Das Phishing Ökosystem

Das Phishing Ökosystem
Photon Research Team
Read More From Photon Research Team
April 3, 2020 | 4 Min Read

Was tun gegen 1 Billion Phishing Emails pro Jahr?

Phishing ist ohne Zweifel die beliebteste Angriffstaktik von Cyberkriminellen. Jeden Tag erreichen rund 3,4 Milliarden betrügerische Emails Postfächer weltweit – und nicht alle landen im Spam-Ordner. Bei der Recherche auf Marktplätzen und in Foren im Open, Deep und Dark Web ist das Photon Research Team von Digital Shadows auf neue Techniken sowie ein ausgereiftes Ecosystem an Kriminellen und Betrüger gestoßen.

Hier sind die wichtigsten Ergebnisse:

  • Phishing auch für Hobby-Hacker: Die Eintrittsbarriere für Phishing-Angriffe ist so niedrig wie nie. Die nötigen Tools sind bereits ab weniger als 20 Euro erhältlich. Ready-to-go Templates für Phishing-Webseiten sind ab 20 Euro aufwärts zu bekommen. Und für gerade einmal 23 Euro erhalten angehende Cyberkriminelle ausführliche Tutorials, um erfolgreich ins Geschäft einzusteigen.
  • Angriffsziel Handel und Ecommerce: Von den über 100 Angeboten für vorgefertigte Phishing-Templates zielen 29% auf den Einzelhandel und E-Commerce, darunter falsche Webseiten, Onlineshops und Kundenportale. Der Durschnittspreis für die Templates liegt bei knapp 19 Euro.
  • Angriffsziel Banken: Geklonte Webseiten von Banken machen 15% der Angebote aus. Mit durchschnittlich 63 Euro liegt der Preis jedoch deutlich höher als in anderen Branchen. Der Grund: Den Cyberkriminellen winkt bei erfolgreichem Zugriff auf Finanzdaten oder dem Online-Banking auch ein höherer Gewinn.

average-cost-of-phishing-templates-1024x569

  • Phishing-as-a-Service (PhSaaS): Nicht nur die günstigen Preise macht Phishing für Angreifer so einfach. Phishing-as-a-service (PHaaS) erlaubt es, die Backend-Infrastruktur zur Durchführung von Phishing-Attacken zu mieten – oft über Abonnements und mit unterschiedlichen Features. Für 140 Euro im Monat steht Cyberkriminellen damit alle Tools zu Verfügung, um Phishing-E-Mails zu erstellen, zu versenden, Daten zu stehlen und zu monetarisieren.
  • Data Analytics und Tracking: Ähnlich wie Marketingexperten mit Marketo oder SalesForce arbeiten, um Zustellungs-, Öffnungs- und Klickraten zu verfolgen, nutzen auch viele Spam-Dienste Data Analytics. So lässt sich der Erfolg von Angriffskampagnen messen und Taktiken optimieren.

„Es gibt diesen Spruch in der Cybersicherheit: Wenn wir Phishing stoppen könnten, würden 99% der Cyberangriffe von allein aufhören. Ganz so einfach ist es natürlich nicht. Trotzdem macht es die Ausmaße von Phishing deutlich“, erklärt Harrison Van Riper, Strategy and Research Analyst bei Digital Shadows. „Ein Ende ist leider nicht in Sicht. Das Geschäft ist zu lukrativ dafür. Bei unserer Analyse stießen wir beispielsweise auf eine Stellenanzeige für einen Spamming-Partner, die ein wöchentliches Gehalt von 5.000-10.000 US-Dollar in Aussicht stellte. Für Unternehmen ist das brandgefährlich.“

Breakdown-of-goals-for-various-types-of-phishing-attack-768x427

Die fünf wichtigsten Abwehrmaßnahmen von Phishing-Angriffen:

  1. Seien Sie geizig mit Informationen
    Dazu zählen persönliche Kontaktdaten auf Webseiten, interne Workflows und CI-Vorgaben auf schlecht gesicherten File-Sharing-Diensten sowie auf Social Media geteilte Photos vom Teammeeting mit Flipchart im Hintergrund. Erfolgreiches Phishing baut auf gut recherchierten Information zum Unternehmen und seinen Mitarbeitern auf. Daher gilt es abzuwägen, was unbedingt öffentlich gemacht werden soll.
  2. Suchen Sie proaktiv nach Fake-Webseiten Ihres Domain-Namens
    Monitoringtools überwachen die Registrierung von Webseiten und können gezielte Tippfehler in der Webadresse (Typo-Squatting) identifizieren. Über Take-Down-Verfahren lassen sich Reputationsschäden, Spoofed Emails und Phishing-Seiten eindämmen.
  3. Implementieren Sie zusätzliche Sicherheitsmaßnahmen

Dazu gehört Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM).

  1. Schützen Sie Mitarbeiter- und Kundenkonten durch 2FA
    Zwei-Faktor-Authentifizierung ist nach wie vor eine der besten Maßnahmen, um Phishing zu stoppen, vor allem dann wenn Logindaten bereits in die Hände von Cyberkriminellen gefallen sind.
  2. Holen Sie Ihre Mitarbeiter mit ins Boot
    Das beinhaltet Schulungen, die zeigen woran sich Phishing-Versuche erkennen lassen, sowie einfache Leitfäden, die es Mitarbeitern einfach machen, Vorfälle an die IT-Security zu melden. Nicht jede Phishing Email landet im Spam-Ordner. Daher muss klar sein, wie im Ernstfall zu reagieren ist.

 

Mehr über die Analyse des Photon Research Teams erfahren Sie im Digital Shadows Blog „The Ecosystem of Phishing: From Minnows to Marlins“ 

Weitere Tipps um sich gegen E-Mail-Spoofing zur Wehr zu setzen finden Sie im  “Security Practitioner’s Guide to Email Spoofing and Risk Reduction”

Access Our Threat Intel In Test Drive

Test Drive SearchLight Free for 7 Days
Try It Now

verbinde dich mit uns

Related Posts

Account Takeover – Angriff auf Benutzerkonten

Account Takeover – Angriff auf Benutzerkonten

September 16, 2020 | 11 Min Read

UM was geht Es Im Durchschnitt nutzt...
DER VOLLSTÄNDIGE LEITFADEN FÜR ONLINE-MARKENSCHUTZ

DER VOLLSTÄNDIGE LEITFADEN FÜR ONLINE-MARKENSCHUTZ

May 12, 2020 | 18 Min Read

Ich halte wenig von Business-Weisheiten und...