Eine Herausforderung für Cyber-Kriminelle besteht darin, dass ihre Täuschungstaktiken oft nur eine kurze Haltbarkeit besitzen. Einmal eingesetzt, ist die Betrugsmethode schnell entdeckt und die Angreifer hoffen, ihre Gewinne zu realisieren, bevor potenzielle Opfer den Betrug durchschauen.
Die Forscher von Trustwave beschreiben eine Methode, mit der Kriminelle versuchen, noch mehr aus ihrem Code herauszuholen. Phishing – der Versuch, sich persönliche Daten von anderen Personen mittels gefälschter E-Mails oder Websites zu beschaffen – wird nun in Form von „Chamäleon“-Phishing-Seiten durchgeführt, die sich den Erwartungen ihrer Opfer anpassen und so der Entdeckung geschickt entgehen. Sie tauchen in Betrugsmethoden auf, die darauf abzielen, Anmeldedaten von arglosen Opfern zu sammeln.
„Kürzlich sind wir auf eine interessante Phishing-Webseite gestoßen, die unser Interesse geweckt hat, weil sie sich wie ein Chamäleon verhält, denn sie ändert ihre Farbe je nach Umgebung. Darüber hinaus passt die Seite ihr Hintergrundbild und ihr Logo je nach Benutzereingabe an, um ihre Opfer dazu zu bringen, ihre E-Mail-Anmeldedaten preiszugeben“, so die Forscher. „Diese benutzerdefinierte Phishing-Site verhält sich wie ein Chamäleon, indem sie ihre Bilder verändert, um sich zu tarnen. Das Ziel besteht darin, dass der Betrug möglichst lange durchgeführt werden kann.
Die Phishing-Webseiten werden oft innerhalb weniger Minuten entfernt oder sind nicht mehr verfügbar, sobald IT-Security-Unternehmen sie als bösartig erkennen. Die so genannten Chamäleon-Phishing-Seiten werden immer wieder von Malware-Autoren verwendet, die mit Hilfe der oben beschriebenen Tricks es schaffen, den Benutzer die Echtheit der Seiten vorzutäuschen. Die Bedrohungsakteure können die Vorlage leicht anpassen und andere Domänen verwenden, um diese Skripte zu hosten, so dass die Angreifer arglose Benutzer immer wieder ausnutzen können.
Weitere gängige Phishing-Techniken
Vishing: VIshing steht für „Voice-Phishing“. Dabei handelt es sich um eine Betrugsmasche, bei der die Oper mittels Sprachsystemen – in Form eines Telefonanrufs oder einer Sprachnachricht – kontaktiert und dann mündlich nach ihren persönlichen Daten befragt werden.
Ransomware: Angreifer nutzen Ransomware, um die Daten der Opfer zu verschlüsseln und ihre Computer oder Systeme zu sperren. Folglich werden die Opfer damit erpresst, ein Lösegeld zu zahlen, um ihre Daten und ihren Zugriff zurückzuerhalten.
Social-Engineering: Dies ist der Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des Social Engineering kann auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln.
Wirksame Verteidigung gegen Phishing-Kampagnen
„Chamäleon-Phishing-Seiten stellen ein weiterer Schritt in Richtung immer stärkerer Kommerzialisierung von Malware und Betrugstechniken dar. Phishing stellt heutzutage ein eigenes Geschäftsmodell dar und auch Cyberkriminelle wollen den bestmöglichen Nutzen aus ihren getätigten Investitionen ziehen. Die Wiederverwendung von bereits vorhandenem Code ist für sie daher eine wirtschaftlich sinnvolle Herangehensweise, um den Aufwand zu minimieren und gleichzeitig den Ertrag zu maximieren“, erläutert Jelle Wieringa, Security Awareness Advocate bei KnowBe4. Neue Schulungen zum Sicherheitsbewusstsein können Mitarbeitern und Unternehmen helfen, die raffinierten Betrugsmethoden zu durchschauen, die es schaffen die Sicherheitsfilter der Unternehmen zu umgehen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.
#KnowBe4
