Conscia ThreatInsights
Phishing as a Service (PHaaS)
Angriffsmechanismen und wie Sie sich schützen können

Phishing hat sich stark professionalisiert. Es steht Kriminellen buchstäblich als „as-a-Service“-Modell zur Verfügung. Professionelle Phishing-Nachrichten sind äußerst glaubwürdig – und daher sehr gefährlich. Was können Sie als Unternehmen tun, um nicht Opfer der nächsten Generation von Phishing-Angriffen zu werden?

Vom Phishing zum Phishing as a service (PHaaS)

Mittelständische Unternehmen verlieren durchschnittlich 1,6 Millionen US-Dollar, wenn sie Opfer von Speer-Phishing werden. Im Vergleich zum Vorjahr stiegen die Phishing-Angriffe im Jahr 2021 um insgesamt 20 % (Quelle). Im Prinzip ist Phishing eine sehr einfache Taktik. Es handelt sich um eine Form des Social Engineering, bei der ein Krimineller eine Nachricht sendet, die eine Person dazu verleiten soll, sensible Informationen preiszugeben oder Schadsoftware zu installieren. Auf diese Weise können Angreifer Ransomware-Infektionen durchführen, Malware installieren, Anmeldedaten abgreifen und sich Zugang zu bestimmten Netzwerken verschaffen. Phishing ist deshalb so effektiv, weil es den Faktor Mensch ausnutzt.

Professionelle Phishing-Versuche sind extrem schwer zu erkennen und sehr glaubwürdig. Darüber hinaus können Cyberkriminelle dank moderner Technologien ihre Taktiken schnell anpassen und verbessern, um die Wahrscheinlichkeit zu erhöhen, dass ein Opfer eine Phishing-Nachricht mit einer schadhaften Datei oder einem gefährlichen Link öffnet. Phishing ist besonders effektiv in Lieferketten, in denen eine glaubwürdige E-Mail (oder eine bereits kompromittierte E-Mail) erstellt wird, die sich als ein Partner ausgibt. Anschließend besteht die Möglichkeit, durch laterale Ausbreitung, auch Systeme außerhalb des ursprünglichen Angriffsvektors zu schädigen.

Der Aufstieg von Phishing-as-a-Service

Phishing ist zwar ein gängiger Angriffsvektor, aber fortgeschrittene Phishing-Methoden erfordern auch technische Expertise. Aus diesem Grund haben einige Bedrohungsakteure begonnen, sich ausschließlich auf die Entwicklung von Phishing-Kits zu konzentrieren, die sie dann im Dark Web an Cyberkriminelle verkaufen. Sie entwickeln hochwertige Phishing-Seiten, die sich als Websites legitimer Organisationen ausgeben, und einige davon können sogar die Multi-Faktor-Authentifizierung umgehen. Durch  Administrationsoberflächen lassen sie sich sehr gut integrieren, um großvolumige Kampagnen und mehr zu verwalten. In seiner fortschrittlichsten Form, dem Phishing as a Service (PHaaS)-Modell, umfasst das Angebot auch technischen Support und regelmäßige Kunden-Updates. Dies hat die Einstiegshürde für Cyberkriminelle gesenkt, da sie im PHaaS-Modell nur sehr wenige technische Ressourcen benötigen, um Angriffe durchzuführen.

Was sind Phising-Kits?

Das Herzstück des PHaaS-Modells sind gute Phishing-Kits. Eines der beliebtesten Phishing-Kits, das von Cyberkriminellen verwendet wird, ist Modlishka. Modlishka ist ein Open-Source-Tool für Penetrationstests, das Phishing-Angriffe automatisiert und in der Lage ist, die 2FA für damit geschützte Konten zu umgehen. Phishing-Opfer stellen eine Verbindung zum Modlishka-Server her, und die dahinter liegende Reverse-Proxy-Komponente stellt Anfragen an die Website, für die sie sich ausgeben will. Das Opfer erhält authentische Inhalte von der legitimen Website, aber der gesamte Datenverkehr und alle Interaktionen des Opfers mit der legitimen Website laufen über den Modlishka-Server und werden dort aufgezeichnet. Sobald ein Opfer eine Verbindung über den Server herstellt, werden alle Anmeldeinformationen, die ein Benutzer eingibt, automatisch im Backend-Panel von Modlishka protokolliert. Das Tool wurde von dem polnischen Forscher Piotr Duszyński entwickelt.

 

Modlishka ist nur ein Beispiel für ein kostenloses Open-Source-Tool, in das ein Phishing-Kit integriert und für alle zugänglich ist. Echte PHaaS bieten jedoch zusätzlich Kundensupport und regelmäßige Produktaktualisierungen, was sie für technisch weniger versierte Cyberkriminelle oder solche, die große Phishing-Kampagnen starten und verwalten wollen, attraktiver macht. Im letzten Jahr haben Cyberkriminelle im Dark Web mehrere neue Phishing-Kits auf den Markt gebracht oder bestehende Versionen der Phishing-Malware erheblich modifiziert, um ihre Opfer noch effektiver anzugreifen.

 

Wie kann man Phishing-Angriffe abwehren?

Wir bei xevIT part of Conscia sind davon überzeugt, dass Phishing auch in Zukunft einer der beliebtesten Angriffsvektoren bleiben wird, um einen Erstzugang zu erhalten oder eine Erstinfektion durchzuführen. Cyberkriminelle werden Phishing wahrscheinlich weiterhin nutzen, solange es ein erfolgreicher Weg ist, sich unbefugten Zugang zu Benutzern und Unternehmenskonten zu verschaffen – und somit eine lukrative Profitquelle durch den Verkauf der gestohlenen Daten bleibt. Das PHaaS-Modell bietet Cyberkriminellen diese Möglichkeit, da es ihnen eine schnelle und einfache Bereitstellung von Kampagnen ermöglicht, die sie schließlich zu Geld machen können.

Um Ihr Unternehmen vor Phishing zu schützen, können Sie verschiedene Abwehrtaktiken einsetzen. Im Folgenden finden Sie einige unserer Empfehlungen, mit denen Sie Phishing- und Webinject-Angriffe erkennen und stoppen können:

  • Gestalten Sie die Login-Webseite für eine Anwendung so um, dass sie ein Wasserzeichen enthält, das kundenspezifisch ist oder sich je nach Uhrzeit ändert. Informieren Sie die Kunden darüber, dass es sich nicht um eine authentische Login-Webseite für diese Anwendung handelt, wenn sie das Bild oder Wasserzeichen nicht sehen.
  • Führen Sie regelmäßige, dateibasierte Umgebungs-Scans durch (z. B. mit YARA), um Malware zu identifizieren, da Web-Injects oft von weiteren Malware-Familien durchgeführt werden.
  • Verwenden Sie nur HTTPS-Verbindungen im Internet und vergewissern Sie sich, dass das SSL/TLS-Zertifikat einer Website legitim ist, bevor Sie sensible Daten an diese übermitteln.
  • Halten Sie alle Software und Anwendungen auf dem neuesten Stand.
  • Verwenden Sie nach Möglichkeit eine Multi-Faktor-Authentifizierung (MFA) und wechseln Sie zu einer hardwarebasierten Authentifizierung mit Fast ID Online (FIDO)-kompatibler Hardware.
  • Setzen Sie einen E-Mail-Spamfilter ein, der Viren, leere Absender usw. erkennt, und setzen Sie einen Webfilter ein, um bösartige Websites zu blockieren.
  • Nutzen Sie Cyber Threat Intelligence (CTI), um nach Tippfehlern in Ihren Marken zu suchen.
  • Informieren Sie Ihre Mitarbeiter und führen Sie regelmäßig Schulungen zur Sensibilisierung der Nutzer für Phishing und andere beliebte Angriffsvektoren durch.
  • Verwenden Sie CTI, um nach aktuellen, alten und neuen Anmeldeseiten zu suchen, die möglicherweise erstellt werden.

Wie können wir helfen?

Zögern Sie nicht uns zu kontaktieren. Wir beantworten Ihre Fragen gern.

Kontakt