Phishing-Ziel Mobilgeräte

Phishing-Angriffe lassen sich mit neuen Tools und bedienungsfreundlichen Entwickler-Kits immer einfacher erstellen. Selbst unerfahrene Benutzer können betrügerische Websites mit nur wenigen Klicks bereitstellen.

In den vergangenen Monaten zielten die Angreifer dabei immer häufiger speziell auf mobile Endgeräte. Denn Remote-Work-Strukturen und verteilte Belegschaften sind in vielen Organisationen zur Norm geworden und mobile Mitarbeiter damit das schwächste Glied in der Verteidigungskette. Die Erkennung der Mobilangriffe fällt vielen IT-Sicherheitssystemen schwer, so dass die Anzahl erfolgreicher Attacken weiter zunimmt.

Cybercrime ist einfacher denn je. Für die Vorbereitung und Durchführung von Phishing-Attacken sind nur wenige Mausklicks nötig. Aktuelle Angriffswerkzeuge und Phishing-Kits erlauben es selbst einfachen Benutzern, unvorsichtige Opfer auf betrügerische Websites zu locken. Mit gefälschte Webseiten, E-Mails oder Kurznachrichten vermeintlich etablierter Marken verleiten sie unvorsichtige Benutzer dazu, ihre Anmeldeinformationen preiszugeben. So können die Cyberdiebe die Kontrolle über das Konto des Opfers übernehmen und mehrfach verwendete Passwörter zur Kompromittierung unterschiedlichster Ziele einsetzen.

Die Erkennung und Unterbindung dieser Angriffe fällt schwer, so dass die Anzahl der Sicherheitsverletzungen deutlich zugenommen hat. Insbesondere die Coronakrise hat einen Schub an IT-Angriffen ausgelöst. Das zLabs-Expertenteam von Zimperium verzeichnete eine Versechsfachung der Phishing-Angriffe allein im ersten Pandemiejahr. Diese Zahlen sind beunruhigend genug, aber ein aktueller Trend verschärft die Sicherheitslage zusätzlich. In der Vergangenheit erfolgten Phishing-Versuche weitestgehend geräteunabhängig, waren also nicht nicht auf ein bestimmtes Betriebssystem oder einen Gerätetyp ausgerichtet. Jetzt verzeichnen Sicherheitsverantwortliche eine Zunahme an Phishing-Websites, die speziell mobile Endpunkte ins Visier nehmen.

Remote Work und verteilte Arbeitsstrukturen sind in den meisten Organisationen mittlerweile die Regel. Noch haben viele Sicherheitsvorkehrungen in dieser IT-Infrastruktur indes noch nicht zur neuen Normalität aufgeschlossen. Security-Anforderungen, die im klassischen Büroumfeld eines Unternehmens selbstverständlich waren, werden im Homeoffice-Umfeld häufig nicht durchgesetzt. Unternehmensdaten sind daher einem viel höheren Risiko ausgesetzt, was uneingeschränkt auch für Mobilgeräte als kritische Bestandteile moderner und ortsunabhängiger Arbeitsprozesse zutrifft.

Die Evolution mobiler Phishing-Angriffe

Die rechtzeitige Erkennung aktueller Phishing-Bedrohungen auf mobilen Geräten scheitert häufig schon am Einsatz von Legacy-Sicherheitstools. Viele Sandbox-Toolsets sind nicht auf die Mobilwelt ausgerichtet und liefern deshalb nicht die erforderlichen Daten für eine umfassende Erkennung mobiler Gefahren. Leistungsschwächere Mobilprozessoren schränken die Fähigkeit zur Analyse bösartiger Domains zusätzlich ein. Hinzu kommt, dass viele Browsererweiterungen den Sprung auf Mobilgeräte noch nicht geschafft haben. Zumeist ist es nicht möglich, Erweiterungen auf mobilen Browsern zu installieren.

Die Add-ons für Desktop-Versionen von Firefox sind beispielsweise nicht für iOS verfügbar. Auch für Safari auf iOS oder Chrome auf Android gibt es nicht die gleichen (Security)-Erweiterungen, die Desktopnutzern zur Verfügung stehen. Es gibt Ausnahmen — eine begrenzte Zahl an Werkzeuge und Funktionen ist mit Android-Geräten kompatibel. Die Installation läuft dabei jedoch nicht so einfach wie auf Desktopbrowsern ab, oder der Erweiterungskatalog wird für Mobilgeräte reduziert. Phishing-Analyse-Tools benötigen aber die volle Funktionalität, um die notwendige Sichtbarkeit auf Website-Inhalte wie HTML, Links zu externen Ressourcen oder vollständige URLs sicherstellen zu können. Für Desktops optimierte Phishing-Analysetools verfügen in klassischen Rechnerumgebungen über eine breitere Datenbasis und mehr Features als beim Einsatz auf Mobilgeräten.

Adaptive und responsive Webseiten

Das wissen natürlich auch die Angreifer und führen mobilspezifische Phishing-Angriffe über adaptive und responsive Websites aus. Webseiten mit adaptivem Layout laden je nach Displaygröße unterschiedliche Inhalte herunter. Adaptive Layouts verfügen über ein starres Gestaltungsraster. Deshalb wird der Benutzeragent des mobilen Endpunkts überprüft und das übermittelte Datenpaket je nach Gerät angepasst. Auf diese Weise lassen sich allerdings auch bösartige Websites einfacher verbergen.

In der Desktop-Ansicht wird beispielsweise eine unverdächtige Tarnseite oder die standardisierte Fehlermeldung „404 (Seite) nicht gefunden“ angezeigt, während in der Mobilansicht eine Phishing-Seite aufploppt, die zur Eingabe sensibler Benutzerdaten auffordert. So werden veraltete Desktop-Lösungen an der Durchleuchtung des Datenverkehrs gehindert und vermeintlich wirksame Schutzmaßnahmen gegen Phishing-Attacken elegant ausgehebelt.

Die eigentliche Phishing-Falle wird erst dann in Stellung gebracht, wenn die Website über bestimmte Smartphones oder Tablets angesteuert wird — sobald beispielsweise über ein Android-Mobilgerät zugegriffen wird. Zugriffe über jedes andere Gerät, einschließlich iOS, landen dagegen auf einer anderen Webseite. Diese Herangehensweise mit verschiedenen Umleitungen für mobile Betriebssysteme ist eine bekannte Methode, um ganz spezifische Browser-Schwachstellen ausnutzen zu können. Im Fall der Spionagesoftware „Pegasus“ erfolgte so auf iOS-Endgeräten die Kommunikation mit den Validation Servern, um Sicherheitsforschern die Infrastruktur der Herstellerfirma NSO zu verbergen.

Seiten mit responsivem Webdesign passen die Verteilung und Größe der Objekte flexibel an die Bildschirmgröße des Endpunktgerätes an, das eine Verbindung aufbaut. Inhalte werden so angezeigt, dass der zur Verfügung stehende Platz auf dem Endgerät immer optimal ausgenutzt wird. Für ein einheitliches Web-Erlebnis generieren moderne Webdesign-Frameworks responsive Informationen über alle Endpunkte hinweg. Auch das lässt sich für Phishing-Attacken ausnutzen.

Auf Mobilgeräten können Anwender wichtige Informationen über einen Link oder eine Website oft nicht einsehen. Für den größtmöglichen Erfolg ihrer Betrugsversuche beschränken Cyber-Kriminelle deshalb das Blickfeld des Betrachters auf die gewünschten Webinhalte. Anwendern fehlen also wichtige Infos, die bei der Einstufung weiterhelfen, ob es sich um einen Phishing-Versuch handelt. Und so erhöhen die kleineren Bildschirme mobiler Endpunkte die Erfolgsaussichten für Phishing-Attacken.

Flut mobiler Phishing-Versuche

Als Sicherheitsunternehmen für den Echtzeitschutz auf Mobilgeräten hat Zimperium die aktuelle Entwicklung beim Ausspionieren persönlicher Daten genauer analysiert. Über einen Zeitraum von zweieinhalb Jahren wurden öffentlich zugängliche und private Datenquellen ausgewertet und auf responsive und adaptive Websites überprüft. Insgesamt konnten 500.000 Phishing-Sites identifiziert werden.

Ergebnis: Die Statistiken zeigen eine deutliche Zunahme um mehr als 50 Prozent von Phishing-Angriffen, die speziell auf Mobilgeräte abzielen. Außerdem fällt auf, dass 75 Prozent der analysierten Phishing-Sites durch eine der oben genannten Techniken an mobile Geräte angepasst wurden. Böswillige Akteure zielen also speziell auf mobile Geräte ab und nutzen aus, dass immer mehr Webseiten über mobile Endgeräte abgerufen werden. Und das leider mit wachsendem Erfolg — denn die Verteidigungsmechanismen stammen oft noch aus der klassischen Desktop-Welt.