Phishing im Finanzwesen - State of the Internet Band 7, Ausgabe 2 - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Inhaltsverzeichnis 3 Mitteilung des Herausgebers 4 Gastbeitrag: Warum ist SMS‑Phishing so effektiv? 6 Einführung 7 Überblick 11 Finanz-Phishing 12 Phishing-as-a-Service 14 Kr3pto-Angriffsworkflow 15 Angriffsstruktur 15 Trittbrettfahrer und Klone 16 Robotos zielt auf Nutzer in Unternehmen ab 18 Köder auslegen und Angriffe starten 22 Ausblick 23 Methodik 25 Herausgeber- und Mitarbeiterverzeichnis
Mitteilung des Herausgebers Willkommen zur zweiten Ausgabe des „State of the Internet“-Sicherheitsberichts 2021. Egal, ob Sie ein neuer Leser sind oder den Bericht schon seit Jahren lesen – wir freuen uns, dass Sie bei dieser Ausgabe dabei sind. Wie immer bemühen wir uns, unsere Arbeit kontinuierlich zu verbessern und Ihnen mit jeder Anstrengung etwas Neues zu bieten. Vielleicht erinnern Sie sich noch an unsere Ausgabe zu Sicherheit im Gaming von 2020, für das wir mit DreamHack, einem Unternehmen für digitale Veranstaltungen zusammengearbeitet haben. Wir ergänzten unsere Daten und Forschungsergebnisse um Informationen zu den Ansichten und Meinungen, die auf einer Umfrage unter mehr als 1.000 Spielern basierten. Dies war das erste Mal, dass wir mehr als nur die Daten von Akamai erfassen konnten, um mehr über die Probleme zu erfahren, mit denen wir konfrontiert sind. In dieser Ausgabe gehen wir noch einen Schritt weiter. Wir haben zwar Zugriff auf einige der größten Sicherheitsdatensätze der Welt, wir sehen jedoch nur den Traffic, der durch unsere Netzwerke fließt und von unseren Tools überwacht wird. Selbst die Hunderten von Terabyte, die wir pro Sekunde verarbeiten, sind nur ein Teil der globalen Geschichte. Aus diesem Grund arbeiten wir für diesen Bericht mit dem Threat-Intelligence-Unternehmen WMC Global zusammen. Ein wichtiger Teil der Effektivität der Sicherheitsbranche ist die Anzahl der Partnerschaften, die leise hinter den Kulissen ihre Arbeit verrichten. Die Forscher bei WMC Global sind Experten für SMS‑Phishing („Smishing“) und Toolkits, die von Kriminellen für Angriffe entwickelt werden. Gemeinsam konnten wir nicht nur die globalen Konturen des Angriffs-Traffics betrachten, sondern auch ein bestimmtes Toolset auseinandernehmen. Wir wollen Ihnen sowohl einen umfassenden Überblick über die Bedrohungslandschaft als auch Details zu einer einzelnen Bedrohung bieten. Ein wichtiger Teil der Effektivität der Sicherheitsbranche ist die Anzahl der Partnerschaften, die leise hinter den Kulissen ihre Arbeit verrichten. Ganz gleich, ob es sich um verschiedene globale Strafverfolgungsbehörden handelt, die untereinander oder mit Sicherheitsorganisationen zusammenarbeiten, oder ob es um Partnerschaften geht, die täglich zwischen Einzelpersonen und Unternehmen stattfinden – ein Großteil dieser Arbeit geht an einem durchschnittlichen Sicherheitsexperten unbemerkt vorbei. Aber das muss nicht immer der Fall sein. Wir glauben, dass Unternehmen öffentlich zusammenarbeiten sollten, um Informationen mit Ihnen zu teilen. Der Data Breach Investigations Report (DBIR) von Verizon ist das bekannteste und am längsten verfügbare Beispiel für geteilte Informationen. Akamai trägt seit über einem halben Jahrzehnt zu diesen Bemühungen bei (mit sieben Berichten, um genau zu sein). Diese Form der Zusammenarbeit würden wir gerne stärker fördern, weshalb wir mit gutem Beispiel vorangehen. Oder das von anderen gesetzte Beispiel befolgen, je nach Ihrer Sichtweise. Wir schätzen es sehr, dass wir Partner wie das Team von WMC Global haben, die sich die Zeit nehmen, gemeinsam mit uns solche Forschung zu entwickeln. Durch diese Art von Arbeit sind wir besser informiert und können unsere Unternehmen und unsere Endnutzer besser schützen, was ein Ziel jedes Sicherheitsexperten sein sollte. Martin McKeay Editorial Director Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 3
GASTBEITRAG Warum ist SMS‑Phishing so effektiv? Ian Matthews CEO, WMC Global SMS ist eine Art von Messaging, auf die Phishing-Angriffe hauptsächlich über normale Nutzer fast sofort und mit hoher Einheitlichkeit Telefonnummern, E‑Mail-zu-SMS und (außerhalb reagieren. Leider nutzen Cyberkriminelle der USA) über Alpha-Tags bereitgestellt, die zunehmend das Vertrauen der Nutzer aus und allesamt leicht zugänglich sind. Mithilfe von überschwemmen ihre Telefone mit Phishing- Telefonnummern und gefälschten Informationen Nachrichten, die vortäuschen, von Banken, können viele Bedrohungsakteure schnell und Unterhaltungskanälen, Paketlieferdiensten, kostengünstig umfangreiche SMS‑Phishing- Onlinehändlern und mehr zu stammen. Kampagnen implementieren, ohne dass das Risiko einer Erfassung oder Strafverfolgung SMS‑Phishing (oder Smishing, wie es allgemein besteht. genannt wird) ist ein globales Problem und jede schädliche Nachricht untergräbt das Vertrauen Während mobile Nutzer zunehmend auf der Nutzer in Messaging-Plattformen. Wenn es schädliche Nachrichten in E‑Mails und sozialen nicht im Auge behalten wird, kann Smishing zu Netzwerken aufmerksam werden, vertrauen einem raschen Rückgang der Nutzerinteraktion viele von ihnen SMS‑Nachrichten blind und und des Markenvertrauens führen, was bedeutet, Bedrohungsakteure haben ausreichend dass alle Beteiligten einen Grund haben, SMS Gelegenheit, diese Dynamik zu nutzen. vor immer problematischeren Angriffen zu schützen. Um die Integrität des Mediums SMS zu bewahren und das Nutzererlebnis zu schützen, Während die Telekommunikationsbranche hart müssen alle diese wachsende Bedrohung daran arbeitet, dieses Problem zu bekämpfen, verstehen und gleichzeitig daran arbeiten, die ist SMS‑Phishing für viele Bedrohungsakteure Verbreitung zu verhindern. weiterhin ein lukratives Geschäft, mit steigenden Kosten und Konsequenzen für Nutzer und die Die Telekommunikationsbranche aktualisiert Telekommunikationsbranche. kontinuierlich ihre Verteidigung, um zu verhindern, dass Phishing-Nachrichten ihre Warum ist SMS‑Phishing so effektiv? Kunden erreichen. Während Filteragenten ihre SMS sind allgegenwärtig in der Strategien anpassen, um Spam zu blockieren, heutigen, von Smartphones bestimmten setzen Bedrohungsakteure auf aktualisierten Kommunikationsumgebung. Jeden Tag Code und neuartige Verschleierungstechniken. versenden mobile Nutzer Milliarden von Cyberkriminelle wissen, dass sie Typosquatting- Textnachrichten und öffnen Berichten zufolge Techniken einsetzen können, z. B. indem 98 % davon innerhalb kürzester Zeit. sie den Buchstaben „O“ zu „0“ ändern oder eine URL anpassen, um die Komplexität der Gleichzeitig sind SMS‑Phishing-Angriffe SMS‑Nachricht zu erhöhen, damit schädliche kostengünstig in der Entwicklung und Nachrichten nicht erkannt werden. Zusätzliche Implementierung. Es gibt eine kostenlose Techniken, wie z. B. die Erwähnung einer großen Infrastruktur rund um Domains und Hosting Marke wie UPS im Nachrichteninhalt, machen sowie leicht verfügbare Sendemethoden. es Firewalls schwierig, legitime Nachrichten von Um mobile Nutzer anzugreifen, werden Phishing-Nachrichten zu unterscheiden. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 4
Darüber hinaus richten Bedrohungsakteure eine zu beteiligen. Die Telekommunikationsbranche URL‑Phishing-Seite ein, die sie mithilfe günstiger investiert stark in die Reduzierung von oder kostenloser Kurzdomains maskieren, die SMS‑Phishing in ihren Netzwerken, wird aber zur Angriffsseite umleiten. Auf diese Weise allein nicht erfolgreich sein. können Bedrohungsakteure kurze URLs in einer Textnachricht senden – perfekt konzipiert, um sie Dazu ist ein vollständiger Datenaustausch über dem unbekannten Empfänger legitim erscheinen die gesamte Wertschöpfungskette erforderlich. zu lassen –, ohne durch Filter blockiert zu werden. Netzanbieter, Messaging-Plattformen, Firewalls und Anbieter von Bedrohungsinformationen Außerdem nutzen Bedrohungsakteure mehrere müssen die heute übliche isolierte Bereitstellungsmethoden, um mobile Nutzer Verteidigungsstrategie durch gemeinsame zu erreichen. Sie können die Eigenarten der Bemühungen ersetzen. Nur so können sie einzelnen Zustellungsmethoden effektiv nutzen verhindern, dass Cyberkriminelle SMS‑Phishing (ober über eine reguläre Telefonnummer oder einsetzen, um Kundendaten zu stehlen, interne eine E‑Mail-Adresse), um eine Erkennung Systeme zu kompromittieren, das Nutzererlebnis zu vermeiden und die Gesamteffektivität zu zu beeinträchtigen und die Markenintegrität zu erhöhen. schädigen. Was ist also die Lösung? SMS‑Messaging ist ein florierendes Thema und Phishing-Angriffe sind ein globales Problem, SMS‑Nachrichten sind ein grundlegendes das das langfristige Verbrauchervertrauen Element des heutigen mobilen Erlebnisses untergraben könnte. Wenn wir nicht für über fünf Milliarden Menschen zusammenarbeiten, um Umfang, Häufigkeit weltweit. Jeder – von Betreibern über und Effektivität von Phishing-Angriffen Cybersicherheitsunternehmen bis hin zu einzudämmen, riskieren wir, SMS‑Nachrichten Verbrauchern – hat eine Motivation, sich an der als vertrauenswürdigen Kommunikationskanal Abwehr von Phishing auf Mobilfunk-Plattformen abzuwerten. Zusammengefasst • 2020 gab es weltweit 193 Milliarden Credential- • Das Phishing-Kit Kr3pto, mit dem Finanzinstitute Stuffing-Angriffe, davon 3,4 Milliarden im und ihre Kunden per SMS angegriffen wurden, hat Finanzdienstleistungssektor. Das entspricht einem seit Mai 2020 nachweislich elf Bankingmarken auf Anstieg von 45 % im Vergleich zu 2019. mehr als 8.000 Domains gespooft. Akamai und WMC Global haben Kr3pto-Kampagnen über mehr • Die Anzahl der Webangriffe, die auf die als 80 verschiedene Hosts (ASNs) verfolgt. Auf einem Finanzdienstleistungsbranche abzielten, stieg davon wurden mehr als 6.000 Kr3pto-Domains um 62 %. Im Jahr 2020 beobachtete Akamai gehostet. 736.071.428 Webangriffe auf Finanzdienstleister. Was war der häufigste Typ von Webangriffen auf • Eine API, die vom Phishing-Kit Ex-Robotos verwendet Finanzdienstleister? Local File Inclusion (52 %), wird, das auf Unternehmensanmeldedaten gefolgt von SQL Injection (33 %) und Cross-Site abzielt, protokollierte über 220.000 Aufrufe über Scripting (9 %). 43 Tage, wobei in der ersten Februarwoche 2021 Zehntausende pro Tag erreicht wurden. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 5
Einführung dem Missbrauch von Anmeldedaten und zu Webangriffen angesehen, die von den Sensoren von Akamai im Laufe des Jahres erfasst wurden. In den letzten zwei Jahren hat sich der „State of the Internet“-Sicherheitsbericht von Akamai Was haben wir gelernt? Der Missbrauch von weiterentwickelt. Manchmal erfolgten diese Anmeldedaten – ein Nebenprodukt von Phishing, Entwicklungen in Form von neuen Daten und häufig mit dem Ziel der Kontoübernahme – ist den damit verbundenen Geschichten. In anderen nach wie vor einer der größten Angriffsvektoren im Fällen zeigten sich diese Entwicklungen in der Arsenal der Kriminellen. Einbeziehung von Gastbeiträgen, externen Studien, zusätzlichen Bedrohungsinformationen oder einer 2020 gab es weltweit 193 Milliarden Credential- Mischung aus allen drei Punkten. Bereits 2021 Stuffing-Angriffe, davon 3,4 Milliarden im haben wir unseren ersten SOTI‑Forschungsbericht Finanzdienstleistungssektor. Im Laufe des veröffentlicht, in dem die Auswirkungen von Jahres 2020 haben Kriminelle COVID‑19 und das COVID‑19 bei Akamai und die Arten von Angriffen Versprechen finanzieller Hilfe oder finanzielle untersucht wurden, denen wir 2020 als Unternehmen Schwierigkeiten genutzt, um Menschen auf der aufgrund der Pandemie gegenüberstanden. ganzen Welt mit Phishing anzugreifen. Diese Angriffe wiederum haben den Credential-Stuffing- Dieser Bericht stellt eine weitere Entwicklungsstufe Boom befeuert, da neu erfasste Anmeldedaten, neu dar. Er beinhaltet Studien von WMC Global, sortierte Daten aus Datenschutzverletzungen und einem Threat-Intelligence-Unternehmen, das alte Sammlungen kombiniert, getestet, gehandelt in verschiedenen Geschäftsbereichen tätig und verkauft wurden. ist, einschließlich Finanzdienstleistungen. In dieser Ausgabe des „State of the Internet“- Akamai beobachtete 2020 weltweit 6,3 Milliarden Sicherheitsberichts wollten wir durch die Webangriffe. Davon waren 736 Millionen allein Untersuchung der Phishing-Daten von WMC Global gegen den Finanzdienstleistungssektor gerichtet. sowie unserer eigenen Daten ein umfassenderen SQL Injection war der häufigste Webangriff, Bild davon bieten, wie sich diese Bedrohungen gefolgt von Local File Inclusion – innerhalb der 2020 auf den Finanzsektor ausgewirkt haben. Finanzdienstleistungsbranche war es jedoch Aber Phishing ist nur ein Teil der Geschichte. umgekehrt. Zusätzlich zu diesen Daten haben wir uns auch die Daten zu DDoS (Distributed Denial of Service), Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 6
Überblick Während ein Teil dieses Wachstums direkt auf die neue Transparenz zurückzuführen ist, die Akamai nach dem Onboarding neuer Kunden gewonnen hat, stellt dies noch immer einen Zuwachs dar – 2020 verzeichnete Akamai, wie in Abbildung 1 auch ohne die neuen Erkenntnisse zu Angriffen. dargestellt, 193.519.712.070 Credential-Stuffing- Passwörter waren schon immer ein schwaches Glied Angriffe weltweit, wobei 3.452.192.348 allein im in der Sicherheitskette und Kriminelle zögern nicht, Finanzsektor ausgeführt wurden – ein Anstieg von diese Schwäche auszunutzen. 45 % gegenüber 2019. Tägliche Versuche des Missbrauchs von Anmeldedaten 1. Januar 2020 bis 31. Dezember 2020 1. Dez. 2020 1.003.963.614 1,00 Mrd. Schädliche Anmeldeversuche (Milliarden) 9. Mai 2020 786.882.475 0,75 Mrd. 0,50 Mrd. 0,25 Mrd. 14. Mai 2020 29. Nov. 2020 47.698.955 63.558.042 0,00 Mrd. 1. Jan. 2020 1. Feb. 2020 1. März 2020 1. Apr. 2020 1. Mai 2020 1. Juni 2020 1. Juli 2020 1. Aug. 2020 1. Sep. 2020 1. Okt. 2020 1. Nov. 2020 1. Dez. 2020 1. Jan. 2021 Alle Branchen Finanzdienstleistungen Abb. 1: Im Jahr 2020 erlebten Finanzdienstleister täglich Millionen Credential-Stuffing-Angriffe, die im November mit 63 Millionen ihren Höhepunkt erreichten Missbrauch von Anmeldedaten und Webangriffe im Zeitverlauf Durch den Ausbau unseres Kundenstamms im Jahr 2020 und die Verbesserung unserer Transparenz konnte Akamai in den letzten drei Jahren einen Anstieg von über 360 % bei Credential-Stuffing-Angriffen und 150 % bei der Überwachung von Webangriffen verzeichnen. 2018 2.450.790.188 Webangriffe 41.892.781.464 Credential-Stuffing-Angriffe 2019 6.153.098.198 Webangriffe 46.959.228.610 Credential-Stuffing-Angriffe 2020 6.287.291.470 Webangriffe 193.519.712.070 Credential-Stuffing-Angriffe Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 7
Im Mai 2020 stachen zwei Daten hervor: Am 9. Mai erreichte der Missbrauch von Die vielen Facetten des Anmeldedaten weltweit einen Höhepunkt Missbrauchs von Anmeldedaten von 786.882.475 Angriffen. Fünf Tage später, am 14. Mai, verzeichnete der Finanzdienstleistungssektor seinen eigenen Es gibt eine Methode für den Wahnsinn und das Rekord: 47.698.955 Angriffe. Im weiteren Verlauf Chaos, die den Missbrauch von Anmeldedaten des Jahres schnellte der globale Missbrauch von durch die kriminelle Wirtschaft fördern. Zwar liegt Anmeldedaten erneut hoch und erreichte einen der Schwerpunkt auf Nutzernamen und Passwörtern, Höchststand von 1.003.963.614 Angriffen. Auch doch auch andere Elemente spielen eine Rolle. der Finanzdienstleistungssektor verzeichnete mit Passive Angriffe konzentrieren sich ausschließlich auf 63.558.042 Angriffen rund um den Missbrauch von Kombinationen von Nutzernamen und Passwörtern Anmeldedaten einen neuen Rekord. und zielen auf große und kleine Services ab, um herauszufinden, wie viele Konten übernommen werden können. Rückblickend können all diese Fälle mit Ereignissen in der kriminellen Wirtschaft zum jeweiligen Zeitpunkt in Verbindung gebracht werden. Bei genauerem Hinschauen ist der Missbrauch Millionen neuer Nutzernamen und Passwörter, von Anmeldedaten jedoch recht komplex. die an verschiedene nennenswerte Vorfälle in Wenn beispielsweise eine Kombinationsliste Q1 und Q2 2020 (sowie einige in Q3) geknüpft keine Ergebnisse liefert, wird bei einem waren, begannen, in verschiedenen Foren zielgerichteten Angriff die Kombinationsliste unter Kriminellen zu zirkulieren. Sobald diese mit verschiedenen Quellen verfeinert, um neue kompromittierten Anmeldedaten veröffentlicht Passwörter zu generieren. Die Öffentlichkeit worden waren, wurden sie sortiert und bei Marken erlebte in diesem Bereich kleinere Attacken, als im Internet getestet, darunter auch bei mehreren Kriminelle Anfang 2020 auf Zoom und im Laufe Finanzinstituten. des Jahres auf die Arbeitsagenturen abzielten. Zu den umfangreicheren Bemühungen gehört die Verfeinerung von Kombinationslisten mithilfe von Auch der Finanzdienstleistungs‑ Quellen wie Derivaten des ursprünglichen Passworts oder durch Datenanreicherung – mit dem Ziel, die sektor verzeichnete mit gezielten Marketingdaten in Phishing-Kampagnen 63.558.042 Angriffen rund um zu nutzen und den Prozess zu wiederholen, bis das ursprüngliche Ziel der Kontoübernahme erreicht ist. den Missbrauch von Anmelde‑ daten einen neuen Rekord. Es gab 2020 weiterhin zahlreiche webbasierte Attacken und Anwendungsangriffe. Und es gibt keine Anzeichen dafür, dass sie in absehbarer Zukunft abnehmen werden. Akamai beobachtete weltweit 6.287.291.470 Webangriffe. Davon waren 736.071.428 allein gegen den Finanzdienstleistungssektor gerichtet. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 8
Tägliche Angriffe auf Webanwendungen 1. Januar 2020 bis 31. Dezember 2020 60 Mio. 28. Sep. 2020 53.635.511 15. Aug. 2020 43.337.230 16. Dez. 2020 40 Mio. 38.874.013 28. Sep. 2020 Angriffe (Millionen) 33.964.394 20. Sep. 2020 20 Mio. 17.833.821 0 Mio. 1. Jan. 2020 1. Feb. 2020 1. März 2020 1. Apr. 2020 1. Mai 2020 1. Juni 2020 1. Juli 2020 1. Aug. 2020 1. Sep. 2020 1. Okt. 2020 1. Nov. 2020 1. Dez. 2020 1. Jan. 2021 Alle Branchen Finanzdienstleistungen Abb. 2: Webangriffe erreichten 2020 fünf bemerkenswerte Spitzenwerte, alle in Q3 und Q4 2020 gab es fünf bemerkenswerte Spitzenwerte fand im August statt, als die globalen (Abbildung 2), die alle in Q3 und Q4 erreicht Webangriffe auf 43.337.230 anstiegen, gefolgt wurden. Dies korreliert mit einer Reihe von von einem weiteren Sprung auf 53.635.511 Ereignissen, einschließlich der Weihnachtssaison, im September. Etwa zur selben Zeit erlebte sowie einer zusätzlichen kriminellen Verarbeitung die Finanzdienstleistungsbranche am 20. und von neu sortierten kompromittierten Nutzernamen 28. September Spitzenwerte von 17.833.821 bzw. und Passwörtern. Der erste große Höhepunkt 33.964.394 Angriffen. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 9
Die wichtigsten Arten von Webangriffen 1. Januar 2020 bis 31. Dezember 2020 5 Mrd. 68,162 % 4 Mrd. Angriffe (Milliarden) 3 Mrd. 2 Mrd. 21,515 % 1 Mrd. 5,724 % 1,944 % 1,295 % 1,359 % 0 Mrd. SQLi LFI XSS PHPi RFI Sonstige Angriffsvektor Die wichtigsten Arten von Webangriffen – Finanzdienstleistungen 1. Januar 2020 bis 31. Dezember 2020 400 Mio. 51,62 % 300 Mio. Angriffe (Millionen) 33,42 % 200 Mio. 100 Mio. 9,31 % 2,36 % 2,12 % 1,17 % 0 Mio. LFI SQLi XSS PHPi CMDi Sonstige Angriffsvektor Abb. 3: LFI übertraf 2020 SQLi als den größten Angriffstyp in der Finanzdienstleistungsbranche, was darauf hindeutet, dass Kriminelle immer noch APIs und Anwendungen angreifen. Weltweit war SQL Injection (SQLi) der wichtigste Angriffsvektoren etwas anders. Hier wird SQLi von Angriffsvektor, gefolgt von Local File Inclusion (LFI), LFI als Top-Vektor abgelöst – die beiden Vektoren Cross-Site Scripting (XSS), PHP Injection (PHPi) tauschen vollständig die Plätze, gefolgt von XSS, und Remote File Inclusion (RFI). In der PHPi und Command Injection (CMDi). Finanzdienstleistungsbranche ist die Verteilung der Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 10
Wöchentliche DDoS‑Angriffe 1. Januar 2020 bis 31. Dezember 2020 3. Aug. 2020 364,0 16. Nov. 2020 6. Apr. 2020 343,0 333,0 300 DDoS-Angriffe 200 24. Aug. 2020 99,0 16. Nov. 2020 100 92,0 10. Feb. 2020 63,0 0 Jan. 2020 Feb. 2020 März 2020 Apr. 2020 Mai 2020 Juni 2020 Juli 2020 Aug. 2020 Sep. 2020 Okt. 2020 Nov. 2020 Dez. 2020 Jan. 2021 Alle Branchen Finanzdienstleistungen Abb. 4: Das Volumen der DDoS‑Angriffe ist 2020 weiter angestiegen, mit einem Wachstum von 110 % im Finanzdienstleistungssektor. Bei DDoS‑Angriffen gab es 2020 im Finanzdienstleistungssektor einen Anstieg von Finanz-Phishing 110 % gegenüber dem Vorjahr. In den vergangenen drei Jahren (2018–2020) nahmen DDoS‑Angriffe auf Finanzdienstleister um 93 % zu. Dies Um Umfang und Maßstab der Phishing-Angriffe auf untermauert, dass Kriminelle bei ihren Angriffen die Finanzdienstleistungsbranche zu untersuchen, auf geschäftskritische Services und Anwendungen haben WMC Global und Akamai gemeinsam an weiterhin auf systemische Störungen setzen. In der Entwicklung unserer Forschung gearbeitet. Abbildung 4 sehen wir, dass DDoS‑Angriffe im Als Threat-Intelligence-Unternehmen – eines mit gesamten Jahr 2020 gleichbleibend hoch sind, umfassenden Einblicken in diese Art von Angriffen mit deutlichen Spitzen im Februar, August und und die verantwortlichen Bedrohungsakteure – war November. WMC Global bestens dafür geeignet, uns bei der Entwicklung der für diesen Bericht erforderlichen Forschung zu unterstützen. Bei DDoS‑Angriffen gab es 2020 im Finanzdienstleis‑ In den letzten Jahren ist Phishing bei vielen Datenschutzverletzungen und Sicherheitsvorfällen, tungssektor einen Anstieg die die Schlagzeilen beherrschten, eine ständige Variable geblieben. Kriminelle haben regelmäßig von 110 % gegenüber dem viel Energie und Ressourcen für die Förderung der Vorjahr. Phishing-Wirtschaft eingesetzt. Die Zeiten einfacher geklonter Websites sind vorbei. Heute ist Phishing ein sofort einsatzbereites Geschäftsmodell, das sogar als gehostete Lösung für Kriminelle angeboten wird, die Phishing-as-a-Service nutzen möchten. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 11
Als sich Phishing-Angriffe und die Entwicklung von Zusammen mit diesen Kits werden Backend-Betrieb Kits weiterentwickelten, erkannten die Verteidiger, und -Funktionen angeboten. Der Entwickler muss dass Nutzernamen und Passwörter allein nicht diese Pakete nur noch an geringer qualifizierte ausreichen. Um Phishing-Angriffe und andere Kriminelle weiterverkaufen, die damit ihre Opfer passwortbasierte Attacken zu bekämpfen, setzten angreifen. Verteidiger zur Verbesserung grundlegender Passwörter auf Multi-Faktor-Authentifizierung (MFA) Beispiele für diese Arten von Phishing-Kits finden Sie und Zwei-Faktor-Authentifizierung (2FA). Während in der Akamai-Berichterstattung über den 16Shop 2FA ein Teil der MFA ist, bieten beide die Möglichkeit sowie in den Informationen zu Cazanova-Kits von einer zweiten Authentifizierungsmethode, z. B. eine WMC Global. PIN oder ein Einmalkennwort (One-Time Password, OTP). Häufig wird 2FA mit SMS‑basierten OTPs verbunden, während MFA mit Authenticators wie Google Authenticator verknüpft ist. Erwischt! Und damit kommen wir zum aktuellen Stand: Die Kriminelle, die einen Phishing-as-a-Service-Betrieb Kriminellen haben sich weiterentwickelt. Diese managen, kommen sich vielleicht kugelsicher vor: Sie Weiterentwicklung beinhaltet Elemente, die auf dürfen ihre Phishing-Kits und -Plattformen straffrei 2FA- und MFA‑Schutz abzielen. Opfer werden dazu erstellen und verkaufen, während jemand anderes das gebracht, ihr Einmalkennwort einzugeben oder es gesamte Risiko übernimmt. Diese imaginäre Immunität dem Cyberkriminellen während eines Gesprächs zu hält jedoch nie an. offenbaren. Ein Beispiel ist U‑Admin. Dies war eine Phishing-as-a- In diesem Bericht stellen WMC Global und Akamai Service-Plattform, die eine Reihe von Funktionen Forschungsergebnisse zu Cyberkriminellen anbot, darunter Plug‑ins zur Generierung von Phishing- und den Phishing-Kits vor, mit denen die Seiten, Verfolgung von Opfern und vieles mehr. Das Finanzdienstleistungsbranche oder einzelne zeigt eine detaillierte Analyse des Forschers Fred HK Finanzdienstleister angegriffen werden. Seit relativ (@fr3dhk). Eines der wichtigsten Elemente in U‑Admin kurzer Zeit stellt ein neuer Angreifer eine ernsthafte war die Fähigkeit, MFA-/2FA‑Codes über Web Inject Bedrohung für die Finanzdienstleistungsbranche abzufangen. Neben Phishing wurde U‑Admin auch des Vereinigten Königreichs dar. Er entwickelt als Teil verschiedener Malware-basierter Angriffe wie dynamische Phishing-Kits, die Zweitfaktoren bei der QBOT eingesetzt. Authentifizierung effektiv umgehen. Am 4. Februar 2021 wurde ein 39‑jähriger Mann aus Darüber hinaus untersuchen wir einen weiteren der ukrainischen Region Teropil von der ukrainischen Bedrohungsakteur, der sich auf Nutzer in Polizei verhaftet, die mit dem FBI und der australischen Unternehmen und ihre Anmeldedaten konzentriert. Bundespolizei zusammenarbeitete. Diese unbenannte Das von diesem Bedrohungsakteur verwendete Person gilt als Ersteller und Hauptvertreiber von Phishing-Kit ist nicht übermäßig komplex, aber es U‑Admin. Laut AFP war U‑Admin 2019 für 50 % aller gibt eine große Anzahl von Websites, auf denen Phishing-Angriffe in Australien verantwortlich. dieses spezielle Office 365-Kit gehostet wird, das von anderen Kriminellen kopiert und verbreitet wurde. Phishing-as-a-Service Das Konzept Phishing-as-a-Service gibt es jetzt bereits seit einigen Jahren. Erfahrene Website- Entwickler erstellen komplexe Phishing-Kits, die in einigen Fällen die anvisierte Marke bzw. das Finanzinstitut nahezu perfekt nachahmen. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 12
Bühne frei für Kr3pto Das Kr3pto-Phishing-Kit zielt auf Nutzernamen und Passwörter von Opfern ab sowie auf alle für Ein Bedrohungsakteur, der den Alias „Kr3pto“ die Authentifizierung verwendeten Zweitfaktoren verwendet, hat sich einen Namen gemacht, da wie Sicherheitsfragen und -antworten sowie er selbst Phishing-Kits verkauft, die auf viele SMS‑basierte PINs. Die Workflows der Kits sind Unternehmen abzielen, darunter auch große nahtlos und passen sich dynamisch an das Finanzinstitute im Vereinigten Königreich. Anmeldeerlebnis der Opfer bei ihrer jeweiligen Angesichts der Anzahl der Kits, die der Marke Bank an. Kr3pto zugeordnet sind, scheint es, als ob er auch individuelle Phishing-Kits auf Basis von Studien von Or Katz von Akamai zeigen, dass Kundenanfragen erstellt. Kr3pto-Kits auf 8.344 Domains beobachtet WMC Global und Akamai wurden auf Kr3pto wurden (Stand: 17. Februar) und bis Mai 2020 aufmerksam, nachdem mit seinen Phishing-Kits elf zurückreichen. Die Implementierung des Kits verschiedene Banken im Vereinigten Königreich erreichte im November 2020 einen Höhepunkt von angegriffen wurden. Angesichts des Ausmaßes und 800 Domains. Dieses Kit ist so weit verbreitet, dass der raschen Zunahme der Angriffe auf die Banken Katz es über ASNs (Autonomous System Numbers) wollten Akamai und WMC Global die Quelle auf mehr als 80 verschiedene Hosts verfolgt. Allein dringend untersuchen. eine dieser ASNs war für mehr als 6.000 Kr3pto- Domains verantwortlich. Abb. 5: Eine Kr3pto-Phishing-Seite, die auf Kunden von Permanent TSB abzielt Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 13
Kr3pto-Phishing-Kampagnen Anzahl neu bereitgestellter Domains pro Woche 1.000 Neu bereitgestellte Domains 750 500 250 0 20 20 20 20 0 0 0 0 0 0 0 0 0 1 1 21 21 0 0 0 0 0 1 1 1 02 02 02 02 02 02 02 02 02 2 2 02 02 02 02 02 02 02 02 20 20 20 20 20 20 20 20 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 .2 kt. kt. kt. kt. n. n. n. n. ep ep ep ep ov ov ov ov ov ez ez ez ez ug eb eb eb . Ja . Ja . Ja . Ja .O .O .O .O .D .D .D .D .N .N .N .N .N .S .S .S .S .A .F .F .F 04 11 18 25 05 12 19 26 07 14 21 28 07 14 21 28 01 08 15 02 09 16 23 30 31 Abb. 6: Eine wöchentliche Aufgliederung von Kr3pto-Kampagnen im Laufe der Zeit zeigt stetiges Wachstum. Kr3pto-Angriffsworkflow Darüber hinaus nutzt Kr3pto dediziertes Hosting. Einige Phishing-Kits versuchen, eine vorhandene Website zu kompromittieren, um die Reputation der Domain zu nutzen, aber Kr3pto tut dies nicht. Der Kr3pto-Angriff beginnt mit SMS-Ködern, mit Stattdessen registrieren Bedrohungsakteure, denen das Opfer auf ein gesperrtes Konto oder die Kr3pto ausführen, neue Domains und ein die Einrichtung eines neuen Zahlungsempfängers neues Hosting. Dies ist eine Schwachstelle, die hingewiesen wird. Zwischen dem 12. Januar und sie nicht vermeiden können, da die Datensätze dem 12. Februar 2021 verfolgte WMC Global im Zusammenhang mit der Domainregistrierung mehr als 4.000 mit Kr3pto verknüpfte Kampagnen einfach nachverfolgt werden können. über SMS nach. Die Köder selbst ändern sich häufig, ebenso wie die Nummern, von denen die SMS gesendet wird. Das deutet darauf hin, dass Tatsächlich verwendet der Akamai-Forscher Steve die Angreifer Zugriff auf einen großen Pool von Ragan Datensätze zu neu registrierten Domains SMS‑Versanddiensten haben und das Senden der und Zertifikaten als Methode zur Verfolgung Köder und Phishing‑URLs automatisieren. von Phishing-Kampagnen und Kit-Quellcode während seiner täglichen Forschungsarbeiten. Durch die Überwachung der Registrierungen Die Köder werden zur Verschleierung per SMS von Domains und SSL-/TLS‑Zertifikaten über versendet. Die meisten Betriebe, privaten die von Zertifizierungsstellen bereitgestellten Endpoint‑Sicherheitsangebote und gebräuchlichen Zertifikattransparenzprotokolle können die E‑Mail‑Konten verhindern, dass Schad‑E‑Mails Domains, für die Kriminelle Zertifikate registrieren, die Posteingänge der Opfer erreichen. Diese leicht beobachtet und gemeldet werden. Schutzmaßnahmen sind nicht perfekt, aber sie verhindern eine Mehrzahl der Angriffe. Deshalb sind Kriminelle auf SMS und sogar auf soziale Medien umgestiegen, um ihre Köder zu verteilen. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 14
Auch bei diesen Angriffen spielt ein menschliches um das OTP vom Opfer zu erhalten. Sobald das Element eine Rolle, da die Köder echte Panik OTP abgerufen wurde, hat der Bedrohungsakteur verursachen, nicht nur ein bisschen Angst. alles, was er benötigt, um auf das Bankkonto des Diese Faktoren führen dazu, dass das Opfer Opfers zuzugreifen und es zu leeren. Forscher und auf den Link in der SMS klickt. Die von Kr3pto Branchenquellen schätzen typische Verluste für verwendeten Landingpages umfassen in der Regel jeden erfolgreichen Angriff auf 500 bis 1.000 USD. Responsive Designs, d. h., sie passen sich an jede Bildschirmgröße an, einschließlich Mobilgeräte. Die von Kr3pto-Akteuren verwendeten URLs enthalten oft den Namen der Zielmarke irgendwo Trittbrettfahrer und Klone in der Adresse oder einen Verweis auf die Marke selbst. Bei der Anzeige über einen mobilen Browser ist die vollständige Adresse jedoch verborgen, Kr3pto ist zu einem beliebten Kit in der Phishing- sodass die Opfer den erwarteten Namen sowie Wirtschaft geworden – so beliebt, dass andere „HTTPS“ sehen, das sie seit Jahren als Zeichen für Kriminelle damit begonnen haben, den Code zu Sicherheit kennen. rippen oder zu kopieren und ihn in ihren Projekten zu verwenden. Diese Kits haben die gleiche Kr3pto-Kits erfordern, dass der Bedrohungsakteur, Struktur, Funktionalität und die grundlegenden der sie verwaltet, den Angriff manuell durcharbeitet. Funktionen, aber das Branding wurde geändert. Das bedeutet, dass sich die Person, die den Angriff Diese Handlungen beweisen eines: dass es unter ausführt, im Admin-Bereich des Phishing-Kits Dieben keine Ehre gibt. Es ist zweifelhaft, dass sie anmeldet und wartet. Dies führt zu Komplikationen dem echten Kr3pto-Ersteller eine Art Provision und stellt eine weitere Schwachstelle dar, da die zahlen, wenn sie die gerippten Kits verkaufen. Person, die den Angriff verwaltet, sich um die Planung kümmern und sicherstellen muss, dass der Gerippte Kits sind ein interessanter Admin-Bereich ständig überwacht wird. Wenn eine Forschungszweig. Einige Ripper können die Warnung unbemerkt bleibt, kann sich das Opfer Funktionalität des Original-Kits verändern oder des Betrugs bewusst werden und ihn melden. sogar Backdoors hinzufügen. Wenn Ripper ein Kit cracken, kann dies jedoch auch dazu führen, dass Backdoors entfernt werden. Angriffsstruktur Schon gewusst? Sobald sich das Opfer auf der Landingpage befindet, beginnt der Phishing-Angriff sofort. Wenn In der Phishing-Wirtschaft sind Ripper diejenigen, das Opfer versucht, sich anzumelden, werden sein die den Code von Phishing-Kit-Entwicklern stehlen Nutzername und Kennwort kompromittiert. Damit oder kopieren und ihn mit einem neuen Branding wird der Bedrohungsakteur hinter dem Angriff oder als eigenen Code weiterverkaufen. Wenn dies über das neue Opfer informiert (das Kit verfügt geschieht, wird der Vorgang als „Rippen“ bezeichnet. über textbasierte und audiobasierte Warnungen Gerippte Kits werden auch häufig als gecrackte Kits für den Bedrohungsakteur). Sobald die Warnung bezeichnet, da die Ripper die Schutzmechanismen eingeht, verwendet der Bedrohungsakteur die entfernt haben, die das Rippen verhindern sollen. kompromittierten Anmeldedaten, um sich bei der Website der echten Bank anzumelden. Benötigt die Bank beispielsweise ein SMS‑basiertes OTP, sendet sie dem Opfer den Code und der Bedrohungsakteur erstellt ein entsprechendes Formular (in Echtzeit) auf der Phishing-Website, Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 15
der Kategorie „Verbraucher“, während Kits, die auf Unternehmenskonten abzielen, bekannte Unternehmensmarken wie Dropbox, Office 365, OneDrive und SharePoint angreifen. Kr3pto ist ein Phishing-Kit mit Verbrauchern im Visier, während das Phishing-Kit, das wir jetzt untersuchen, Ex-Robotos, auf Unternehmen abzielt. Phishing-Kits, die auf Unternehmenskonten abzielen, bergen besonders hohe Risiken, da sie auf mehr zugreifen können als nur das direkte Ziel. Von Unternehmens-Phishing‑Kits kompromittierte Anmeldedaten decken das angegriffene Konto mit z. B. geschäftlichen E‑Mails oder gespeicherten Dokumenten sofort auf. Leider verwenden die meisten Büroangestellten ihre Passwörter für mehrere Unternehmensservices und -anwendungen wieder. Aus diesem Grund kann ein einziger Abb. 7: Gecrackte Kopien von Kr3pto lassen sich erfolgreicher Phishing-Angriff auch andere Assets leicht durch einen Blick in den Admin-Bereich in Gefahr bringen, wie VPNs, Gehaltsabrechnungs- und HR‑Anwendungen oder Server. erkennen. Dynamische Kits wie Kr3pto sind darauf ausgelegt, den Mangel an starken 2FA‑Optionen auszunutzen, MFA wird schwieriger zu cracken der nicht nur im Finanzdienstleistungssektor, sondern weltweit ein Problem ist. Der hierzu von Kr3pto verwendete Prozess ist zwar nicht neu, Angesichts der stärkeren MFA‑Funktionen aber die Tatsache, dass er sich so stark verbreitet, kommt es vor allem darauf an, sich von der birgt die Gefahr, dass er in naher Zukunft alltäglich SMS‑basierten Authentifizierung wegzubewegen wird. Das bedeutet, dass Finanzinstitute und und Authenticators zu nutzen. Google Authenticator andere wichtige Verbrauchermarken stärkere bietet beispielsweise zeitbasierte OTPs (TOTP) und 2FA-/MFA‑Alternativen zum Schutz und zur vermeidet SMS vollständig als OTP‑Zustellungskanal. Einschränkung von Schäden einführen müssen. Es gibt auch Universal 2nd Factor (U2F), einen Challenge-Response-Mechanismus, der standardmäßige Public-Key-Kryptografietechniken verwendet. Yubikey ist derzeit die bekannteste Robotos zielt auf Nutzer in Option für U2F. Weitere Informationen über U2F Unternehmen ab finden Sie auf der Website der FIDO Alliance. Wir haben gerade ein Phishing-Kit für Banking untersucht, aber wie sieht es mit den Phishing- Kits aus, die auf Unternehmenskonten abzielen? Die Arten von Phishing-Angriffen, die häufig online auftreten, lassen sich in der Regel in zwei Hauptkategorien unterteilen: Verbraucher und Unternehmen. Diese werden dann weiter unterteilt. Die Unterbereiche umfassen soziale Medien, Medienstreaming, Gaming usw. unter Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 16
Ex-Robotos ist die Bezeichnung, die von einem Bedrohungsakteur ausgewählt wurde, der in den Der Aufstieg von Ex-Robotos letzten Monaten eine Reihe von Phishing-Kits für Unternehmen entwickelt und veröffentlicht hat. Wie bei Kr3pto wurde der ursprünglicher Code Daten aus den Akamai-Protokollen zeigen, dass von anderen Bedrohungsakteuren (G66K, I.K. ZeuS der Traffic zum Ex-Robotos-Phishing-Kit Anfang und EDBY-G66K-GOV) gerippt und gestohlen. Februar 2021 stark anstieg. Es gibt wahrscheinlich noch andere Ripper, die den Ex-Robotos-Code verwenden, aber die drei oben genannten zählen zu den Namen, die online 31. Januar 2021 – häufiger anzutreffen sind. 15.978 Aufrufe der Ex-Robotos‑API 1. Februar 2021 – 14.696 Aufrufe der Ex-Robotos‑API 2. Februar 2021 – 10.861 Aufrufe der Ex-Robotos‑API 3. Februar 2021 – 10.882 Aufrufe der Ex-Robotos‑API Abb. 8: G66K hinterlässt eine höhnische 4. Februar 2021 – Nachricht im Quellcode für Ex-Robotos. 8.388 Aufrufe der Ex-Robotos‑API 5. Februar 2021 – Diese Ripper stehlen nicht nur den Code, sondern 12.381 Aufrufe der Ex-Robotos‑API verspotten ihr Opfer auch. G66K hinterließ einen Kommentar im Quellcode eines Kits, der Ex-Robotos mitteilte, dass sein Code „leicht“ zu knacken sei. Der Grund, warum die Ripper auf Ex-Robotos abzielten, ist im Endeffekt unbekannt. 155.240 Aufrufe 69.566 Aufrufe Ex-Robotos verwendete jedoch ein API‑System, um Kunden zu verwalten und die Kit-Aktivierung 1.–31. Jan. 2021 1–12. Feb. 2021 zu validieren. Daher ist es wahrscheinlich, dass die Ripper das Kit gecrackt haben, damit sie nicht dafür zahlen müssen. Gerippt oder nicht: Die Gefahr von Ex-Robotos sollte nicht unterschätzt werden. Jeden Tag Das API‑Management sollte sicherstellen, dass nur interagieren Tausende von Opfern weltweit mit die ordnungsgemäß gekauften Kits funktionieren, Ex-Robotos-Phishing-Kits in irgendeiner Form. aber es gab an einem Punkt klare Fehler im Nach Daten der Akamai Intelligent Edge Platform API‑Design – das zeigt die Anzahl der im Umlauf gab es über einen Zeitraum von 43 Tagen mehr befindlichen gerippten Kopien. als 220.000 Zugriffe auf die API‑IP‑Adresse von Ex-Robotos. Tatsächlich erreichte der Traffic zu dieser Adresse zwischen dem 31. Januar und dem 5. Februar 2021 Zehntausende von Zugriffen pro Tag. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 17
Abb. 9: Ein Köder, der von Ex-Robotos verwendet wird, teilt dem Betroffenen mit, dass er eine neue Datei empfangen hat. Köder auslegen und Aufgrund des Köders und der thematischen Gestaltung der Ex-Robotos-Kits sind die Angriffe starten meisten Opfer Nutzer in Unternehmen, die ihr Unternehmenspasswort in die Hände des Bedrohungsakteurs geben. Ex-Robotos zielt auf Unternehmen aller Art und Größe ab und Es gibt zwei verschiedene Ex-Robotos-Kits, die die Bedrohungsakteure verwenden meist auf Nutzer in Unternehmen abzielen. Beide Kits bekannte Listen mit zielgerichteten E‑Mails, die in verwenden grundlegende, aber einzigartige verschiedenen kriminellen Foren und über legitime Anti-Erkennungs-Techniken, die zeigen, dass der Marketingservices zu geringen oder gar keinen Bedrohungsakteur hinter der Entwicklung einige Kosten bezogen werden können. Mühe investiert. Wie die meisten Phishing-as-a- Service-Angebote erstellt und verkauft Ex-Robotos jedoch nur Phishing-Kits, während seine Kunden letztlich die Angriffe durchführen. Daher ist es wirklich schwer zu erkennen, welche Kampagnen miteinander verknüpft sind. Ex-Robotos verwendet zwei Köder. Einer ist ein Voicemail-Köder, der andere konzentriert sich auf geschützte Dokumente. Beide Kits befolgen unabhängig von der Art des Köders den gleichen Prozess, um das Passwort des Opfers anzufordern. Durch eine Funktion des Kits ist ihr Nutzername (E‑Mail-Adresse) bereits im Anmeldefeld eingetragen. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 18
Abb. 10: Die Landingpage eines Ex-Robotos-Angriffs, auf der dem Opfer ein passwortgeschütztes Unternehmensdokument vorgelegt wird Ein weiteres Element von Ex-Robotos ist mit der Landingpage interagieren, die für den der Steuermechanismus. Dadurch kann der Angriff verwendet wird. Dadurch eignen sich Bedrohungsakteur einschränken, wer die die Ex-Robotos-Kits perfekt für Spear-Phishing- Landingpage anzeigen kann, indem er eine Angriffe, bei denen Opfer direkt und oft wiederholt Allow-Liste für E‑Mail-Adressen erstellt. So können angegriffen werden, wobei verschiedene Köder nur Adressen, die auf der Liste aufgeführt sind, verwendet werden. Abb. 11: Die Konfigurationsdatei für Ex-Robotos verfügt über mehrere Optionen, die auf Spear- Phishing ausgerichtet sind. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 19
Abb. 12: Ex-Robotos-Quellcode, der die Datenerfassungsfunktion zeigt Neben der Passworterfassung reichern Ex-Robotos- vorliegt, z. B. wenn sich ein Mitarbeiter aus den Kits einige Daten z. B. durch die Erfassung von USA über eine IP aus Frankreich beim Netzwerk Land, Region, Stadt, Bundesland, Postleitzahlen anmeldet. und Browserdetails sowie IP‑Informationen an. Auf diese Weise kann der Bedrohungsakteur Sobald die kompromittierten Daten erfasst wurden, Proxy-Verbindungen wählen, die sich in der Nähe müssen sie irgendwo ausgelagert werden, damit des Opfers befinden, wenn er sich nicht selbst der Bedrohungsakteur darauf zugreifen kann. Ex- in der Nähe befindet. Die meisten Unternehmen Robotos-Kits bieten die Möglichkeit, die Daten per führen eine Standortprüfung durch und blockieren E‑Mail zu senden und lokal auf dem Webserver in Anmeldeversuche, wenn verdächtiges Verhalten einer Textdatei zu speichern. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 20
Credential Poisoning Bei der Untersuchung von Protokollen im Bei Ex-Robotos gibt es keine Funktion zur Zusammenhang mit Ex-Robotos-Angriffen Validierung von Anmeldedaten, aber es gibt eine entdeckte WMC Global eine umfangreiche Option, Opfer nach der Datenübermittlung zu Credential-Poisoning-Kampagne. Credential blockieren. Die laufende Poisoning-Kampagne wird Poisoning ist eine Taktik, die häufig von Online- von einer unbekannten Gruppe durchgeführt und Selbstjustizgruppen eingesetzt wird. Diese Gruppen verwendet legitime E‑Mail-Adressen von mehreren versuchen, eine Phishing-Website mit gefälschten bekannten Unternehmen. Dabei werden häufig Nutzernamen und Passwörtern zu überfluten, was Adressen von Führungskräften oder hochkarätigen es für die Cyberkriminellen fast unmöglich macht, Nutzern wie HR‑Leitung, Finanzpersonal und zwischen dem Datenmüll echte Opfer zu finden. Unternehmensdirektoren übermittelt. Die Bedrohungsakteure wissen jedoch, dass diese Die für die Poisoning-Kampagne verantwortlichen Aktivität stattfindet, und verwenden mehrere Personen haben einige Fehler gemacht, die wir Methoden, um sie zu verhindern. Einige verwenden hier nicht offenlegen werden – aber natürlich sind IP‑Blöcke, die nach der Übermittlung von Daten an ihre Methoden leicht zu erkennen, sodass die die Phishing-Seite eingreifen und so wiederholte Cyberkriminellen die Junk-Daten filtern können. Besuche von derselben Quelle verhindern. Die erweiterten Bedrohungsakteure nutzen eine Live- Überprüfung der Anmeldeinformationen. Einige Kits zeichnen nicht auf, wenn die Validierung fehlschlägt, und fordern das Opfer stattdessen auf, seine Daten erneut einzugeben. Oder das Kit fügt eine Zeile zu den Protokollen hinzu, die bestätigt, ob die Zugangsdaten den automatischen Anmeldeversuch bestanden haben oder nicht. Die Bedrohung durch Phishing-Kits, die auf Oft sind Phishing-Angriffe auf Unternehmen abzielen, sollte, wie bereits erwähnt, nicht unterschätzt werden. Sobald die Kriminellen Unternehmen der erste Schritt Zugriff auf verifizierte Unternehmensanmeldedaten haben, ist die Anzahl der Angriffe und zusätzlichen hin zu größeren, verheerenden Betrugsmaschen, die sie ausführen können, Angriffen … grenzenlos. Oft gehen Phishing-Angriffe auf Unternehmen größeren, verheerenden Angriffen wie Business Email Compromise (BEC), Ransomware und Datendiebstahl voraus. Unternehmen können die Angriffsfläche verringern, indem sie sicherstellen, dass Mitarbeiter wann immer möglich MFA nutzen, wie z. B. Google Authenticator oder Duo Security, und indem sie regelmäßig Sensibilisierungskampagnen zu Phishing durchführen. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 21
Ausblick 2020 war ein schwieriges Jahr, aber nur weil wir jetzt das Jahr 2021 schreiben, bedeutet das nicht, dass Kriminelle nachlassen. Phishing-Kits wie Ex-Robotos und Kr3pto sind nur die Spitze des Eisbergs – Hunderte von Kits werden täglich entwickelt und verbreitet. Die Angriffe sind unerbittlich. Die Phishing-Wirtschaft als Ganzes wächst Jahr für Jahr exponentiell, während Entwickler die gleichen Webtechnologien und -techniken ausnutzen, mit denen Unternehmen agil und der Entwicklung immer einen Schritt voraus bleiben. Die Zahlen sprechen für sich: 193 Milliarden Credential-Stuffing-Angriffe und sechs Milliarden Webangriffe sind nicht nur große Zahlen oder ein Beweis für die erhöhte Transparenz von Akamai. Sie zeigen deutlich, dass Kriminelle weiterhin Unternehmen angreifen werden, die keinen Authentifizierungsschutz wie MFA und 2FA nutzen. Der eigentliche Grund dafür, dass Kriminelle diese Organisationen angreifen? Unternehmen, die 2FA und MFA nutzen, sind die Energie und den Aufwand für die meisten opportunistischen Angreifer mit geringeren Ressourcen nicht wert. Mehrschichtige Abwehrmechanismen und Segmentierungen machen Webangriffe für opportunistische Angreifer kostspielig, weshalb sie anderswo ihr Glück versuchen. Viele betrachten Zero Trust einfach als Marketingbegriff. Doch die Konzepte, die Zero Trust zu dem machen, was es ist, sind praktische Konzepte, die in der Sicherheitsbranche schon seit Jahren existieren: Begrenzen und kontrollieren Sie den Zugriff und bauen Sie mehrere Authentifizierungs- und Schutzebenen auf, sodass Vorfälle so schnell wie möglich erkannt werden. Denn je schneller ein Problem erkannt wird, desto schneller kann es auch gelöst werden. Bleiben Sie sicher! Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 22
Methodik DDoS Prolexic schützt Unternehmen vor DDoS‑Angriffen, indem der Netzwerktraffic über Scrubbing-Center von Akamai umgeleitet und nur unbedenklicher Angriffe auf Webanwendungen Datentraffic ans Ziel weitergeleitet wird. Experten Diese Daten beschreiben Warnungen auf im Security Operations Center (SOC) von Akamai Anwendungsebene, die von Kona Site Defender legen proaktive Abwehrmechanismen so an, dass und Web Application Protector generiert werden. Angriffe sofort erkannt und gestoppt werden. Die Produkte lösen diese Warnungen aus, wenn Außerdem führen sie eine Live-Analyse des sie innerhalb einer Anfrage an eine geschützte verbleibenden Datentraffics durch, um bei Bedarf Website oder Anwendung eine schädliche Payload weitere Abwehrmaßnahmen einzusetzen. erkennen. Die Warnungen bedeuten nicht, dass die Kompromittierung erfolgreich war. Obwohl DDoS‑Angriffe werden je nach gewähltem diese Produkte ein hohes Maß an Anpassung Bereitstellungsmodell – Always‑On oder ermöglichen, haben wir die hier dargestellten On‑Demand – entweder vom SOC oder vom Daten auf eine Weise erfasst, bei der keine Unternehmen selbst erkannt. Das SOC zeichnet nutzerdefinierten Konfigurationen der geschützten jedoch Daten für alle abgewehrten Angriffe auf. Ressourcen berücksichtigt werden. Ähnlich wie beim Traffic von Webanwendungen wird die Quelle anhand der Quelle des IP‑Traffics Die Daten wurden aus Cloud Security vor dem Akamai-Netzwerk bestimmt. Intelligence (CSI) gewonnen, einem internen Tool zur Speicherung und Analyse von Sicherheitsereignissen, die auf der Akamai Missbrauch von Anmeldedaten Intelligent Edge Platform erkannt wurden. Versuche, Anmeldedaten zu missbrauchen, wurden Hierbei handelt es sich um ein Netzwerk von als fehlgeschlagene Anmeldeversuche für Konten ca. 300.000 Servern an 4.000 Standorten in identifiziert, bei denen eine E‑Mail-Adresse als 1.400 Netzwerken und 135 Ländern. Diese Daten Nutzername verwendet wird. Wir verwenden zwei werden in Petabyte pro Monat gemessen und von Algorithmen, um zwischen Missbrauchsversuchen unserem Sicherheitsteam verwendet, um Angriffe und echten Nutzern zu unterscheiden, die sich nur zu untersuchen, schädliches Verhalten aufzudecken vertippen. Der erste ist eine einfache volumetrische und zusätzliche Informationen in die Lösungen von Regel, die die Anzahl der fehlgeschlagenen Akamai einzuspeisen. Anmeldeversuche für eine bestimmte Adresse zählt. Dieser Vorgang unterscheidet sich insofern von dem, was ein einzelnes Unternehmen ermitteln könnte, als dass Akamai Daten über Hunderte von Unternehmen hinweg korreliert. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 23
Der zweite Algorithmus verwendet Daten aus Phishing-Kit-Daten unseren Bot-Erkennungsservices, um Missbrauch von Anmeldedaten durch bekannte Botnets und WMC Global hat Zugriff auf die größte private Tools zu identifizieren. Mit einem gut konfigurierten Sammlung von Phishing-Kits und somit tiefgehende Botnet kann eine volumetrische Erkennung Kenntnisse über Phishing-Websites, die zum vermieden werden, indem der Traffic auf viele Ziele Stehlen von Anmeldedaten genutzt werden. verteilt wird. Erreicht wird dies beispielsweise durch Mithilfe der einzigartigen KIT Intelligence Platform Ausweichtechniken wie eine große Anzahl von kann das Unternehmen Phishing-Kits verarbeiten, Systemen im Scan oder durch Verteilen des Traffics analysieren und Cluster erstellen, damit die auf einen bestimmten Zeitraum. Analysten ihre Daten effizienter analysieren können. Die Plattform ist in der Lage, Phishing-Kits in ihre einzelnen Elemente aufzuteilen, sodass ein Diese Daten wurden auch aus dem CSI-Repository Analyst den Code sicher lesen und die Bedrohung entnommen. Ein Kunde mit einem erheblichen bewerten kann. Das System ermöglicht außerdem Angriffsvolumen wurde vor 2020 aus diesem die Suche in allen Phishing-Kits, wodurch sich Datensatz entfernt, da er nicht über ein ganzes Jahr Code-Überschneidungen auf einfache Weise an Daten verfügte. anzeigen lassen und damit Cyberkriminelle leicht nachverfolgt werden können. Phishing-URL‑Daten WMC Global nutzte seine eigenen Daten zur Unterstützung bei der Erstellung dieses Berichts. Die Daten stammen aus verschiedenen Quellen, wie E‑Mail-Daten, SMS‑Daten für mobile Geräte und aktives Threat Hunting. Auf diese Weise werden Millionen von URLs täglich erkannt, analysiert und getaggt. WMC Global verwendet auch ein Link- Scan- und Attributionssystem namens Ursula, mit dem die IT‑Abteilung jede Sekunde Millionen von URLs scannen und feststellen kann, ob die URL schädlich ist oder nicht. Angesichts der Bandbreite an Datenquellen, die WMC Global zur Verfügung stehen, der schnellen, automatisierten und genauen Funktionen von Ursula und des kompetenten Threat-Hunting-Teams bietet WMC Global fundierte Kenntnisse über Phishing-Kampagnen, die auf Anmeldedaten abzielen. So können Unternehmen die Bedrohungen von Angreifern besser verstehen und Angriffe blockieren und beheben, bevor sie Auswirkungen auf ihre Kunden haben. Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 24
Herausgeber- und Mitarbeiterverzeichnis Akamai Martin McKeay Steve Ragan Editorial Director Senior Technical Writer, Editor Amanda Goedde Chelsea Tuttle Senior Technical Writer, Managing Editor Senior Data Scientist Georgina Morales Hampe Shivangi Sahu Project Management, Creative Program Management, Marketing WMC Global Ian Matthews Elizabeth Snead CEO Senior Product Manager Jake Sloane Senior Threat Hunter Weitere „State of the Internet“-Sicherheitsberichte Lesen Sie vorherige Ausgaben und informieren Sie sich über bevorstehende Veröffentlichungen der renommierten „State of the Internet“-Sicherheitsberichte von Akamai. akamai.com/soti Weitere Informationen zur Bedrohungsforschung bei Akamai Halten Sie sich unter diesem Link zu neuesten Threat-Intelligence-Analysen, Sicherheitsberichten und Cybersicherheitsforschung auf dem Laufenden. akamai.com/threatresearch Greifen Sie auf Daten aus diesem Bericht zu Zeigen Sie qualitativ hochwertige Versionen der Diagramme und Grafiken an, auf die in diesem Bericht verwiesen wird. Diese Bilder können kostenlos verwendet und referenziert werden, vorausgesetzt, Akamai wird ordnungsgemäß als Quelle genannt und das Akamai-Logo wird beibehalten. akamai.com/sotidata Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud- Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und Anwendungen und liefert herausragende Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice sowie durch Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: Mai 2021 Phishing im Finanzwesen: Band 7, Ausgabe 2 SOTI 25
Sie können auch lesen