Anhand der von OpenPhish erfassten Daten aus dem Jahr 2021 lassen sich in Bezug auf Phishingangriffe einige Trends ermitteln. Die am häufigsten angegriffenen Marken waren Facebook und Microsoft Office 365/Outlook, auf die jeweils 10 Prozent der Phishingattacken entfielen. Im November wurden sie von Amazon übertroffen. Bei branchenspezifischem Phishing stand der Finanzsektor im Fokus.
Bei Phishing werden Opfer dazu verleitet, betrügerische Websites zu besuchen oder bösartige E-Mail-Anhänge zu öffnen. Die Gefahr durch diese Angriffsart steigt weiterhin an. Der Application Protection Report 2021 hat festgestellt, dass Phishing die Angriffstechnik ist, die am zweithäufigsten zu einem erfolgreichen Datenmissbrauch führt.
Im November 2021 berichtete die Anti-Phishing Working Group (APWG), dass sich die Zahl der Phishingangriffe seit Anfang 2020 verdoppelt hat. Dabei wurden im Juli 2021 die meisten Angriffe in der Geschichte der APWG verzeichnet. Das Internet Organised Crime Threat Assessment (IOCTA) von Europol für das Jahr 2021 ermittelte, dass aufgrund der Zunahme des Onlineeinkaufs – teilweise bedingt durch den steigenden Homeofficeanteil – Lieferdienste ein häufiges Ziel sind, um Opfer auf betrügerische Websites zu locken. Laut dem Bericht ist Phishing nach wie vor die Hauptursache für Zahlungsbetrug, der sowohl an Umfang als auch an Raffinesse zunimmt.
Die illegale Verwendung gestohlener Anmeldedaten kann in mehreren Phasen einer Angriffskette erfolgen. Einige Attacken führen zum Diebstahl einer Passwortdatenbank. Andere Angriffe nutzen gestohlene Zugangsdaten, um Zugriff auf eine Anwendung oder ein Netzwerk zu erhalten. Wieder andere nutzen die Zugangsdaten, um interne Spear-Phishing-Mails von gültigen Unternehmenskonten zu versenden. Gemäß dem Credential Stuffing Report 2021 werden jedes Jahr durchschnittlich 2,3 Milliarden Zugangsdaten gestohlen. Die IOCTA ergänzt hierzu, dass der Markt für solche Passwörter und persönliche Informationen wächst, da sie die Erfolgsquote aller Social-Engineering-Angriffe verbessert.
Die wichtigsten Phishingziele
Eine aktuelle Analyse von F5 Labs ergab, dass ein beträchtlicher Anteil der Phishingangriffe allgemeiner und wahlloser Natur ist (durchschnittlich 20 bis 30 Prozent). Doch Angreifer setzen zunehmend auch Spear-Phishing ein, um sich seitlich im Netzwerk zu bewegen. Das bedeutet: Sobald ein Mitarbeiter auf einer unteren Unternehmensebene kompromittiert wurde, ist es einfacher, ranghöhere Mitarbeiter hereinzulegen. Die IOCTA-Studie [1] bestätigt diese Feststellung. Demnach wird Social Engineering insgesamt immer gezielter eingesetzt, wobei sich die Angreifer auf die oberen Führungsebenen konzentrieren.
Finanzsektor am stärksten betroffen
Das Finanzwesen ist besonders stark von gezieltem Spear-Phishing betroffen, so F5 Labs. Ein Drittel aller Sicherheitsverletzungen bei Banken, Versicherungen und Finanzdienstleistern resultierten 2021 aus einer Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC). Dabei greifen Cyberkriminelle bestimmte Unternehmensbereiche, in der Regel Finanzabteilungen, an, indem sie sich als Geschäftsführer oder andere hochrangige Manager ausgeben.
Im Jahr 2021 war diese Branche auch das Hauptziel von Phishingkampagnen, auf die 20 bis 23 Prozent aller betrügerischen Websites entfielen, wie in Abbildung 1 dargestellt ist. Obwohl kein Finanzinstitut wesentlich stärker betroffen war als der Durchschnitt, stachen Banken wie Wells Fargo oder Crédit Agricole S. A. mit zwei bis vier Prozent aller Phishingseiten heraus, die ihren Namen missbrauchten.
Abb. 1: Die am stärksten von Phishingangriffen betroffenen BranchenAngriffe auf Handel in der Weihnachtszeit
Eine Zunahme der Phishingaktivitäten auf breiter Front war im November zu verzeichnen. Die Zahl der für betrügerische Zwecke genutzten Domains stieg im Vergleich zum Durchschnitt der Monate Mai und September um 157 Prozent. Abbildung 1 zeigt außerdem einen interessanten Aspekt für den November: eine Verlagerung des Schwerpunkts der Angreifer. In zwei Sektoren wurden in dieser Zeit deutlich mehr Phishingkampagnen durchgeführt: E-Commerce und Kryptowährungsbörsen. Der enorme Anstieg der Angriffe auf Kryptowährungsbörsen, der im Vergleich zu den Vormonaten fast 1 800 Prozent erreichte, wird weiter unten genauer analysiert.
Die Zunahme der Phishingkampagnen, die auf den elektronischen Handel abzielen, ist relativ einfach zu erklären. In den Monaten November und Dezember steigen in der Regel die Onlineeinkäufe für die Weihnachtszeit stark an. Erwartungsgemäß nehmen dann auch die betrügerischen Websites zu, die sich als Onlineshops oder Lieferdienste ausgeben.
Häufig attackierte Unternehmen
Obwohl der Finanzsektor eindeutig ein häufiges Ziel für Angreifer ist, zeigt Abbildung 1 nicht das gesamte Bild. Allgemeine Phishingkampagnen, die nicht auf eine bestimmte Person, Organisation oder Branche abzielen, machen in der Regel 20 bis 30 Prozent aller betrügerischen Websites in einem bestimmten Monat aus. Die am häufigsten angegriffenen Websites sind dabei Facebook und Microsoft Office 365/Outlook (Abb. 2).
Abb. 2: Die meistimitierten Unternehmen und Websites im Jahr 2021Amazon war im November 2021 von einem Anstieg der Phishingkampagnen um 208 Prozent betroffen, wobei die Angreifer eindeutig auf die zunehmenden Onlineeinkäufe in der Vorweihnachtszeit setzten. Besonders häufig würden in diesem Monat Websites aus dem Bereich Krypto-Wallets imitiert, fast 20 Prozent aller bösartigen Internetseiten gehörten zu diesem Themenschwerpunkt.
Warum ausgerechnet Kryptowährungsbörsen?
Normalerweise stehen Phishingangriffe auf Websites und Dienste im Zusammenhang mit Kryptowährungen auf der Prioritätenliste der Angreifer weiter unten. In den meisten Monaten zielen nur ein Prozent aller Phishingversuche auf diesen Bereich. Das änderte sich jedoch im November 2021, als betrügerische Websites mit Bezug zu Kryptowährungen plötzlich knapp über 20 Prozent der Gesamtzahl ausmachten. Dies entspricht einem Anstieg von über 1 800 Prozent.
Bei der Untersuchung der Rohdaten stach eine bösartige Domain heraus: krakentxy.com. Sie wurde am 3. November 2021 registriert und entwickelte sich schnell zur aktivsten Website, die auf Kryptowährungen abzielte. Der für diese Kampagne verantwortliche Akteur erstellte 9 117 einzigartige Subdomains, die alle den in Abbildung 3 gezeigten sehr ähnlich waren. Jede Subdomain von krakentxy.com wurde auf Azure mit einem Let’s-Encrypt-Zertifikat gehostet.
Abb. 3: Beispiel einer krakentxy.com-DomainDiese Domain war im November 2021 für 90 Prozent aller betrügerischen Kryptowährungsseiten verantwortlich. Obwohl sie inzwischen von Browsern blockiert wird und ihre DNS-Einträge nicht mehr existieren, zeigt das Amass-Project-Tool des Open Web Application Security Project (OWASP) weitere 194 Domains, die derzeit auf Amazon Web Services (AWS) gehostet werden. Obwohl sich diese zusätzlichen Domains derzeit nicht auflösen lassen, zeigen sie das ständige Katz-und-Maus-Spiel von Cyberkriminellen und Securityexperten.
Selbst ohne die Domain krakentxy.com stiegen die Phishingseiten mit Bezug zu Kryptowährungen im November 2021 um 356 Prozent. Das plötzliche Interesse der Cyberkriminellen könnte auf den höheren Wert vieler Kryptowährungen in diesem Monat zurückzuführen sein. Bitcoin (BTC) stieg am 12. November auf ein Allzeithoch von 64 400 US-Dollar für einen BTC (Abb. 4).
Abb. 4: Bitcoin-Wert in US-Dollar, Juli bis Dezember 2021Phishing ist nicht die einzige Methode, die Angreifer gegen Kryptowährungsbörsen und Wallets eingesetzt haben. Wie im TLS Telemetry Report 2021 [2] erwähnt wird, wurden böswillige Tor Exit Nodes auch zum Strippen von SSL/TLS-Verbindungen verwendet. Dadurch konnten Angreifer Anmeldedaten für Kryptowährungsbörsen sammeln.
Untersuchung der Angriffsmethoden
Cyberkriminelle verfeinern häufig ihre Techniken, um die Erfolgsquoten von Phishingangriffen zu verbessern. Die Verwendung gestohlener persönlicher Daten, die Verschlüsselung und Verschleierung von Websiteadressen sind erfolgreiche Methoden im Werkzeugkasten der Angreifer. Zum Beispiel können sie durch die Verwendung gültiger TLS-Zertifikate potenziellen Opfern vorgaukeln, dass die Website sicher und damit vertrauenswürdig sei. Der Einsatz von verschlüsselten Phishingsites hat in den vergangenen Jahren stetig zugenommen. Im Vorjahr waren um diese Zeit 72 Prozent der betrügerischen Websites verschlüsselt. Inzwischen ist diese Zahl auf 81 Prozent gestiegen.
Phishinglinks, die per E-Mail, Textnachricht oder soziale Medien übermittelt werden, verwenden häufig eine Umleitung. So ist der ursprüngliche URL selten der endgültige URL, auf dem das Opfer landet. In einigen Fällen verwendet der ursprüngliche Phishinglink HTTPS und leitet auf eine HTTPS-Website weiter. Alternativ wird ein unverschlüsselter Phishing-URL auf eine verschlüsselte HTTPS-Website umgeleitet. In Tabelle 1 ist die Verwendung von Verschlüsselung bei den ursprünglichen Phishing-URLs und den Ziel-URLs aufgeschlüsselt.
| HTTPS-Link mit HTTPS-Ziel | 46 % |
| HTTP-Link mit HTTPS-Ziel | 34 % |
| HTTPS-Link mit HTTP-Ziel | 8 % |
| HTTP-Link mit HTTP-Ziel | 12 % |
Tabelle 1: Vergleich des ursprünglichen Phishing-URL mit dem Ziel-URL
Angreifer suchen meistens nach einem einfachen Weg. Wenn es um die Absicherung ihrer bösartigen Websites geht, nutzen sie oft die Vorteile automatisierter und kostenloser Dienste von Hostinganbietern. Auf die Zertifizierungsstellen (CAs) von Google entfallen etwa 8 Prozent der Zertifikate und auf Cloudflare etwa 7 Prozent. Let’s Encrypt steht jedoch immer an erster Stelle und ist für durchschnittlich 41 Prozent der auf betrügerischen Websites verwendeten Zertifikate verantwortlich.
Verschleierung von URLs
In den Adressleisten von Browsern wird in der Regel die Hauptdomain hervorgehoben, etwa example.com, während unwichtige Informationen wie die Subdomain und der Pfad ausgegraut werden. Trotzdem versuchen Angreifer immer noch, ihre Opfer zu verwirren und auszutricksen, indem sie irgendwo im URL Firmennamen, Markennamen oder Schlüsselwörter einfügen. Tabelle 2 zeigt zehn häufige Begriffe, die im Pfad eines Phishing-URL verwendet werden.
| Begriff | Prozent |
|---|---|
| login | 9,2 % |
| .com | 4,7 % |
| wp- | 4,5 % |
| 3,8 % | |
| secure | 2,4 % |
| profile | 2,1 % |
| bank | 1,7 % |
| www. | 1,6 % |
| discovercard.com | 1,4 % |
| 0,4 % |
Tabelle 2: Zehn häufig verwendete Begriffe in Phishing-URLs
Der Begriff login weist darauf hin, dass knapp 10 Prozent der Phishingwebsites auf den Diebstahl von Anmeldedaten abzielen. Bei der Verwendung von www. und .com hoffen die Angreifer, dass ein Domainname wie www.mybank.com im Pfad ausreicht, damit das Opfer glaubt, er befände sich auf der echten Website seiner Bank. Tabelle 2 zeigt, dass der Domainname eines Unternehmens am häufigsten auf Phishingseiten auftaucht: discovercard.com. Discover Card ist eine Kreditkarte, die in den USA von Discover Financial Services ausgegeben wird. Die Verwendung von profile im Pfad steht fast ausschließlich im Zusammenhang mit betrügerischen Facebook-Seiten.
Am meisten missbrauchte Top-Level-Domains
Im Phishing and Fraud Report 2020 [3] von F5 Labs wurde festgestellt, dass .com mit 51 Prozent aller Phishingseiten nach wie vor die von Betrügern am häufigsten missbrauchte Top-Level-Domain (TLD) ist. Die TLD .net lag mit 3,4 Prozent an zweiter Stelle. Im Jahr 2021 gab es einige Veränderungen: Die allgegenwärtige TLD .com liegt immer noch an der Spitze, aber ihr Vorsprung ist auf knapp über 45 Prozent geschrumpft. Neu auf dem zweiten Platz ist .app mit 7,5 Prozent der Phishingsites, während .org mit 5 Prozent an dritter Stelle steht.
Die in Abbildung 5 gezeigten 20 TLDs stellen 80 Prozent der am häufigsten missbrauchten Top-Level-Domains aus der Liste der 415 von Angreifern verwendeten TLDs dar.
Abb. 5: Häufigste Top-Level-Domains in PhishingkampagnenAnalyse von MITRE ATT&CK
Die Wissensdatenbank MITRE ATT&CK [4] ist eine umfangreiche Quelle, um zu analysieren, wie Cyberkriminelle Phishing einsetzen. Sie enthält Details zu den spezifischen Verhaltensweisen von 129 fortgeschrittenen Angreifergruppen [5], einschließlich ihrer bekannten Methoden, die auf Beobachtungen in der Praxis basieren.
Bei der Addition aller von diesen Gruppen verwendeten Angriffsmethoden ergaben sich 334 Einträge, die sich auf neun Techniken verteilen. Davon wurde Phishing mit 48,2 Prozent am häufigsten genannt. Die Einträge bieten genügend Detailinformationen, um die erwähnten Techniken in drei Phishingsubtechniken weiter aufzuschlüsseln:
-
Die am häufigsten genannte Untertechnik (63 Prozent) war Spear-Phishing-Attachment (T1566.001), hier waren die am häufigsten genannten Arten Anhänge mit Microsoft-Office-Dokumente.
-
Die zweithäufigste Phishingsubtechnik (31 Prozent) war Spear-Phishing-Link (T1466.002), wobei der häufigste Link mit dem Herunterladen von Malware verbunden war.
-
Die am seltensten genannte Phishingsubtechnik (4 Prozent) war Spearphishing via Service (T1566.003), mit sozialen Medien als häufigstes Beispiel (86 Prozent).
Diese Informationen geben einen Eindruck über die aktuellen Angriffstrends. Auch wenn eine bestimmte Technik oder Untertechnik bei den bekannten Attacken nicht häufig genannt wird, kann sie trotzdem in Zukunft verstärkt zum Einsatz kommen. Unternehmen sollten immer bedenken, dass Angreifer ihre Taktiken ändern, wenn sie nicht mehr funktionieren.
Malware für Phishing
Das Threat Intelligence Team von F5 hat seine Beobachtungen zu Gefahren durch Phishing bereits im Laufe des Jahres veröffentlicht. Dabei zeigen die Daten, dass Mitte 2021 (März bis Oktober) 45 Prozent mehr Phishing-E-Mails entdeckt wurden. Zudem haben solche Mails viele Ransomware-Dropper eingeschleust. Tabelle 3 zeigt die am häufigsten durch Phishing verbreiteten Schadprogramme des Jahres 2021.
| Malware | Typ | Anmerkung |
|---|---|---|
| FormBook | Data Stealer: sammelt vertrauliche Daten von infizierten Computern | Sehr einfach zu verwendende Malware, die als Malware-as-a-Service-Modell erhältlich ist |
| Agent Tesla | Data Stealer: sammelt vertrauliche Daten von infizierten Computern | Keylogger, Downloader, Malware zum Diebstahl von Passwörtern und zur Aufzeichnung des Bildschirms |
| LokiBot | Credential Harvester: verwendet einen Keylogger, um Anmeldenamen und Kennwörter aufzuzeichnen | Erzeugt eine Backdoor zur Installation weiterer Malware |
| Dridex | Bankingtrojaner, der speziell für den Diebstahl von Finanzdaten entwickelt wurde | Weitere Informationen im Artikel von F5 Labs „Dridex Is Watching You“ [6] |
| ZLoader | Bankingtrojaner, der speziell für den Diebstahl von Finanzdaten entwickelt wurde | Eine Variante der Zeus/Zbot-Malware, die häufig über kompromittierte Dokumente eingeschleust wird; mehr Informationen von F5 Labs über Banking-Trojaner [7] |
| TrickBot | Bankingtrojaner, der speziell für den Diebstahl von Finanzdaten entwickelt wurde. | Es ist bekannt, dass er andere Arten von Malware, wie Credential Harvester, ablegt; mehr Informationen im F5 Labs Artikel „Tricky Trickbot“ [8] |
| Ave Maria | Data Stealer: sammelt vertrauliche Daten von infizierten Computern. | Auch bekannt als Warzone; ist zudem ein Keylogger und kann die Kontrolle über eine Kamera übernehmen |
Tabelle 3: Häufigste Malware bei Phishingversuchen gegen F5
Geeignete Abwehrmaßnahmen
Die Empfehlungen zur Abwehr von Phishingangriffen lassen sich in drei Gruppen von Maßnahmen zusammenfassen:
-
Begrenzung der Auswirkungen auf die Marke: Dafür eignen sich Kontrollen und Methoden, die Folgen für das Unternehmen begrenzen können. Dazu gehört die kontinuierliche Überwachung von Domains, die den Namen oder die Marke eines Unternehmens verwenden. Whois-Datensätze und Transparenzprotokolle für TLS-Zertifikate sind hierfür nützlich.
-
Verhindern, dass Mitarbeiter betrügerische Websites besuchen: Hierfür sollten Unternehmen in der Lage sein, den Webverkehr zu überprüfen und das Herunterladen bösartiger Inhalte zu blockieren. Da sich das Internet bald einer hundertprozentigen Verschlüsselung nähert, müssen Web-Proxys SSL/TLS-Verbindungen entschlüsseln und inspizieren sowie anderen verschlüsselten Datenverkehr blockieren können, der sich nicht inspizieren lässt. Antimalware ist weiterhin eine wichtige Lösung, um Schadprogramme zu erkennen und zu stoppen, die Web-Proxys umgehen können.
-
Missbrauch von Anmeldeinformationen blockieren: Unternehmen benötigen Kontrollen, die Angreifer daran hindern, sich mit gefälschten Anmeldedaten Zugang zu ihren Anwendungen und Daten zu verschaffen. Die Kontrollen konzentrieren sich hier stark auf strenge Passwortrichtlinien, einschließlich der Verwendung einer Multifaktorauthentifizierung. Echtzeit-Phishing-Proxys, wie sie im Phishing and Fraud Report 2020 [3] beschrieben werden, können die Multifaktorauthentifizierung umgehen. Daher ist es wichtig, sich ihrer Schwächen bewusst zu sein. Die Automatisierung der Angriffe bedeutet, dass Anwendungen Schutzlösungen benötigen, die nichtmenschlichen Datenverkehr erkennen und ihn entweder blockieren oder vor der Gewährung des Zugriffs genauer prüfen können.
Für alle Aspekte des Phishings ist eine häufige und aktuelle Anwenderschulung unerlässlich. Die in Tabelle 4 aufgeführten Kontrollen und Techniken werden im Application Protection Report 2021 [9] ausführlicher behandelt.
| Angriffsmethode | Schutzmaßnahmen |
|---|---|
| Phishing (T1566) | Antivirus/Antimalware
Network Intrusion Prevention webbasierte Inhalte einschränken Anwenderschulung |
| Credential Stuffing (T1110.004) | Richtlinien zur Kontonutzung
Multifaktorauthentifizierung Passwortrichtlinien User-Account-Management |
| Internes Spear-Phishing (T1534) | Anwenderschulung |
| Phishing über einen Link (T1566.002) | webbasierte Inhalte einschränken
Anwenderschulung |
Tabelle 4: Von MITRE ATT&CK empfohlene Schutzmaßnahmen
Fazit
Angreifer haben erkannt, dass es oft wesentlich einfacher ist, einen Menschen zu täuschen, als eine anfällige Anwendung zu kompromittieren. So wurde 2021 die bislang höchste Anzahl von Phishingangriffen von der APWG erfasst. Und diese Phishingangriffe nehmen weiter zu.
Gestohlene persönliche Daten ermöglichen es den Angreifern, ihre Taktik zu verfeinern, um gezieltere und echter aussehende Spear-Phishing- und BEC-Angriffe durchzuführen. Dabei berücksichtigen sie auch das Nutzerverhalten. Verstärktes Onlineshopping führte im November 2021 zu einem 200-prozentigen Anstieg betrügerischer Einzelhandelswebsites, und der hohe Marktwert von Bitcoin löste einen explosionsartigen Anstieg um 1 800 Prozent von Phishingangriffen auf Kryptowährungsbörsen und Wallets aus.
Angreifer haben es auch weiterhin auf Office 365 und Facebook abgesehen. Daher sind Anwenderschulungen wichtig, die Taktiken von Phishing-E-Mails aufzeigen, die das Aussehen und den Wortlaut von OneDrive-, SharePoint- und Facebook-Benachrichtigungen imitieren.
Links & Literatur
[2] https://www.f5.com/labs/articles/threat-intelligence/the-2021-tls-telemetry-report
[3] https://www.f5.com/labs/articles/threat-intelligence/2020-phishing-and-fraud-report
[4] https://www.f5.com/content/f5-labs-v2/en/labs/articles/education/mitre-attack-what-it-is-how-it-works-who-uses-it-and-why“ \l“_ATTACKsEasytoMissInvaluableResources
[5] https://www.f5.com/labs/articles/cisotociso/advanced-attackers-stealthy-patient-dangerous
[6] https://www.f5.com/labs/articles/threat-intelligence/dridex-is-watching-you-22407″ \t „_blank
[7] https://www.f5.com/labs/articles/education/banking-trojans-a-reference-guide-to-the-malware-family-tree“ \t „_blank“
[8] https://www.f5.com/labs/articles/threat-intelligence/tricky-trickbot-runs-campaigns-without-redirection“ \t „_blank
