Über die letzten Jahre hinweg wurden Phishing-Attacken zum Diebstahl von Anmeldeinformationen immer ausgefeilter. Dies ist nicht zuletzt auf die zunehmende Verbreitung sogenannter Phishing-Kits zurückzuführen.
Dabei handelt es sich um eine Art Werkzeugkasten, mit dessen Hilfe die Webseite eines bekannten Unternehmens vergleichsweise einfach imitiert werden kann. Die Sicherheitsexperten von Proofpoint haben diesen Trend verfolgt und nun erstmals eine umfassende Analyse zu diesen Tool-Sets der Cyberkriminellen veröffentlicht.
Egal, ob es sich um Phishing-Attacken handelt, bei der die Hintermänner tausende von E-Mails in der Hoffnung versenden, es würden genug Opfer darauf hereinfallen, oder ob es sich um gezielte Angriffe zum Ausspähen von Login-Daten handelt: Grundlage dieser Cyberkampagnen sind zumeist Phishing-Kits, mit deren Hilfe Kriminelle Anmeldeseiten von Websites ohne große technische Fähigkeiten nachbauen können. Und diese Kits, zumeist eine Sammlung von Dateien (häufig HTML, CSS und PHP) sind noch nicht einmal teuer – bereits für wenige Euro sind sie über einschlägige Quellen zu erwerben.
Mit diesen Phishing-Kits ist es möglich, dynamisch das Logo und das Branding der E-Mail-Domäne eine Organisation zu übernehmen, um so individuelle Phishing-Seiten zu erstellen, die von legitimen Anmeldeseiten nur schwer zu unterscheiden sind. Darüber hinaus verfügen Phishing-Kits zuweilen auch über die Fähigkeit Tokens zur Oauth- bzw. Multifaktor-Authentifizierung (MFA) in Echtzeit abzugreifen und sie an die Täter zurücksenden. Diese sind somit in der Lage die Tokens zu verwenden, bevor sie ablaufen.
Damit die mit Hilfe der Phishing-Kits erstellten gefälschten Webseiten nicht vorschnell von Sicherheitsforschern, Suchmaschinen oder Security Engines enttarnt werden, umfassen die Kits auch Blocking-Funktionen. Dabei kommt im Regelfall ein PHP-Skript zum Einsatz, das zusammen mit der Zielseite geladen wird und einfache Prüfungen durchführt, um zu verhindern, dass die Fälschung erkannt wird.
www.proofpoint.com/de