Phishing im Finanzwesen - State of the Internet Band 7, Ausgabe 2 - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Band 7, Ausgabe 2
[State of the Internet]
Phishing im
Finanzwesen
Inhaltsverzeichnis 3 Mitteilung des Herausgebers 4 Gastbeitrag: Warum ist SMS‑Phishing so effektiv? 6 Einführung 7 Überblick 11 Finanz-Phishing 12 Phishing-as-a-Service 14 Kr3pto-Angriffsworkflow 15 Angriffsstruktur 15 Trittbrettfahrer und Klone 16 Robotos zielt auf Nutzer in Unternehmen ab 18 Köder auslegen und Angriffe starten 22 Ausblick 23 Methodik 25 Herausgeber- und Mitarbeiterverzeichnis
Mitteilung des Herausgebers Willkommen zur zweiten Ausgabe des „State of the Internet“-Sicherheitsberichts 2021. Egal, ob Sie ein neuer Leser sind oder den Bericht schon seit Jahren lesen – wir freuen uns, dass Sie bei dieser Ausgabe dabei sind. Wie immer bemühen wir uns, unsere Arbeit kontinuierlich zu verbessern und Ihnen mit jeder Anstrengung etwas Neues zu bieten. Vielleicht erinnern Sie sich noch an unsere Ausgabe zu Sicherheit im Gaming von 2020, für das wir mit DreamHack, einem Unternehmen für digitale Veranstaltungen zusammengearbeitet haben. Wir ergänzten unsere Daten und Forschungsergebnisse um Informationen zu den Ansichten und Meinungen, die auf einer Umfrage unter mehr als 1.000 Spielern basierten. Dies war das erste Mal, dass wir mehr als nur die Daten von Akamai erfassen konnten, um mehr über die Probleme zu erfahren, mit denen wir konfrontiert sind. In dieser Ausgabe gehen wir noch einen Schritt weiter. Wir haben zwar Zugriff auf einige der größten Sicherheitsdatensätze der Welt, wir sehen jedoch nur den Traffic, der durch unsere Netzwerke fließt und von unseren Tools überwacht wird. Selbst die Hunderten von Terabyte, die wir pro Sekunde verarbeiten, sind nur ein Teil der globalen Geschichte. Aus diesem Grund arbeiten wir für diesen Bericht mit dem Threat-Intelligence-Unternehmen WMC Global zusammen. Ein wichtiger Teil der Effektivität der Sicherheitsbranche ist die Anzahl der Partnerschaften, die leise hinter den Kulissen ihre Arbeit verrichten. Die Forscher bei WMC Global sind Experten für SMS‑Phishing („Smishing“) und Toolkits, die von Kriminellen für Angriffe entwickelt werden. Gemeinsam konnten wir nicht nur die globalen Konturen des Angriffs-Traffics betrachten, sondern auch ein bestimmtes Toolset auseinandernehmen. Wir wollen Ihnen sowohl einen umfassenden Überblick über die Bedrohungslandschaft als auch Details zu einer einzelnen Bedrohung bieten. Ein wichtiger Teil der Effektivität der Sicherheitsbranche ist die Anzahl der Partnerschaften, die leise hinter den Kulissen ihre Arbeit verrichten. Ganz gleich, ob es sich um verschiedene globale Strafverfolgungsbehörden handelt, die untereinander oder mit Sicherheitsorganisationen zusammenarbeiten, oder ob es um Partnerschaften geht, die täglich zwischen Einzelpersonen und Unternehmen stattfinden – ein Großteil dieser Arbeit geht an einem durchschnittlichen Sicherheitsexperten unbemerkt vorbei. Aber das muss nicht immer der Fall sein. Wir glauben, dass Unternehmen öffentlich zusammenarbeiten sollten, um Informationen mit Ihnen zu teilen. Der Data Breach Investigations Report (DBIR) von Verizon ist das bekannteste und am längsten verfügbare Beispiel für geteilte Informationen. Akamai trägt seit über einem halben Jahrzehnt zu diesen Bemühungen bei (mit sieben Berichten, um genau zu sein). Diese Form der Zusammenarbeit würden wir gerne stärker fördern, weshalb wir mit gutem Beispiel vorangehen. Oder das von anderen gesetzte Beispiel befolgen, je nach Ihrer Sichtweise. Wir schätzen es sehr, dass wir Partner wie das Team von WMC Global haben, die sich die Zeit nehmen, gemeinsam mit uns solche Forschung zu entwickeln. Durch diese Art von Arbeit sind wir besser informiert und können unsere Unternehmen und unsere Endnutzer besser schützen, was ein Ziel jedes Sicherheitsexperten sein sollte. Martin McKeay Editorial Director Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 3
GASTBEITRAG
Warum ist SMS‑Phishing so effektiv?
Ian Matthews
CEO, WMC Global
SMS ist eine Art von Messaging, auf die Phishing-Angriffe hauptsächlich über normale
Nutzer fast sofort und mit hoher Einheitlichkeit Telefonnummern, E‑Mail-zu-SMS und (außerhalb
reagieren. Leider nutzen Cyberkriminelle der USA) über Alpha-Tags bereitgestellt, die
zunehmend das Vertrauen der Nutzer aus und allesamt leicht zugänglich sind. Mithilfe von
überschwemmen ihre Telefone mit Phishing- Telefonnummern und gefälschten Informationen
Nachrichten, die vortäuschen, von Banken, können viele Bedrohungsakteure schnell und
Unterhaltungskanälen, Paketlieferdiensten, kostengünstig umfangreiche SMS‑Phishing-
Onlinehändlern und mehr zu stammen. Kampagnen implementieren, ohne dass das
Risiko einer Erfassung oder Strafverfolgung
SMS‑Phishing (oder Smishing, wie es allgemein besteht.
genannt wird) ist ein globales Problem und jede
schädliche Nachricht untergräbt das Vertrauen Während mobile Nutzer zunehmend auf
der Nutzer in Messaging-Plattformen. Wenn es schädliche Nachrichten in E‑Mails und sozialen
nicht im Auge behalten wird, kann Smishing zu Netzwerken aufmerksam werden, vertrauen
einem raschen Rückgang der Nutzerinteraktion viele von ihnen SMS‑Nachrichten blind und
und des Markenvertrauens führen, was bedeutet, Bedrohungsakteure haben ausreichend
dass alle Beteiligten einen Grund haben, SMS Gelegenheit, diese Dynamik zu nutzen.
vor immer problematischeren Angriffen zu
schützen. Um die Integrität des Mediums SMS zu
bewahren und das Nutzererlebnis zu schützen,
Während die Telekommunikationsbranche hart müssen alle diese wachsende Bedrohung
daran arbeitet, dieses Problem zu bekämpfen, verstehen und gleichzeitig daran arbeiten, die
ist SMS‑Phishing für viele Bedrohungsakteure Verbreitung zu verhindern.
weiterhin ein lukratives Geschäft, mit steigenden
Kosten und Konsequenzen für Nutzer und die Die Telekommunikationsbranche aktualisiert
Telekommunikationsbranche. kontinuierlich ihre Verteidigung, um zu
verhindern, dass Phishing-Nachrichten ihre
Warum ist SMS‑Phishing so effektiv? Kunden erreichen. Während Filteragenten ihre
SMS sind allgegenwärtig in der Strategien anpassen, um Spam zu blockieren,
heutigen, von Smartphones bestimmten setzen Bedrohungsakteure auf aktualisierten
Kommunikationsumgebung. Jeden Tag Code und neuartige Verschleierungstechniken.
versenden mobile Nutzer Milliarden von Cyberkriminelle wissen, dass sie Typosquatting-
Textnachrichten und öffnen Berichten zufolge Techniken einsetzen können, z. B. indem
98 % davon innerhalb kürzester Zeit. sie den Buchstaben „O“ zu „0“ ändern oder
eine URL anpassen, um die Komplexität der
Gleichzeitig sind SMS‑Phishing-Angriffe SMS‑Nachricht zu erhöhen, damit schädliche
kostengünstig in der Entwicklung und Nachrichten nicht erkannt werden. Zusätzliche
Implementierung. Es gibt eine kostenlose Techniken, wie z. B. die Erwähnung einer großen
Infrastruktur rund um Domains und Hosting Marke wie UPS im Nachrichteninhalt, machen
sowie leicht verfügbare Sendemethoden. es Firewalls schwierig, legitime Nachrichten von
Um mobile Nutzer anzugreifen, werden Phishing-Nachrichten zu unterscheiden.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 4
Darüber hinaus richten Bedrohungsakteure eine zu beteiligen. Die Telekommunikationsbranche
URL‑Phishing-Seite ein, die sie mithilfe günstiger investiert stark in die Reduzierung von
oder kostenloser Kurzdomains maskieren, die SMS‑Phishing in ihren Netzwerken, wird aber
zur Angriffsseite umleiten. Auf diese Weise allein nicht erfolgreich sein.
können Bedrohungsakteure kurze URLs in einer
Textnachricht senden – perfekt konzipiert, um sie Dazu ist ein vollständiger Datenaustausch über
dem unbekannten Empfänger legitim erscheinen die gesamte Wertschöpfungskette erforderlich.
zu lassen –, ohne durch Filter blockiert zu werden. Netzanbieter, Messaging-Plattformen, Firewalls
und Anbieter von Bedrohungsinformationen
Außerdem nutzen Bedrohungsakteure mehrere müssen die heute übliche isolierte
Bereitstellungsmethoden, um mobile Nutzer Verteidigungsstrategie durch gemeinsame
zu erreichen. Sie können die Eigenarten der Bemühungen ersetzen. Nur so können sie
einzelnen Zustellungsmethoden effektiv nutzen verhindern, dass Cyberkriminelle SMS‑Phishing
(ober über eine reguläre Telefonnummer oder einsetzen, um Kundendaten zu stehlen, interne
eine E‑Mail-Adresse), um eine Erkennung Systeme zu kompromittieren, das Nutzererlebnis
zu vermeiden und die Gesamteffektivität zu zu beeinträchtigen und die Markenintegrität zu
erhöhen. schädigen.
Was ist also die Lösung? SMS‑Messaging ist ein florierendes Thema und
Phishing-Angriffe sind ein globales Problem,
SMS‑Nachrichten sind ein grundlegendes das das langfristige Verbrauchervertrauen
Element des heutigen mobilen Erlebnisses untergraben könnte. Wenn wir nicht
für über fünf Milliarden Menschen zusammenarbeiten, um Umfang, Häufigkeit
weltweit. Jeder – von Betreibern über und Effektivität von Phishing-Angriffen
Cybersicherheitsunternehmen bis hin zu einzudämmen, riskieren wir, SMS‑Nachrichten
Verbrauchern – hat eine Motivation, sich an der als vertrauenswürdigen Kommunikationskanal
Abwehr von Phishing auf Mobilfunk-Plattformen abzuwerten.
Zusammengefasst
• 2020 gab es weltweit 193 Milliarden Credential- • Das Phishing-Kit Kr3pto, mit dem Finanzinstitute
Stuffing-Angriffe, davon 3,4 Milliarden im und ihre Kunden per SMS angegriffen wurden, hat
Finanzdienstleistungssektor. Das entspricht einem seit Mai 2020 nachweislich elf Bankingmarken auf
Anstieg von 45 % im Vergleich zu 2019. mehr als 8.000 Domains gespooft. Akamai und
WMC Global haben Kr3pto-Kampagnen über mehr
• Die Anzahl der Webangriffe, die auf die als 80 verschiedene Hosts (ASNs) verfolgt. Auf einem
Finanzdienstleistungsbranche abzielten, stieg davon wurden mehr als 6.000 Kr3pto-Domains
um 62 %. Im Jahr 2020 beobachtete Akamai gehostet.
736.071.428 Webangriffe auf Finanzdienstleister.
Was war der häufigste Typ von Webangriffen auf • Eine API, die vom Phishing-Kit Ex-Robotos verwendet
Finanzdienstleister? Local File Inclusion (52 %), wird, das auf Unternehmensanmeldedaten
gefolgt von SQL Injection (33 %) und Cross-Site abzielt, protokollierte über 220.000 Aufrufe über
Scripting (9 %). 43 Tage, wobei in der ersten Februarwoche 2021
Zehntausende pro Tag erreicht wurden.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 5
Einführung dem Missbrauch von Anmeldedaten und zu
Webangriffen angesehen, die von den Sensoren
von Akamai im Laufe des Jahres erfasst wurden.
In den letzten zwei Jahren hat sich der „State
of the Internet“-Sicherheitsbericht von Akamai Was haben wir gelernt? Der Missbrauch von
weiterentwickelt. Manchmal erfolgten diese Anmeldedaten – ein Nebenprodukt von Phishing,
Entwicklungen in Form von neuen Daten und häufig mit dem Ziel der Kontoübernahme – ist
den damit verbundenen Geschichten. In anderen nach wie vor einer der größten Angriffsvektoren im
Fällen zeigten sich diese Entwicklungen in der Arsenal der Kriminellen.
Einbeziehung von Gastbeiträgen, externen Studien,
zusätzlichen Bedrohungsinformationen oder einer 2020 gab es weltweit 193 Milliarden Credential-
Mischung aus allen drei Punkten. Bereits 2021 Stuffing-Angriffe, davon 3,4 Milliarden im
haben wir unseren ersten SOTI‑Forschungsbericht Finanzdienstleistungssektor. Im Laufe des
veröffentlicht, in dem die Auswirkungen von Jahres 2020 haben Kriminelle COVID‑19 und das
COVID‑19 bei Akamai und die Arten von Angriffen Versprechen finanzieller Hilfe oder finanzielle
untersucht wurden, denen wir 2020 als Unternehmen Schwierigkeiten genutzt, um Menschen auf der
aufgrund der Pandemie gegenüberstanden. ganzen Welt mit Phishing anzugreifen. Diese
Angriffe wiederum haben den Credential-Stuffing-
Dieser Bericht stellt eine weitere Entwicklungsstufe Boom befeuert, da neu erfasste Anmeldedaten, neu
dar. Er beinhaltet Studien von WMC Global, sortierte Daten aus Datenschutzverletzungen und
einem Threat-Intelligence-Unternehmen, das alte Sammlungen kombiniert, getestet, gehandelt
in verschiedenen Geschäftsbereichen tätig und verkauft wurden.
ist, einschließlich Finanzdienstleistungen. In
dieser Ausgabe des „State of the Internet“- Akamai beobachtete 2020 weltweit 6,3 Milliarden
Sicherheitsberichts wollten wir durch die Webangriffe. Davon waren 736 Millionen allein
Untersuchung der Phishing-Daten von WMC Global gegen den Finanzdienstleistungssektor gerichtet.
sowie unserer eigenen Daten ein umfassenderen SQL Injection war der häufigste Webangriff,
Bild davon bieten, wie sich diese Bedrohungen gefolgt von Local File Inclusion – innerhalb der
2020 auf den Finanzsektor ausgewirkt haben. Finanzdienstleistungsbranche war es jedoch
Aber Phishing ist nur ein Teil der Geschichte. umgekehrt.
Zusätzlich zu diesen Daten haben wir uns auch
die Daten zu DDoS (Distributed Denial of Service),
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 6
Überblick Während ein Teil dieses Wachstums direkt auf die
neue Transparenz zurückzuführen ist, die Akamai
nach dem Onboarding neuer Kunden gewonnen
hat, stellt dies noch immer einen Zuwachs dar –
2020 verzeichnete Akamai, wie in Abbildung 1 auch ohne die neuen Erkenntnisse zu Angriffen.
dargestellt, 193.519.712.070 Credential-Stuffing- Passwörter waren schon immer ein schwaches Glied
Angriffe weltweit, wobei 3.452.192.348 allein im in der Sicherheitskette und Kriminelle zögern nicht,
Finanzsektor ausgeführt wurden – ein Anstieg von diese Schwäche auszunutzen.
45 % gegenüber 2019.
Tägliche Versuche des Missbrauchs von Anmeldedaten
1. Januar 2020 bis 31. Dezember 2020
1. Dez. 2020
1.003.963.614
1,00 Mrd.
Schädliche Anmeldeversuche (Milliarden)
9. Mai 2020
786.882.475
0,75 Mrd.
0,50 Mrd.
0,25 Mrd.
14. Mai 2020 29. Nov. 2020
47.698.955 63.558.042
0,00 Mrd.
1. Jan. 2020 1. Feb. 2020 1. März 2020 1. Apr. 2020 1. Mai 2020 1. Juni 2020 1. Juli 2020 1. Aug. 2020 1. Sep. 2020 1. Okt. 2020 1. Nov. 2020 1. Dez. 2020 1. Jan. 2021
Alle Branchen Finanzdienstleistungen
Abb. 1: Im Jahr 2020 erlebten Finanzdienstleister täglich Millionen Credential-Stuffing-Angriffe, die im
November mit 63 Millionen ihren Höhepunkt erreichten
Missbrauch von Anmeldedaten und Webangriffe im Zeitverlauf
Durch den Ausbau unseres Kundenstamms im Jahr 2020 und die Verbesserung unserer Transparenz konnte
Akamai in den letzten drei Jahren einen Anstieg von über 360 % bei Credential-Stuffing-Angriffen und
150 % bei der Überwachung von Webangriffen verzeichnen.
2018
2.450.790.188 Webangriffe 41.892.781.464 Credential-Stuffing-Angriffe
2019
6.153.098.198 Webangriffe 46.959.228.610 Credential-Stuffing-Angriffe
2020
6.287.291.470 Webangriffe 193.519.712.070 Credential-Stuffing-Angriffe
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 7
Im Mai 2020 stachen zwei Daten hervor:
Am 9. Mai erreichte der Missbrauch von Die vielen Facetten des
Anmeldedaten weltweit einen Höhepunkt Missbrauchs von Anmeldedaten
von 786.882.475 Angriffen. Fünf Tage
später, am 14. Mai, verzeichnete der
Finanzdienstleistungssektor seinen eigenen Es gibt eine Methode für den Wahnsinn und das
Rekord: 47.698.955 Angriffe. Im weiteren Verlauf Chaos, die den Missbrauch von Anmeldedaten
des Jahres schnellte der globale Missbrauch von durch die kriminelle Wirtschaft fördern. Zwar liegt
Anmeldedaten erneut hoch und erreichte einen der Schwerpunkt auf Nutzernamen und Passwörtern,
Höchststand von 1.003.963.614 Angriffen. Auch doch auch andere Elemente spielen eine Rolle.
der Finanzdienstleistungssektor verzeichnete mit Passive Angriffe konzentrieren sich ausschließlich auf
63.558.042 Angriffen rund um den Missbrauch von Kombinationen von Nutzernamen und Passwörtern
Anmeldedaten einen neuen Rekord. und zielen auf große und kleine Services ab, um
herauszufinden, wie viele Konten übernommen
werden können.
Rückblickend können all diese Fälle mit Ereignissen
in der kriminellen Wirtschaft zum jeweiligen
Zeitpunkt in Verbindung gebracht werden. Bei genauerem Hinschauen ist der Missbrauch
Millionen neuer Nutzernamen und Passwörter, von Anmeldedaten jedoch recht komplex.
die an verschiedene nennenswerte Vorfälle in Wenn beispielsweise eine Kombinationsliste
Q1 und Q2 2020 (sowie einige in Q3) geknüpft keine Ergebnisse liefert, wird bei einem
waren, begannen, in verschiedenen Foren zielgerichteten Angriff die Kombinationsliste
unter Kriminellen zu zirkulieren. Sobald diese mit verschiedenen Quellen verfeinert, um neue
kompromittierten Anmeldedaten veröffentlicht Passwörter zu generieren. Die Öffentlichkeit
worden waren, wurden sie sortiert und bei Marken erlebte in diesem Bereich kleinere Attacken, als
im Internet getestet, darunter auch bei mehreren Kriminelle Anfang 2020 auf Zoom und im Laufe
Finanzinstituten. des Jahres auf die Arbeitsagenturen abzielten. Zu
den umfangreicheren Bemühungen gehört die
Verfeinerung von Kombinationslisten mithilfe von
Auch der Finanzdienstleistungs‑ Quellen wie Derivaten des ursprünglichen Passworts
oder durch Datenanreicherung – mit dem Ziel, die
sektor verzeichnete mit gezielten Marketingdaten in Phishing-Kampagnen
63.558.042 Angriffen rund um zu nutzen und den Prozess zu wiederholen, bis das
ursprüngliche Ziel der Kontoübernahme erreicht ist.
den Missbrauch von Anmelde‑
daten einen neuen Rekord.
Es gab 2020 weiterhin zahlreiche webbasierte
Attacken und Anwendungsangriffe. Und
es gibt keine Anzeichen dafür, dass sie in
absehbarer Zukunft abnehmen werden. Akamai
beobachtete weltweit 6.287.291.470 Webangriffe.
Davon waren 736.071.428 allein gegen den
Finanzdienstleistungssektor gerichtet.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 8
Tägliche Angriffe auf Webanwendungen
1. Januar 2020 bis 31. Dezember 2020
60 Mio.
28. Sep. 2020
53.635.511
15. Aug. 2020
43.337.230
16. Dez. 2020
40 Mio.
38.874.013
28. Sep. 2020
Angriffe (Millionen)
33.964.394
20. Sep. 2020
20 Mio.
17.833.821
0 Mio.
1. Jan. 2020 1. Feb. 2020 1. März 2020 1. Apr. 2020 1. Mai 2020 1. Juni 2020 1. Juli 2020 1. Aug. 2020 1. Sep. 2020 1. Okt. 2020 1. Nov. 2020 1. Dez. 2020 1. Jan. 2021
Alle Branchen Finanzdienstleistungen
Abb. 2: Webangriffe erreichten 2020 fünf bemerkenswerte Spitzenwerte, alle in Q3 und Q4
2020 gab es fünf bemerkenswerte Spitzenwerte fand im August statt, als die globalen
(Abbildung 2), die alle in Q3 und Q4 erreicht Webangriffe auf 43.337.230 anstiegen, gefolgt
wurden. Dies korreliert mit einer Reihe von von einem weiteren Sprung auf 53.635.511
Ereignissen, einschließlich der Weihnachtssaison, im September. Etwa zur selben Zeit erlebte
sowie einer zusätzlichen kriminellen Verarbeitung die Finanzdienstleistungsbranche am 20. und
von neu sortierten kompromittierten Nutzernamen 28. September Spitzenwerte von 17.833.821 bzw.
und Passwörtern. Der erste große Höhepunkt 33.964.394 Angriffen.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 9
Die wichtigsten Arten von Webangriffen
1. Januar 2020 bis 31. Dezember 2020
5 Mrd.
68,162 %
4 Mrd.
Angriffe (Milliarden)
3 Mrd.
2 Mrd.
21,515 %
1 Mrd.
5,724 %
1,944 % 1,295 % 1,359 %
0 Mrd.
SQLi LFI XSS PHPi RFI Sonstige
Angriffsvektor
Die wichtigsten Arten von Webangriffen – Finanzdienstleistungen
1. Januar 2020 bis 31. Dezember 2020
400 Mio.
51,62 %
300 Mio.
Angriffe (Millionen)
33,42 %
200 Mio.
100 Mio.
9,31 %
2,36 % 2,12 %
1,17 %
0 Mio.
LFI SQLi XSS PHPi CMDi Sonstige
Angriffsvektor
Abb. 3: LFI übertraf 2020 SQLi als den größten Angriffstyp in der
Finanzdienstleistungsbranche, was darauf hindeutet, dass Kriminelle immer noch
APIs und Anwendungen angreifen.
Weltweit war SQL Injection (SQLi) der wichtigste Angriffsvektoren etwas anders. Hier wird SQLi von
Angriffsvektor, gefolgt von Local File Inclusion (LFI), LFI als Top-Vektor abgelöst – die beiden Vektoren
Cross-Site Scripting (XSS), PHP Injection (PHPi) tauschen vollständig die Plätze, gefolgt von XSS,
und Remote File Inclusion (RFI). In der PHPi und Command Injection (CMDi).
Finanzdienstleistungsbranche ist die Verteilung der
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 10Wöchentliche DDoS‑Angriffe
1. Januar 2020 bis 31. Dezember 2020
3. Aug. 2020
364,0 16. Nov. 2020
6. Apr. 2020 343,0
333,0
300
DDoS-Angriffe
200
24. Aug. 2020
99,0 16. Nov. 2020
100 92,0
10. Feb. 2020
63,0
0
Jan. 2020 Feb. 2020 März 2020 Apr. 2020 Mai 2020 Juni 2020 Juli 2020 Aug. 2020 Sep. 2020 Okt. 2020 Nov. 2020 Dez. 2020 Jan. 2021
Alle Branchen Finanzdienstleistungen
Abb. 4: Das Volumen der DDoS‑Angriffe ist 2020 weiter angestiegen, mit einem Wachstum von
110 % im Finanzdienstleistungssektor.
Bei DDoS‑Angriffen gab es 2020 im
Finanzdienstleistungssektor einen Anstieg von Finanz-Phishing
110 % gegenüber dem Vorjahr. In den vergangenen
drei Jahren (2018–2020) nahmen DDoS‑Angriffe
auf Finanzdienstleister um 93 % zu. Dies Um Umfang und Maßstab der Phishing-Angriffe auf
untermauert, dass Kriminelle bei ihren Angriffen die Finanzdienstleistungsbranche zu untersuchen,
auf geschäftskritische Services und Anwendungen haben WMC Global und Akamai gemeinsam an
weiterhin auf systemische Störungen setzen. In der Entwicklung unserer Forschung gearbeitet.
Abbildung 4 sehen wir, dass DDoS‑Angriffe im Als Threat-Intelligence-Unternehmen – eines mit
gesamten Jahr 2020 gleichbleibend hoch sind, umfassenden Einblicken in diese Art von Angriffen
mit deutlichen Spitzen im Februar, August und und die verantwortlichen Bedrohungsakteure – war
November. WMC Global bestens dafür geeignet, uns bei der
Entwicklung der für diesen Bericht erforderlichen
Forschung zu unterstützen.
Bei DDoS‑Angriffen gab es
2020 im Finanzdienstleis‑ In den letzten Jahren ist Phishing bei vielen
Datenschutzverletzungen und Sicherheitsvorfällen,
tungssektor einen Anstieg die die Schlagzeilen beherrschten, eine ständige
Variable geblieben. Kriminelle haben regelmäßig
von 110 % gegenüber dem viel Energie und Ressourcen für die Förderung der
Vorjahr. Phishing-Wirtschaft eingesetzt. Die Zeiten einfacher
geklonter Websites sind vorbei. Heute ist Phishing ein
sofort einsatzbereites Geschäftsmodell, das sogar als
gehostete Lösung für Kriminelle angeboten wird, die
Phishing-as-a-Service nutzen möchten.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 11Als sich Phishing-Angriffe und die Entwicklung von Zusammen mit diesen Kits werden Backend-Betrieb
Kits weiterentwickelten, erkannten die Verteidiger, und -Funktionen angeboten. Der Entwickler muss
dass Nutzernamen und Passwörter allein nicht diese Pakete nur noch an geringer qualifizierte
ausreichen. Um Phishing-Angriffe und andere Kriminelle weiterverkaufen, die damit ihre Opfer
passwortbasierte Attacken zu bekämpfen, setzten angreifen.
Verteidiger zur Verbesserung grundlegender
Passwörter auf Multi-Faktor-Authentifizierung (MFA) Beispiele für diese Arten von Phishing-Kits finden Sie
und Zwei-Faktor-Authentifizierung (2FA). Während in der Akamai-Berichterstattung über den 16Shop
2FA ein Teil der MFA ist, bieten beide die Möglichkeit sowie in den Informationen zu Cazanova-Kits von
einer zweiten Authentifizierungsmethode, z. B. eine WMC Global.
PIN oder ein Einmalkennwort (One-Time Password,
OTP). Häufig wird 2FA mit SMS‑basierten OTPs
verbunden, während MFA mit Authenticators wie
Google Authenticator verknüpft ist. Erwischt!
Und damit kommen wir zum aktuellen Stand: Die Kriminelle, die einen Phishing-as-a-Service-Betrieb
Kriminellen haben sich weiterentwickelt. Diese managen, kommen sich vielleicht kugelsicher vor: Sie
Weiterentwicklung beinhaltet Elemente, die auf dürfen ihre Phishing-Kits und -Plattformen straffrei
2FA- und MFA‑Schutz abzielen. Opfer werden dazu erstellen und verkaufen, während jemand anderes das
gebracht, ihr Einmalkennwort einzugeben oder es gesamte Risiko übernimmt. Diese imaginäre Immunität
dem Cyberkriminellen während eines Gesprächs zu hält jedoch nie an.
offenbaren.
Ein Beispiel ist U‑Admin. Dies war eine Phishing-as-a-
In diesem Bericht stellen WMC Global und Akamai Service-Plattform, die eine Reihe von Funktionen
Forschungsergebnisse zu Cyberkriminellen anbot, darunter Plug‑ins zur Generierung von Phishing-
und den Phishing-Kits vor, mit denen die Seiten, Verfolgung von Opfern und vieles mehr. Das
Finanzdienstleistungsbranche oder einzelne zeigt eine detaillierte Analyse des Forschers Fred HK
Finanzdienstleister angegriffen werden. Seit relativ (@fr3dhk). Eines der wichtigsten Elemente in U‑Admin
kurzer Zeit stellt ein neuer Angreifer eine ernsthafte war die Fähigkeit, MFA-/2FA‑Codes über Web Inject
Bedrohung für die Finanzdienstleistungsbranche abzufangen. Neben Phishing wurde U‑Admin auch
des Vereinigten Königreichs dar. Er entwickelt als Teil verschiedener Malware-basierter Angriffe wie
dynamische Phishing-Kits, die Zweitfaktoren bei der QBOT eingesetzt.
Authentifizierung effektiv umgehen.
Am 4. Februar 2021 wurde ein 39‑jähriger Mann aus
Darüber hinaus untersuchen wir einen weiteren der ukrainischen Region Teropil von der ukrainischen
Bedrohungsakteur, der sich auf Nutzer in Polizei verhaftet, die mit dem FBI und der australischen
Unternehmen und ihre Anmeldedaten konzentriert. Bundespolizei zusammenarbeitete. Diese unbenannte
Das von diesem Bedrohungsakteur verwendete Person gilt als Ersteller und Hauptvertreiber von
Phishing-Kit ist nicht übermäßig komplex, aber es U‑Admin. Laut AFP war U‑Admin 2019 für 50 % aller
gibt eine große Anzahl von Websites, auf denen Phishing-Angriffe in Australien verantwortlich.
dieses spezielle Office 365-Kit gehostet wird, das von
anderen Kriminellen kopiert und verbreitet wurde.
Phishing-as-a-Service
Das Konzept Phishing-as-a-Service gibt es jetzt
bereits seit einigen Jahren. Erfahrene Website-
Entwickler erstellen komplexe Phishing-Kits,
die in einigen Fällen die anvisierte Marke bzw.
das Finanzinstitut nahezu perfekt nachahmen.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 12Bühne frei für Kr3pto Das Kr3pto-Phishing-Kit zielt auf Nutzernamen
und Passwörter von Opfern ab sowie auf alle für
Ein Bedrohungsakteur, der den Alias „Kr3pto“ die Authentifizierung verwendeten Zweitfaktoren
verwendet, hat sich einen Namen gemacht, da wie Sicherheitsfragen und -antworten sowie
er selbst Phishing-Kits verkauft, die auf viele SMS‑basierte PINs. Die Workflows der Kits sind
Unternehmen abzielen, darunter auch große nahtlos und passen sich dynamisch an das
Finanzinstitute im Vereinigten Königreich. Anmeldeerlebnis der Opfer bei ihrer jeweiligen
Angesichts der Anzahl der Kits, die der Marke Bank an.
Kr3pto zugeordnet sind, scheint es, als ob er
auch individuelle Phishing-Kits auf Basis von
Studien von Or Katz von Akamai zeigen, dass
Kundenanfragen erstellt.
Kr3pto-Kits auf 8.344 Domains beobachtet
WMC Global und Akamai wurden auf Kr3pto wurden (Stand: 17. Februar) und bis Mai 2020
aufmerksam, nachdem mit seinen Phishing-Kits elf zurückreichen. Die Implementierung des Kits
verschiedene Banken im Vereinigten Königreich erreichte im November 2020 einen Höhepunkt von
angegriffen wurden. Angesichts des Ausmaßes und 800 Domains. Dieses Kit ist so weit verbreitet, dass
der raschen Zunahme der Angriffe auf die Banken Katz es über ASNs (Autonomous System Numbers)
wollten Akamai und WMC Global die Quelle auf mehr als 80 verschiedene Hosts verfolgt. Allein
dringend untersuchen. eine dieser ASNs war für mehr als 6.000 Kr3pto-
Domains verantwortlich.
Abb. 5: Eine Kr3pto-Phishing-Seite, die auf Kunden von Permanent TSB abzielt
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 13Kr3pto-Phishing-Kampagnen
Anzahl neu bereitgestellter Domains pro Woche
1.000
Neu bereitgestellte Domains
750
500
250
0
20
20
20
20
0
0
0
0
0
0
0
0
0
1
1
21
21
0
0
0
0
0
1
1
1
02
02
02
02
02
02
02
02
02
2
2
02
02
02
02
02
02
02
02
20
20
20
20
20
20
20
20
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
kt.
kt.
kt.
kt.
n.
n.
n.
n.
ep
ep
ep
ep
ov
ov
ov
ov
ov
ez
ez
ez
ez
ug
eb
eb
eb
. Ja
. Ja
. Ja
. Ja
.O
.O
.O
.O
.D
.D
.D
.D
.N
.N
.N
.N
.N
.S
.S
.S
.S
.A
.F
.F
.F
04
11
18
25
05
12
19
26
07
14
21
28
07
14
21
28
01
08
15
02
09
16
23
30
31
Abb. 6: Eine wöchentliche Aufgliederung von Kr3pto-Kampagnen im Laufe der Zeit zeigt stetiges Wachstum.
Kr3pto-Angriffsworkflow Darüber hinaus nutzt Kr3pto dediziertes Hosting.
Einige Phishing-Kits versuchen, eine vorhandene
Website zu kompromittieren, um die Reputation
der Domain zu nutzen, aber Kr3pto tut dies nicht.
Der Kr3pto-Angriff beginnt mit SMS-Ködern, mit Stattdessen registrieren Bedrohungsakteure,
denen das Opfer auf ein gesperrtes Konto oder die Kr3pto ausführen, neue Domains und ein
die Einrichtung eines neuen Zahlungsempfängers neues Hosting. Dies ist eine Schwachstelle, die
hingewiesen wird. Zwischen dem 12. Januar und sie nicht vermeiden können, da die Datensätze
dem 12. Februar 2021 verfolgte WMC Global im Zusammenhang mit der Domainregistrierung
mehr als 4.000 mit Kr3pto verknüpfte Kampagnen einfach nachverfolgt werden können.
über SMS nach. Die Köder selbst ändern sich
häufig, ebenso wie die Nummern, von denen die
SMS gesendet wird. Das deutet darauf hin, dass Tatsächlich verwendet der Akamai-Forscher Steve
die Angreifer Zugriff auf einen großen Pool von Ragan Datensätze zu neu registrierten Domains
SMS‑Versanddiensten haben und das Senden der und Zertifikaten als Methode zur Verfolgung
Köder und Phishing‑URLs automatisieren. von Phishing-Kampagnen und Kit-Quellcode
während seiner täglichen Forschungsarbeiten.
Durch die Überwachung der Registrierungen
Die Köder werden zur Verschleierung per SMS von Domains und SSL-/TLS‑Zertifikaten über
versendet. Die meisten Betriebe, privaten die von Zertifizierungsstellen bereitgestellten
Endpoint‑Sicherheitsangebote und gebräuchlichen Zertifikattransparenzprotokolle können die
E‑Mail‑Konten verhindern, dass Schad‑E‑Mails Domains, für die Kriminelle Zertifikate registrieren,
die Posteingänge der Opfer erreichen. Diese leicht beobachtet und gemeldet werden.
Schutzmaßnahmen sind nicht perfekt, aber sie
verhindern eine Mehrzahl der Angriffe. Deshalb
sind Kriminelle auf SMS und sogar auf soziale
Medien umgestiegen, um ihre Köder zu verteilen.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 14Auch bei diesen Angriffen spielt ein menschliches um das OTP vom Opfer zu erhalten. Sobald das
Element eine Rolle, da die Köder echte Panik OTP abgerufen wurde, hat der Bedrohungsakteur
verursachen, nicht nur ein bisschen Angst. alles, was er benötigt, um auf das Bankkonto des
Diese Faktoren führen dazu, dass das Opfer Opfers zuzugreifen und es zu leeren. Forscher und
auf den Link in der SMS klickt. Die von Kr3pto Branchenquellen schätzen typische Verluste für
verwendeten Landingpages umfassen in der Regel jeden erfolgreichen Angriff auf 500 bis 1.000 USD.
Responsive Designs, d. h., sie passen sich an jede
Bildschirmgröße an, einschließlich Mobilgeräte.
Die von Kr3pto-Akteuren verwendeten URLs
enthalten oft den Namen der Zielmarke irgendwo Trittbrettfahrer und Klone
in der Adresse oder einen Verweis auf die Marke
selbst. Bei der Anzeige über einen mobilen Browser
ist die vollständige Adresse jedoch verborgen, Kr3pto ist zu einem beliebten Kit in der Phishing-
sodass die Opfer den erwarteten Namen sowie Wirtschaft geworden – so beliebt, dass andere
„HTTPS“ sehen, das sie seit Jahren als Zeichen für Kriminelle damit begonnen haben, den Code zu
Sicherheit kennen. rippen oder zu kopieren und ihn in ihren Projekten
zu verwenden. Diese Kits haben die gleiche
Kr3pto-Kits erfordern, dass der Bedrohungsakteur, Struktur, Funktionalität und die grundlegenden
der sie verwaltet, den Angriff manuell durcharbeitet. Funktionen, aber das Branding wurde geändert.
Das bedeutet, dass sich die Person, die den Angriff Diese Handlungen beweisen eines: dass es unter
ausführt, im Admin-Bereich des Phishing-Kits Dieben keine Ehre gibt. Es ist zweifelhaft, dass sie
anmeldet und wartet. Dies führt zu Komplikationen dem echten Kr3pto-Ersteller eine Art Provision
und stellt eine weitere Schwachstelle dar, da die zahlen, wenn sie die gerippten Kits verkaufen.
Person, die den Angriff verwaltet, sich um die
Planung kümmern und sicherstellen muss, dass der Gerippte Kits sind ein interessanter
Admin-Bereich ständig überwacht wird. Wenn eine Forschungszweig. Einige Ripper können die
Warnung unbemerkt bleibt, kann sich das Opfer Funktionalität des Original-Kits verändern oder
des Betrugs bewusst werden und ihn melden. sogar Backdoors hinzufügen. Wenn Ripper ein Kit
cracken, kann dies jedoch auch dazu führen, dass
Backdoors entfernt werden.
Angriffsstruktur
Schon gewusst?
Sobald sich das Opfer auf der Landingpage
befindet, beginnt der Phishing-Angriff sofort. Wenn In der Phishing-Wirtschaft sind Ripper diejenigen,
das Opfer versucht, sich anzumelden, werden sein die den Code von Phishing-Kit-Entwicklern stehlen
Nutzername und Kennwort kompromittiert. Damit oder kopieren und ihn mit einem neuen Branding
wird der Bedrohungsakteur hinter dem Angriff oder als eigenen Code weiterverkaufen. Wenn dies
über das neue Opfer informiert (das Kit verfügt geschieht, wird der Vorgang als „Rippen“ bezeichnet.
über textbasierte und audiobasierte Warnungen Gerippte Kits werden auch häufig als gecrackte Kits
für den Bedrohungsakteur). Sobald die Warnung bezeichnet, da die Ripper die Schutzmechanismen
eingeht, verwendet der Bedrohungsakteur die entfernt haben, die das Rippen verhindern sollen.
kompromittierten Anmeldedaten, um sich bei der
Website der echten Bank anzumelden.
Benötigt die Bank beispielsweise ein SMS‑basiertes
OTP, sendet sie dem Opfer den Code und der
Bedrohungsakteur erstellt ein entsprechendes
Formular (in Echtzeit) auf der Phishing-Website,
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 15der Kategorie „Verbraucher“, während Kits, die
auf Unternehmenskonten abzielen, bekannte
Unternehmensmarken wie Dropbox, Office 365,
OneDrive und SharePoint angreifen.
Kr3pto ist ein Phishing-Kit mit Verbrauchern im
Visier, während das Phishing-Kit, das wir jetzt
untersuchen, Ex-Robotos, auf Unternehmen abzielt.
Phishing-Kits, die auf Unternehmenskonten
abzielen, bergen besonders hohe Risiken, da sie
auf mehr zugreifen können als nur das direkte Ziel.
Von Unternehmens-Phishing‑Kits kompromittierte
Anmeldedaten decken das angegriffene Konto mit
z. B. geschäftlichen E‑Mails oder gespeicherten
Dokumenten sofort auf. Leider verwenden die
meisten Büroangestellten ihre Passwörter für
mehrere Unternehmensservices und -anwendungen
wieder. Aus diesem Grund kann ein einziger
Abb. 7: Gecrackte Kopien von Kr3pto lassen sich erfolgreicher Phishing-Angriff auch andere Assets
leicht durch einen Blick in den Admin-Bereich in Gefahr bringen, wie VPNs, Gehaltsabrechnungs-
und HR‑Anwendungen oder Server.
erkennen.
Dynamische Kits wie Kr3pto sind darauf ausgelegt,
den Mangel an starken 2FA‑Optionen auszunutzen, MFA wird schwieriger zu cracken
der nicht nur im Finanzdienstleistungssektor,
sondern weltweit ein Problem ist. Der hierzu von
Kr3pto verwendete Prozess ist zwar nicht neu, Angesichts der stärkeren MFA‑Funktionen
aber die Tatsache, dass er sich so stark verbreitet, kommt es vor allem darauf an, sich von der
birgt die Gefahr, dass er in naher Zukunft alltäglich SMS‑basierten Authentifizierung wegzubewegen
wird. Das bedeutet, dass Finanzinstitute und und Authenticators zu nutzen. Google Authenticator
andere wichtige Verbrauchermarken stärkere bietet beispielsweise zeitbasierte OTPs (TOTP) und
2FA-/MFA‑Alternativen zum Schutz und zur vermeidet SMS vollständig als OTP‑Zustellungskanal.
Einschränkung von Schäden einführen müssen. Es gibt auch Universal 2nd Factor (U2F), einen
Challenge-Response-Mechanismus, der
standardmäßige Public-Key-Kryptografietechniken
verwendet. Yubikey ist derzeit die bekannteste
Robotos zielt auf Nutzer in Option für U2F. Weitere Informationen über U2F
Unternehmen ab finden Sie auf der Website der FIDO Alliance.
Wir haben gerade ein Phishing-Kit für Banking
untersucht, aber wie sieht es mit den Phishing-
Kits aus, die auf Unternehmenskonten abzielen?
Die Arten von Phishing-Angriffen, die häufig
online auftreten, lassen sich in der Regel in
zwei Hauptkategorien unterteilen: Verbraucher
und Unternehmen. Diese werden dann weiter
unterteilt. Die Unterbereiche umfassen soziale
Medien, Medienstreaming, Gaming usw. unter
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 16Ex-Robotos ist die Bezeichnung, die von einem
Bedrohungsakteur ausgewählt wurde, der in den Der Aufstieg von Ex-Robotos
letzten Monaten eine Reihe von Phishing-Kits für
Unternehmen entwickelt und veröffentlicht hat.
Wie bei Kr3pto wurde der ursprünglicher Code Daten aus den Akamai-Protokollen zeigen, dass
von anderen Bedrohungsakteuren (G66K, I.K. ZeuS der Traffic zum Ex-Robotos-Phishing-Kit Anfang
und EDBY-G66K-GOV) gerippt und gestohlen. Februar 2021 stark anstieg.
Es gibt wahrscheinlich noch andere Ripper, die
den Ex-Robotos-Code verwenden, aber die drei
oben genannten zählen zu den Namen, die online 31. Januar 2021 –
häufiger anzutreffen sind. 15.978 Aufrufe der Ex-Robotos‑API
1. Februar 2021 –
14.696 Aufrufe der Ex-Robotos‑API
2. Februar 2021 –
10.861 Aufrufe der Ex-Robotos‑API
3. Februar 2021 –
10.882 Aufrufe der Ex-Robotos‑API
Abb. 8: G66K hinterlässt eine höhnische 4. Februar 2021 –
Nachricht im Quellcode für Ex-Robotos. 8.388 Aufrufe der Ex-Robotos‑API
5. Februar 2021 –
Diese Ripper stehlen nicht nur den Code, sondern
12.381 Aufrufe der Ex-Robotos‑API
verspotten ihr Opfer auch. G66K hinterließ
einen Kommentar im Quellcode eines Kits, der
Ex-Robotos mitteilte, dass sein Code „leicht“ zu
knacken sei. Der Grund, warum die Ripper auf
Ex-Robotos abzielten, ist im Endeffekt unbekannt. 155.240 Aufrufe 69.566 Aufrufe
Ex-Robotos verwendete jedoch ein API‑System,
um Kunden zu verwalten und die Kit-Aktivierung 1.–31. Jan. 2021 1–12. Feb. 2021
zu validieren. Daher ist es wahrscheinlich, dass die
Ripper das Kit gecrackt haben, damit sie nicht dafür
zahlen müssen.
Gerippt oder nicht: Die Gefahr von Ex-Robotos
sollte nicht unterschätzt werden. Jeden Tag
Das API‑Management sollte sicherstellen, dass nur
interagieren Tausende von Opfern weltweit mit
die ordnungsgemäß gekauften Kits funktionieren,
Ex-Robotos-Phishing-Kits in irgendeiner Form.
aber es gab an einem Punkt klare Fehler im
Nach Daten der Akamai Intelligent Edge Platform
API‑Design – das zeigt die Anzahl der im Umlauf
gab es über einen Zeitraum von 43 Tagen mehr
befindlichen gerippten Kopien.
als 220.000 Zugriffe auf die API‑IP‑Adresse von
Ex-Robotos. Tatsächlich erreichte der Traffic zu
dieser Adresse zwischen dem 31. Januar und
dem 5. Februar 2021 Zehntausende von Zugriffen
pro Tag.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 17Abb. 9: Ein Köder, der von Ex-Robotos verwendet wird, teilt dem Betroffenen mit, dass er eine neue
Datei empfangen hat.
Köder auslegen und Aufgrund des Köders und der thematischen
Gestaltung der Ex-Robotos-Kits sind die
Angriffe starten meisten Opfer Nutzer in Unternehmen, die
ihr Unternehmenspasswort in die Hände des
Bedrohungsakteurs geben. Ex-Robotos zielt
auf Unternehmen aller Art und Größe ab und
Es gibt zwei verschiedene Ex-Robotos-Kits, die
die Bedrohungsakteure verwenden meist
auf Nutzer in Unternehmen abzielen. Beide Kits
bekannte Listen mit zielgerichteten E‑Mails, die in
verwenden grundlegende, aber einzigartige
verschiedenen kriminellen Foren und über legitime
Anti-Erkennungs-Techniken, die zeigen, dass der
Marketingservices zu geringen oder gar keinen
Bedrohungsakteur hinter der Entwicklung einige
Kosten bezogen werden können.
Mühe investiert. Wie die meisten Phishing-as-a-
Service-Angebote erstellt und verkauft Ex-Robotos
jedoch nur Phishing-Kits, während seine Kunden
letztlich die Angriffe durchführen. Daher ist es
wirklich schwer zu erkennen, welche Kampagnen
miteinander verknüpft sind.
Ex-Robotos verwendet zwei Köder. Einer ist ein
Voicemail-Köder, der andere konzentriert sich
auf geschützte Dokumente. Beide Kits befolgen
unabhängig von der Art des Köders den gleichen
Prozess, um das Passwort des Opfers anzufordern.
Durch eine Funktion des Kits ist ihr Nutzername
(E‑Mail-Adresse) bereits im Anmeldefeld
eingetragen.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 18Abb. 10: Die Landingpage eines Ex-Robotos-Angriffs, auf der dem Opfer ein passwortgeschütztes Unternehmensdokument vorgelegt wird Ein weiteres Element von Ex-Robotos ist mit der Landingpage interagieren, die für den der Steuermechanismus. Dadurch kann der Angriff verwendet wird. Dadurch eignen sich Bedrohungsakteur einschränken, wer die die Ex-Robotos-Kits perfekt für Spear-Phishing- Landingpage anzeigen kann, indem er eine Angriffe, bei denen Opfer direkt und oft wiederholt Allow-Liste für E‑Mail-Adressen erstellt. So können angegriffen werden, wobei verschiedene Köder nur Adressen, die auf der Liste aufgeführt sind, verwendet werden. Abb. 11: Die Konfigurationsdatei für Ex-Robotos verfügt über mehrere Optionen, die auf Spear- Phishing ausgerichtet sind. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 19
Abb. 12: Ex-Robotos-Quellcode, der die Datenerfassungsfunktion zeigt Neben der Passworterfassung reichern Ex-Robotos- vorliegt, z. B. wenn sich ein Mitarbeiter aus den Kits einige Daten z. B. durch die Erfassung von USA über eine IP aus Frankreich beim Netzwerk Land, Region, Stadt, Bundesland, Postleitzahlen anmeldet. und Browserdetails sowie IP‑Informationen an. Auf diese Weise kann der Bedrohungsakteur Sobald die kompromittierten Daten erfasst wurden, Proxy-Verbindungen wählen, die sich in der Nähe müssen sie irgendwo ausgelagert werden, damit des Opfers befinden, wenn er sich nicht selbst der Bedrohungsakteur darauf zugreifen kann. Ex- in der Nähe befindet. Die meisten Unternehmen Robotos-Kits bieten die Möglichkeit, die Daten per führen eine Standortprüfung durch und blockieren E‑Mail zu senden und lokal auf dem Webserver in Anmeldeversuche, wenn verdächtiges Verhalten einer Textdatei zu speichern. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 20
Credential Poisoning Bei der Untersuchung von Protokollen im Bei Ex-Robotos gibt es keine Funktion zur Zusammenhang mit Ex-Robotos-Angriffen Validierung von Anmeldedaten, aber es gibt eine entdeckte WMC Global eine umfangreiche Option, Opfer nach der Datenübermittlung zu Credential-Poisoning-Kampagne. Credential blockieren. Die laufende Poisoning-Kampagne wird Poisoning ist eine Taktik, die häufig von Online- von einer unbekannten Gruppe durchgeführt und Selbstjustizgruppen eingesetzt wird. Diese Gruppen verwendet legitime E‑Mail-Adressen von mehreren versuchen, eine Phishing-Website mit gefälschten bekannten Unternehmen. Dabei werden häufig Nutzernamen und Passwörtern zu überfluten, was Adressen von Führungskräften oder hochkarätigen es für die Cyberkriminellen fast unmöglich macht, Nutzern wie HR‑Leitung, Finanzpersonal und zwischen dem Datenmüll echte Opfer zu finden. Unternehmensdirektoren übermittelt. Die Bedrohungsakteure wissen jedoch, dass diese Die für die Poisoning-Kampagne verantwortlichen Aktivität stattfindet, und verwenden mehrere Personen haben einige Fehler gemacht, die wir Methoden, um sie zu verhindern. Einige verwenden hier nicht offenlegen werden – aber natürlich sind IP‑Blöcke, die nach der Übermittlung von Daten an ihre Methoden leicht zu erkennen, sodass die die Phishing-Seite eingreifen und so wiederholte Cyberkriminellen die Junk-Daten filtern können. Besuche von derselben Quelle verhindern. Die erweiterten Bedrohungsakteure nutzen eine Live- Überprüfung der Anmeldeinformationen. Einige Kits zeichnen nicht auf, wenn die Validierung fehlschlägt, und fordern das Opfer stattdessen auf, seine Daten erneut einzugeben. Oder das Kit fügt eine Zeile zu den Protokollen hinzu, die bestätigt, ob die Zugangsdaten den automatischen Anmeldeversuch bestanden haben oder nicht. Die Bedrohung durch Phishing-Kits, die auf Oft sind Phishing-Angriffe auf Unternehmen abzielen, sollte, wie bereits erwähnt, nicht unterschätzt werden. Sobald die Kriminellen Unternehmen der erste Schritt Zugriff auf verifizierte Unternehmensanmeldedaten haben, ist die Anzahl der Angriffe und zusätzlichen hin zu größeren, verheerenden Betrugsmaschen, die sie ausführen können, Angriffen … grenzenlos. Oft gehen Phishing-Angriffe auf Unternehmen größeren, verheerenden Angriffen wie Business Email Compromise (BEC), Ransomware und Datendiebstahl voraus. Unternehmen können die Angriffsfläche verringern, indem sie sicherstellen, dass Mitarbeiter wann immer möglich MFA nutzen, wie z. B. Google Authenticator oder Duo Security, und indem sie regelmäßig Sensibilisierungskampagnen zu Phishing durchführen. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 21
Ausblick 2020 war ein schwieriges Jahr, aber nur weil wir jetzt das Jahr 2021 schreiben, bedeutet das nicht, dass Kriminelle nachlassen. Phishing-Kits wie Ex-Robotos und Kr3pto sind nur die Spitze des Eisbergs – Hunderte von Kits werden täglich entwickelt und verbreitet. Die Angriffe sind unerbittlich. Die Phishing-Wirtschaft als Ganzes wächst Jahr für Jahr exponentiell, während Entwickler die gleichen Webtechnologien und -techniken ausnutzen, mit denen Unternehmen agil und der Entwicklung immer einen Schritt voraus bleiben. Die Zahlen sprechen für sich: 193 Milliarden Credential-Stuffing-Angriffe und sechs Milliarden Webangriffe sind nicht nur große Zahlen oder ein Beweis für die erhöhte Transparenz von Akamai. Sie zeigen deutlich, dass Kriminelle weiterhin Unternehmen angreifen werden, die keinen Authentifizierungsschutz wie MFA und 2FA nutzen. Der eigentliche Grund dafür, dass Kriminelle diese Organisationen angreifen? Unternehmen, die 2FA und MFA nutzen, sind die Energie und den Aufwand für die meisten opportunistischen Angreifer mit geringeren Ressourcen nicht wert. Mehrschichtige Abwehrmechanismen und Segmentierungen machen Webangriffe für opportunistische Angreifer kostspielig, weshalb sie anderswo ihr Glück versuchen. Viele betrachten Zero Trust einfach als Marketingbegriff. Doch die Konzepte, die Zero Trust zu dem machen, was es ist, sind praktische Konzepte, die in der Sicherheitsbranche schon seit Jahren existieren: Begrenzen und kontrollieren Sie den Zugriff und bauen Sie mehrere Authentifizierungs- und Schutzebenen auf, sodass Vorfälle so schnell wie möglich erkannt werden. Denn je schneller ein Problem erkannt wird, desto schneller kann es auch gelöst werden. Bleiben Sie sicher! Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 22
Methodik DDoS
Prolexic schützt Unternehmen vor DDoS‑Angriffen,
indem der Netzwerktraffic über Scrubbing-Center
von Akamai umgeleitet und nur unbedenklicher
Angriffe auf Webanwendungen
Datentraffic ans Ziel weitergeleitet wird. Experten
Diese Daten beschreiben Warnungen auf im Security Operations Center (SOC) von Akamai
Anwendungsebene, die von Kona Site Defender legen proaktive Abwehrmechanismen so an, dass
und Web Application Protector generiert werden. Angriffe sofort erkannt und gestoppt werden.
Die Produkte lösen diese Warnungen aus, wenn Außerdem führen sie eine Live-Analyse des
sie innerhalb einer Anfrage an eine geschützte verbleibenden Datentraffics durch, um bei Bedarf
Website oder Anwendung eine schädliche Payload weitere Abwehrmaßnahmen einzusetzen.
erkennen. Die Warnungen bedeuten nicht, dass
die Kompromittierung erfolgreich war. Obwohl
DDoS‑Angriffe werden je nach gewähltem
diese Produkte ein hohes Maß an Anpassung
Bereitstellungsmodell – Always‑On oder
ermöglichen, haben wir die hier dargestellten
On‑Demand – entweder vom SOC oder vom
Daten auf eine Weise erfasst, bei der keine
Unternehmen selbst erkannt. Das SOC zeichnet
nutzerdefinierten Konfigurationen der geschützten
jedoch Daten für alle abgewehrten Angriffe auf.
Ressourcen berücksichtigt werden.
Ähnlich wie beim Traffic von Webanwendungen
wird die Quelle anhand der Quelle des IP‑Traffics
Die Daten wurden aus Cloud Security vor dem Akamai-Netzwerk bestimmt.
Intelligence (CSI) gewonnen, einem internen
Tool zur Speicherung und Analyse von
Sicherheitsereignissen, die auf der Akamai
Missbrauch von Anmeldedaten
Intelligent Edge Platform erkannt wurden. Versuche, Anmeldedaten zu missbrauchen, wurden
Hierbei handelt es sich um ein Netzwerk von als fehlgeschlagene Anmeldeversuche für Konten
ca. 300.000 Servern an 4.000 Standorten in identifiziert, bei denen eine E‑Mail-Adresse als
1.400 Netzwerken und 135 Ländern. Diese Daten Nutzername verwendet wird. Wir verwenden zwei
werden in Petabyte pro Monat gemessen und von Algorithmen, um zwischen Missbrauchsversuchen
unserem Sicherheitsteam verwendet, um Angriffe und echten Nutzern zu unterscheiden, die sich nur
zu untersuchen, schädliches Verhalten aufzudecken vertippen. Der erste ist eine einfache volumetrische
und zusätzliche Informationen in die Lösungen von Regel, die die Anzahl der fehlgeschlagenen
Akamai einzuspeisen. Anmeldeversuche für eine bestimmte Adresse
zählt. Dieser Vorgang unterscheidet sich insofern
von dem, was ein einzelnes Unternehmen ermitteln
könnte, als dass Akamai Daten über Hunderte von
Unternehmen hinweg korreliert.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 23Der zweite Algorithmus verwendet Daten aus Phishing-Kit-Daten
unseren Bot-Erkennungsservices, um Missbrauch
von Anmeldedaten durch bekannte Botnets und WMC Global hat Zugriff auf die größte private
Tools zu identifizieren. Mit einem gut konfigurierten Sammlung von Phishing-Kits und somit tiefgehende
Botnet kann eine volumetrische Erkennung Kenntnisse über Phishing-Websites, die zum
vermieden werden, indem der Traffic auf viele Ziele Stehlen von Anmeldedaten genutzt werden.
verteilt wird. Erreicht wird dies beispielsweise durch Mithilfe der einzigartigen KIT Intelligence Platform
Ausweichtechniken wie eine große Anzahl von kann das Unternehmen Phishing-Kits verarbeiten,
Systemen im Scan oder durch Verteilen des Traffics analysieren und Cluster erstellen, damit die
auf einen bestimmten Zeitraum. Analysten ihre Daten effizienter analysieren können.
Die Plattform ist in der Lage, Phishing-Kits in
ihre einzelnen Elemente aufzuteilen, sodass ein
Diese Daten wurden auch aus dem CSI-Repository
Analyst den Code sicher lesen und die Bedrohung
entnommen. Ein Kunde mit einem erheblichen
bewerten kann. Das System ermöglicht außerdem
Angriffsvolumen wurde vor 2020 aus diesem
die Suche in allen Phishing-Kits, wodurch sich
Datensatz entfernt, da er nicht über ein ganzes Jahr
Code-Überschneidungen auf einfache Weise
an Daten verfügte.
anzeigen lassen und damit Cyberkriminelle leicht
nachverfolgt werden können.
Phishing-URL‑Daten
WMC Global nutzte seine eigenen Daten zur
Unterstützung bei der Erstellung dieses Berichts.
Die Daten stammen aus verschiedenen Quellen,
wie E‑Mail-Daten, SMS‑Daten für mobile Geräte und
aktives Threat Hunting. Auf diese Weise werden
Millionen von URLs täglich erkannt, analysiert und
getaggt. WMC Global verwendet auch ein Link-
Scan- und Attributionssystem namens Ursula, mit
dem die IT‑Abteilung jede Sekunde Millionen von
URLs scannen und feststellen kann, ob die URL
schädlich ist oder nicht. Angesichts der Bandbreite
an Datenquellen, die WMC Global zur Verfügung
stehen, der schnellen, automatisierten und genauen
Funktionen von Ursula und des kompetenten
Threat-Hunting-Teams bietet WMC Global fundierte
Kenntnisse über Phishing-Kampagnen, die auf
Anmeldedaten abzielen. So können Unternehmen
die Bedrohungen von Angreifern besser verstehen
und Angriffe blockieren und beheben, bevor sie
Auswirkungen auf ihre Kunden haben.
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 24Herausgeber- und Mitarbeiterverzeichnis
Akamai
Martin McKeay Steve Ragan
Editorial Director Senior Technical Writer, Editor
Amanda Goedde Chelsea Tuttle
Senior Technical Writer, Managing Editor Senior Data Scientist
Georgina Morales Hampe Shivangi Sahu
Project Management, Creative Program Management, Marketing
WMC Global
Ian Matthews Elizabeth Snead
CEO Senior Product Manager
Jake Sloane
Senior Threat Hunter
Weitere „State of the Internet“-Sicherheitsberichte
Lesen Sie vorherige Ausgaben und informieren Sie sich über bevorstehende Veröffentlichungen der
renommierten „State of the Internet“-Sicherheitsberichte von Akamai. akamai.com/soti
Weitere Informationen zur Bedrohungsforschung bei Akamai
Halten Sie sich unter diesem Link zu neuesten Threat-Intelligence-Analysen, Sicherheitsberichten und
Cybersicherheitsforschung auf dem Laufenden. akamai.com/threatresearch
Greifen Sie auf Daten aus diesem Bericht zu
Zeigen Sie qualitativ hochwertige Versionen der Diagramme und Grafiken an, auf die in diesem Bericht
verwiesen wird. Diese Bilder können kostenlos verwendet und referenziert werden, vorausgesetzt,
Akamai wird ordnungsgemäß als Quelle genannt und das Akamai-Logo wird beibehalten.
akamai.com/sotidata
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt
alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren
können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-
Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und
Anwendungen und liefert herausragende Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance,
Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice sowie durch
Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren
Sie unter www.akamai.com, blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter
www.akamai.com/locations. Veröffentlicht: Mai 2021
Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 25Sie können auch lesen
