Phishing stellt seit jeher eine enorme Bedrohung für Unternehmen dar. Besonders besorgniserregend ist die Tatsache, dass Angreifer ständig neue Wege finden, um hochentwickelte Angriffsmethoden zu entwickeln, die in der Lage sind die verschiedenen Cybersicherheitsprotokolle zu umgehen.
In der ersten Hälfte des Jahres 2023 begannen die Experten für Cyberbedrohungsanalyse von BlueVoyant mit der Untersuchung einer Angriffstechnik, die sie erstmals 2020 identifiziert hatten, welche aber in den letzten Monaten dramatisch zugenommen hat: Drittanbieter-Phishing. Das Ausmaß, die Komplexität und die erfolgreiche Bereitstellung von fortschrittlichen Ausweich- und Tarnmechanismen für Bedrohungsakteure, machen diese Angriffstechnik weitaus effizienter als die Nutzung herkömmlicher, eigenständiger Phishing-Websites.
Drittanbieter-Phishing ist ein Phänomen, das unter anderem Hunderte von globalen Finanzinstituten ins Visier nimmt und dabei Zwischenseiten verwendet, die Opfer auf gefälschte Phishing-Seiten umleiten, die sich als Domain einer vertrauenswürdigen Marke ausgeben. Indem sie eine scheinbar nicht verwandte Marke imitieren, ist es für die Angreifer einfacher, einer Aufdeckung ihrer Identität und Machenschaften zu entgehen und gleichzeitig Zugangsdaten und personenbezogene Informationen von Kunden einer breiteren Palette von Unternehmen sammeln. Die Experten für Cyberbedrohungsanalyse haben einen signifikanten Anstieg der Beliebtheit und Verbreitung dieser Taktik bei den Angreifern festgestellt. Sie ist inzwischen in mehreren Sektoren präsent: E-Commerce, Logistik und Versand, Mobilfunkanbieter, Regierungsinstitutionen, Zahlungsabwicklungsplattformen und mehr.
Der Bericht gewährt einen Einblick in die ausgeklügelten Methoden, die die Angreifer entwickelt haben, um Drittanbieter-Phishing-Kampagnen durchzuführen, sowie bewährte Verfahren zur Abwehr dieses Angriffstyps, den Benutzer möglicherweise nicht erkennen, selbst wenn sie sich mit Cybersicherheit auskennen.
Traditionelles Phishing vs. Drittanbieter-Phishing
Traditionell zielen Phishing-Websites in erster Linie auf Benutzer einer Organisation ab, also entweder Mitarbeiter oder Kunden. Diese Websites folgen in der Regel einem ähnlichen Muster: Angreifer setzen ein Phishing-Kit ein, um eine nahezu identische (oder ausreichend überzeugende) gefälschte Website einer Unternehmensmarke zu erstellen. Dabei verwenden sie eine möglichst ähnliche Domain, um ein Gefühl der Legitimität zu erzeugen.
Drittanbieter-Phishing-Seiten hingegen weisen zwar einige Merkmale des vorhin genannten Ablaufs auf, jedoch mit einem zusätzlichen Schritt: Die anfängliche Täuschung, die Glaubwürdigkeit beim Endbenutzer aufbaut, erfolgt über einen Dienst, der nicht mit der Zielorganisation verbunden ist. Darüber hinaus wird die Drittanbieter-Phishing-Seite den Benutzer selbst nicht dazu auffordern, seine persönlichen Zugangsdaten einzugeben. Der Betrug geschieht auf der endgültigen Phishing-Seite, zu der der Kunde umgeleitet wurde, die die gewählte Finanzinstitution imitiert.
Ein weltweites und branchenübergreifendes Phänomen
Der Trend des Drittanbieter-Phishings ist nicht dabei nicht auf eine bestimmte geografische Region beschränkt, sondern spielt sich global ab. Die Angreifer zielen auch auf verschiedene Geschäftsbereiche ab: Finanzinstitute, Regierungen, Lieferdienste, E-Commerce-Websites, Zahlungsplattformen und mehr.
Bedrohungsakteure nutzen Dritte, um fortschrittliche Phishing-Kampagnen durchzuführen, wie Beispiele in Europa und im Großbritannien zeigen. Die Sicherheitsforscher haben dabei Drittanbieter-Phishing-Seiten entdeckt, die Dutzende von Finanzinstituten über Zwischenwebsites nachbilden und Postdienste, E-Commerce-Plattformen, Steuerzahlungsplattformen, Mobilfunkanbieter und Regierungsdienste fälschen. Opfer werden auf gefälschte Zwischenhändlerseiten gelockt und schließlich zur Ziel-Phishing-Seite weitergeleitet, die die ausgewählten Finanzinstitution des Opfers imitiert.
Effektive Abwehrmaßnahmen
Drittanbieter-Phishing fügt der altbekannten Betrugsmethode eine neue Wendung hinzu. Zwischenhändlerseiten, die Opfer zu verschiedenen Phishing-Seiten führen, bieten Angreifern zwei Vorteile: Sie ermöglichen es ihnen, ein breiteres Netz auszuwerfen und mehr Opfer zu kompromittieren und sie schaffen eine weitere Ebene zwischen ihnen und Bedrohungsanalysten, die ihnen auf der Spur sein könnten.
Organisationen müssen jetzt nicht nur Cyberbedrohungen überwachen, die auf ihre eigenen Domänen abzielen, sondern auch auf Versuche achten, bei denen ein Vermittler den Verkehr auf eine andere Phishing-Seite umleitet. Das Risiko, dass eine Website als Gateway zu Dutzenden von Finanzinstitutionen dient, ist enorm, und Sicherheitsteams müssen ihre Anstrengungen verstärken, um solche Phishing-Seiten zu finden. Um das Risiko von Drittanbieter-Phishing zu verringern, werden die folgenden Schritte empfohlen:
- Überwachen ähnlicher Domains und illegitimer Nutzung von Unternehmensmarken im gesamten Web, um potenzielle Phishing-Seiten zu identifizieren.
- Schulungen für Kunden und Mitarbeiter im Umgang mit Drittanbieter-Phishing und eine kritische Überprüfung jeder URL.
- Bekämpfen bösartiger Domains, die Drittanbieter-Phishing verwenden, um das Risiko zu minimieren und möglicherweise groß angelegte Angriffe zu verhindern.
- Enge Zusammenarbeit mit einem ganzheitlichen Anbieter für digitale Risikoschutzmaßnahmen, um Drittanbieter-Phishing-Kampagnen proaktiv zu erkennen, validierte Warnungen zu erhalten und die Bedrohungen schnell zu beseitigen.
www.bluevoyant.com