Anzeige

Phishing

Phishing ist ohne Zweifel die beliebteste Angriffstaktik von Cyberkriminellen. Jeden Tag erreichen rund 3,4 Milliarden betrügerische Emails Postfächer weltweit – und nicht alle landen im Spam-Ordner.

Bei der Recherche auf Marktplätzen und in Foren im Open, Deep und Dark Web ist das Photon Research Team von Digital Shadows auf neue Techniken sowie ein ausgereiftes Ecosystem an Kriminellen und Betrüger gestoßen. Hier sind die wichtigsten Ergebnisse:

  • Phishing auch für Hobby-Hacker: Die Eintrittsbarriere für Phishing-Angriffe ist so niedrig wie nie. Die nötigen Tools sind bereits ab weniger als 20 Euro erhältlich. Ready-to-go Templates für Phishing-Webseiten sind ab 20 Euro aufwärts zu bekommen. Und für gerade einmal 23 Euro erhalten angehende Cyberkriminelle ausführliche Tutorials, um erfolgreich ins Geschäft einzusteigen.
     
  • Angriffsziel Handel und Ecommerce: Von den über 100 Angeboten für vorgefertigte Phishing-Templates zielen 29% auf den Einzelhandel und E-Commerce, darunter falsche Webseiten, Onlineshops und Kundenportale. Der Durschnittspreis für die Templates liegt bei knapp 19 Euro.
     
  • Angriffsziel Banken: Geklonte Webseiten von Banken machen 15% der Angebote aus. Mit durchschnittlich 63 Euro liegt der Preis jedoch deutlich höher als in anderen Branchen. Der Grund: Den Cyberkriminellen winkt bei erfolgreichem Zugriff auf Finanzdaten oder dem Online-Banking auch ein höherer Gewinn.
     
  • Phishing-as-a-Service (PhSaaS): Nicht nur die günstigen Preise macht Phishing für Angreifer so einfach. Phishing-as-a-service (PHaaS) erlaubt es, die Backend-Infrastruktur zur Durchführung von Phishing-Attacken zu mieten – oft über Abonnements und mit unterschiedlichen Features. Für 140 Euro im Monat steht Cyberkriminellen damit alle Tools zu Verfügung, um Phishing-E-Mails zu erstellen, zu versenden, Daten zu stehlen und zu monetarisieren.
     
  • Data Analytics und Tracking: Ähnlich wie Marketingexperten mit Marketo oder SalesForce arbeiten, um Zustellungs-, Öffnungs- und Klickraten zu verfolgen, nutzen auch viele Spam-Dienste Data Analytics. So lässt sich der Erfolg von Angriffskampagnen messen und Taktiken optimieren.

„Es gibt diesen Spruch in der Cybersicherheit: Wenn wir Phishing stoppen könnten, würden 99% der Cyberangriffe von allein aufhören. Ganz so einfach ist es natürlich nicht. Trotzdem macht es die Ausmaße von Phishing deutlich“, erklärt Harrison Van Riper, Strategy and Research Analyst bei Digital Shadows. „Ein Ende ist leider nicht in Sicht. Das Geschäft ist zu lukrativ dafür. Bei unserer Analyse stießen wir beispielsweise auf eine Stellenanzeige für einen Spamming-Partner, die ein wöchentliches Gehalt von 5.000-10.000 US-Dollar in Aussicht stellte. Für Unternehmen ist das brandgefährlich.“

Die fünf wichtigsten Abwehrmaßnahmen von Phishing-Angriffen:

1. Seien Sie geizig mit Informationen

Dazu zählen persönliche Kontaktdaten auf Webseiten, interne Workflows und CI-Vorgaben auf schlecht gesicherten File-Sharing-Diensten sowie auf Social Media geteilte Photos vom Teammeeting mit Flipchart im Hintergrund. Erfolgreiches Phishing baut auf gut recherchierten Information zum Unternehmen und seinen Mitarbeitern auf. Daher gilt es abzuwägen, was unbedingt öffentlich gemacht werden soll.

2. Suchen Sie proaktiv nach Fake-Webseiten Ihres Domain-Namens

Monitoringtools überwachen die Registrierung von Webseiten und können gezielte Tippfehler in der Webadresse (Typo-Squatting) identifizieren. Über Take-Down-Verfahren lassen sich Reputationsschäden, Spoofed Emails und Phishing-Seiten eindämmen.

3. Implementieren Sie zusätzliche Sicherheitsmaßnahmen

Dazu gehört Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM).

4. Schützen Sie Mitarbeiter- und Kundenkonten durch 2FA

Zwei-Faktor-Authentifizierung ist nach wie vor eine der besten Maßnahmen, um Phishing zu stoppen, vor allem dann wenn Logindaten bereits in die Hände von Cyberkriminellen gefallen sind.

5. Holen Sie Ihre Mitarbeiter mit ins Boot

Das beinhaltet Schulungen, die zeigen woran sich Phishing-Versuche erkennen lassen, sowie einfache Leitfäden, die es Mitarbeitern einfach machen, Vorfälle an die IT-Security zu melden. Nicht jede Phishing Email landet im Spam-Ordner. Daher muss klar sein, wie im Ernstfall zu reagieren ist. 

www.digitalshadows.com/de
 


Weitere Artikel

Hacker E-Mail

Warnung vor betrügerischen E-Mails zu Angeboten von Corona-Speicheltests

Seit Anfang April beobachten die Experten von Bitdefender betrügerische Mails, die Corona-Speicheltests anbieten. Mehr als 300.000 Mails wurden im Rahmen der Kampagne versendet.
FBI

Bekämpfung von Cyberkriminalität - FBI behebt Exchange-Schwachstellen aktiv

Vor einigen Tagen wurde bekannt, dass sich die US-Bundespolizei FBI aktiv an der Behebung der Sicherheitslücken in Zusammenhang mit Microsoft Exchange beteiligt hatte. Wie das Justizministerium der Vereinigten Staaten mitteilte, war die Aktion ein voller…
Corona-Impfstoff

Corona-Impfstoffe: Kühlketten im Visier von Hackern

Im Dezember vergangenen Jahres warnte das Sicherheitsteam von IBM davor, dass die Kühlkette bei der Auslieferung der Impfstoffe gegen COVID-19 von Hackern ins Visier genommen wurde. In einem jetzt veröffentlichten Update erneuert IBM Security X-Force diese…
Cybercrime

Cyberkriminalität: Woher die Gefahr droht

Der aktuelle Cyber Security Threat Radar von Swisscom zeigt, wie Cyberkriminelle infolge der Pandemie ihre Angriffsmethoden angepasst haben: mit Attacken aufs Homeoffice und mit Einsatz neuster KI-Technologie.
Smartphone Scam

„Ihr Paket kommt bald“ – Smishing und was man dagegen tun kann

Cyberkriminalität gegen die Benutzer von Mobiltelefonen, ist proportional zu deren massenhafter Nutzung angestiegen. Im Fokus sind meist Android-basierte Geräte. Schlicht, weil es so viele davon gibt. Aber auch iPhone-Nutzer sind nicht vor Smishing und andere…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.