief Tech & Product Officer Vade
Auf dieser Grundlage entstand in den 2000er-Jahren das Konzept von Spray and Pray. Es bezeichnet eine Phishing-Kampagne, bei der eine weltbekannte Marke missbraucht wird und massenhaft unterschiedslos auf E-Mail-Adressen abzielt. Lotteriegewinn, Wohltätigkeitskampagne, Schließung Ihres Bankkontos usw. Jedes Thema ist geeignet, um Opfer zu betrügen. Die ersten Phishing-Kampagnen waren leicht erkennbar und enthielten zahlreiche Rechtschreibfehler, Tippfehler, schlechte Bilder und die Bedeutung der Nachricht war mangels verfügbarer Online-Übersetzer variabel. Zur gleichen Zeit taucht auch das Konzept des Clone Phishing auf. Ihr Ziel ist einfach: Die Identität von Marken mit hohem Bekanntheitsgrad, die täglich im persönlichen, aber auch im beruflichen Leben verwendet werden, zu stehlen. Ein Paradigmenwechsel laut Adrien Gendre: „Hinter dem Phishing ist eine ganze Wirtschaft entstanden. Früher generierten einzelne Akteure auf bösartige Weise Einnahmen durch einige wenige Opfer. Jetzt handelt es sich um strukturierte cyberkriminelle Organisationen, die Phishing nutzen, um Einnahmen zu erzielen, Industriespionage zu betreiben oder Wirtschaftskriege zu führen. Dies bringt uns zur Entstehung von Phishing-Aktivitäten, bei denen B2B-Marken missbraucht werden.„ Die Cyberkriminellen zielen dann auf E-Mails, Speicherplatz und gemeinsame Dokumente in den Arbeitsumgebungen Microsoft 365 und Google Workspace. Allein im Februar 2022 wurden fast 23 Millionen Phishing-E-Mails, die die Marke Microsoft vortäuschten, vom Herausgeber entdeckt Vade.
Die Hersteller von Cybersicherheitslösungen reagieren auf diese Bedrohung mit Anti-Phishing-Filtern (basierend auf Rahmendaten, Betreffzeile, Inhalt oder IP-Adresse der E-Mail) und anderen Technologien zur doppelten Authentifizierung. Um unter diesen neuen Radaren durchzukommen, wenden sich Cyberkriminelle dann dem Identitätsdiebstahl von Personen zu. Diese Technik zielt darauf ab, das E-Mail-Konto eines Mitarbeiters zu kompromittieren (BEC oder Business Email Compromise), um sich bei Mitarbeitern, Kunden und Partnern die Identität des Mitarbeiters anzueignen, wie in den Beispielen der President's Fraud-Angriffe. „Der Präsidentenbetrug wird zur finanziellen Erpressung eingesetzt“, betont Adrien Gendre. Und wird häufig während der Urlaubszeit eingerichtet, wenn die Führungskraft abwesend ist. Dieser Spoof ist furchteinflößend, da er es ermöglicht, einem Unternehmen mit einer einfachen E-Mail extrem hohe Beträge zu stehlen. „Genau das ist einem Bauträger passiert, der Opfer eines Präsidentenbetrugs wurde. Mit einer Rekordsumme von 33 Mio. in Frankreich im Januar 2022.Auch wenn das genaue Datum unklar ist, sollen diese ersten gezielten Angriffe zwischen 2014 und 2015 in den USA aufgetaucht sein und heute neben den „einfachen“ Phishing-Techniken existieren.
Ein Phishing, das auch in den 2000er-Jahren Nachahmer finden sollte. Tatsächlich wird ein dem Phishing ähnlicher Mechanismus bei den Online-Messengern MSN, Hotmail oder ICQ und später auch bei Facebook zu beobachten sein. Diese als Romance Scam oder Liebesbetrug bekannten Betrügereien sind meist das Werk von Cyberkriminellen, die in Teams strukturiert sind. Diese auch als Scammer bezeichneten Cyberkriminellen bezirzen meist verwitwete Frauen, um große Geldmengen zu erpressen. Auch Männer sind hier nicht ausgenommen; sie sind Opfer von Sextorsion und Webcam-Angriffen. Eine Technik, die sich weitgehend am Phishing orientiert und mit der Leichtgläubigkeit des Internetnutzers spielt.
Die zunehmende Komplexität von Phishing-Kampagnen
Als Reaktion auf die Abwehrmaßnahmen der Hersteller von Cybersicherheitssoftware und auf eine gewisse Reife der Öffentlichkeit gegenüber der Bedrohung sind Phishing-Kampagnen immer raffinierter geworden. Und haben ihren psychologischen Aspekt verstärkt. Hinter einer Phishing-Kampagne geht es immer darum, das Opfer zu einer Handlung zu bewegen; eine einfache E-Mail reicht nicht aus. Die Botschaft muss so beschaffen sein, dass sie das Opfer durch Reflexe wie Dringlichkeit, Angst, Stress oder auch Gewinnstreben zum Klick verleitet. „Die Cyberkriminellen nutzen die primären Emotionen ihrer Opfer, um ein Maximum an Klicks zu sichern, meistens Angst, sagt Sébastien Viou, Direktor für Cybersicherheitsprodukte und Berater für Cyber-Evangelismus bei Stormshield. Angst, Geld zu verlieren, Angst, dass das Abonnement gekündigt wird, Angst, entlassen zu werden; oft sind diese Ängste unkontrollierbar und führen zu einer instinktiven, schnellen Reaktion. Deshalb ist diese Art von Angriff so erfolgreich ...“
Cyberkriminelle nutzen die Urgefühle ihrer Opfer, um ein Maximum an Klicks zu sichern, am häufigsten die Angst. Angst, Geld zu verlieren, Angst, dass das Abonnement gekündigt wird, Angst, entlassen zu werden; oft sind diese Ängste unkontrollierbar und führen zu einer instinktiven, schnellen Reaktion. Deshalb ist diese Art von Angriff so erfolgreich ...
Sébastien Viou, Direktor für Cybersicherheitsprodukte und Berater für Cyber-Evangelismus Stormshield
Mithilfe von Tools zur Automatisierung von Phishing-Kampagnen wie z. B. Gophish oder Sniperphish verwenden Cyberkriminelle nun fertige Templates für Fangseiten und E-Mail-Vorlagen.Und um ihre Opfer zu täuschen, passen sich diese Cyberkriminellen vor allem an neue gesellschaftliche Gepflogenheiten und Moden an. Nach Jahren der weltweiten Dominanz von Bankdienstleistungen treten soziale Netzwerke in den Vordergrund. Im Zeitraum von 2019-2021 gehörten Facebook, LinkedIn und WhatsApp neben Marken wie Google und Apple zu den am häufigsten missbrauchten Marken in solchen Kampagnen. Nach der Covid-19-Welle, 2021 wurden wiederum Liefermarken ins Visier genommen: DHL, FedEx, Amazon und AliExpress gehören zu den 10 am meisten missbrauchten Marken.
Um der wachsenden Wachsamkeit der Erkennungssysteme und der Benutzer entgegenzuwirken, setzen Cyberkriminelle neue Taktiken ein. Typosquatting (oder der Kauf einer Nachbardomain) ist einer der am häufigsten verwendeten Mechanismen, da er einer der billigsten ist. Indem eine Phishing-Seite auf einer Domain gehostet wird, die der ursprünglichen Domain sehr ähnlich ist, merkt das Opfer nicht, dass es eine Phishing-Seite besucht. Meistens ist die Website bis auf einen Buchstaben ähnlich (wie das Beispiel mcrosoft.com anstelle von microsoft.com).Im Juli 2022 wurden mehr als 1000 benachbarte Domains in .fr registriert. Die Anzeige einer falschen Bestätigung der empfangenen E-Mail ist eine weitere Technik, um die Wachsamkeit des Opfers zu brechen. So tauchte in den E-Mails ein falsches Banner in Form eines Bildes auf, das bedeutete, dass der Absender und der Anhang legitim sind und vom Filtermechanismus bestätigt wurden. Je größer es ist, desto besser kommt es an. Der Phishing-Link wurde ebenfalls geändert und ist nun in eine Kette von Umleitungslinks eingebettet, sodass Phishing-Filter nicht in der Lage sind, die endgültige URL zu erreichen. Auch der E-Mail-Text wurde von den Cyberkriminellen überdacht und in ein Bild eingebettet, um der textbasierten Erkennung entgegenzuwirken. Vor kurzem ist eine neue Verschleierungstechnik aufgetaucht, wie Adrien Gendre berichtet: „Um die Filter zur Erkennung von Logo-Spoofing zu umgehen, stellen Cyberkriminelle das Logo heute nicht als Bild, sondern als Tabelle dar, die aus einer Reihe von Zellen mit einer Breite von einem Pixel besteht. So bleibt das Logo für das bloße Auge gleich, aber die Tabelle macht es für einen Phishing-Filter komplexer, es zu identifizieren. Dieser Spoof bleibt jedoch mit einer visuellen Analyse durch einen „Computer Vision“-Algorithmus erkennbar.“
Parallel dazu sind (mehrfache) Lecks in Datenbanken, die E-Mail-Adressen oder Telefonnummern enthalten, eine wahre Goldgrube für Cyberkriminelle. Auf der Liste der Rekorddatenlecks stehen Yahoo im Jahr 2013 mit 3 Milliarden Kundendaten, Facebook im Jahr 2019 mit 540 Millionen Daten oder Instagram im Jahr 2020 mit 200 Millionen Daten. Im Zeitraum von 2004 bis 2022 wurden 353 Exfiltrationen und Veröffentlichungen von Datenbanken mit mehr als 30.000 Datensätzen gezählt. Zum Leidwesen der Opfer zeigt sich bei der Analyse dieser Datenmenge, dass ein und dasselbe Passwort verwendet wird, das meist schwach ist und mehrfach für Konten in sozialen Netzwerken oder E-Mail-Konten verwendet wird. Diese schlechte digitale Hygiene erleichtert die Kompromittierung von Konten und führt analog dazu zu einem starken Anstieg der Zahl der Opfer von Phishing. Durch diese Kenntnis der Opfer haben sich affine Phishing-Kampagnen entwickelt.
Phishing wird in neue Medien exportiert
Nachdem Phishing jahrzehntelang Messenger überschwemmt hat, wird es nun in neue Medien exportiert.
Das als Smishing bezeichnete Phishing per SMS scheint während des Lockdowns eine starke Beschleunigung erfahren zu haben, wie Adrien Gendre berichtet. „Aufgrund eines starken Anstiegs der Nachfrage nach Hauszustellungen während des Lockdowns stieg die Zahl der Phishing-SMS stark an. Die Thematik der Lieferung nach Hause ist heute das am häufigsten beobachtete Szenario für Smishing.“
Aufgrund eines starken Anstiegs der Nachfrage nach Hauszustellungen während des Lockdowns stieg die Zahl der Phishing-SMS stark an. Die Thematik der Lieferung nach Hause ist heute das am häufigsten beobachtete Szenario für Smishing.
Adrien Gendre, Chief Tech & Product Officer Vade
Die SMS ist übrigens nicht das einzige Medium für diese Kampagnen, da Phishing-Kampagnen heute auch über WhatsApp verbreitet werden. Sie werden auch über firmeninterne Messenger wie Microsoft Teams und Slack verbreitet. Eine Variante in Form einer Roboterstimme namens Vishing für Voice Phishing ist ebenfalls aufgetaucht – scheint aber kein Publikum gefunden zu haben. An der Grenze zwischen Scam und Phishing können Cyberkriminelle durch die Verbreitung von falschen Konten in Netzwerken und gefälschten Stellenanzeigen ihre Opfer betrügen. Der Mechanismus ist einfach: Einem Angestellten des Unternehmens Sky Mavis wurde im Juli 2022 der Zugang zur Blockchain gestohlen, indem er eine Stellenanzeige mit Spyware herunterlud, wodurch 560 Millionen Euro gestohlen wurden.
Die allerneueste Variante des Phishing, auch Browser-in-the-Browser-Angriff genannt, ist eine Strategie, bei der ein falsches Browserfenster angezeigt wird. Wenn das Opfer auf eine Anmeldetaste klickt, glaubt es, ein neues Authentifizierungsfenster zu laden, das sich jedoch als Illusion herausstellt. Der Benutzer hat das Fenster nicht gewechselt und der Cyberkriminelle zeigt eine legitime URL an, die jegliche Wachsamkeit des Opfers zerstreut. Ohne es zu wissen, gibt das Opfer seine Anmeldedaten auf einer bösartigen Website ein. Auch wenn es sehr komplex ist, diese letzte Innovation zu erkennen, gibt es dennoch Einschränkungen bei Mobiltelefonen.
Auf die Frage, wie die Zukunft des Phishing aussehen könnte, scheint Adrien Gendre einen Trend zur Automatisierung zu erkennen: „Phishing wird in naher Zukunft stark automatisiert werden. Mit der Technologie der „Texterhöhung“ ist es heute möglich, Hunderte von E-Mails zu generieren, die einen gemeinsamen Sinn haben, aber völlig unterschiedliche Texte verwenden. Phishing dürfte sich daher in den nächsten Jahren von einer Masse an entpersonalisierten Angriffen zu einer Masse an chirurgischen Kampagnen entwickeln. „Eine Automatisierungstechnik, die sich anscheinend vom Bereich der ... Suchmaschinenoptimierung und dem GPT-3-Algorithmus inspirieren lässt. Angesichts des Einsatzes solcher Open-Source-Technologien werden die Hersteller von Cybersicherheitslösungen noch weitere Innovationen benötigen, um diesen neuen Herausforderungen gerecht zu werden.