Phishing-Kit
Beim Phishing versendet der Angreifer gefälschte E-Mails oder Textnachrichten, die scheinbar von einer legitimen Quelle stammen. Das Ziel dieses Angriffs ist es, den Empfänger dazu zu bewegen, eine bestimmte Aktion auszuführen. Das kann beispielsweise ein Klick auf einen präparierten Link sein, oder das Öffnen eines infizierten Anhangs oder das Autorisieren eines Geldtransfers.
Bestandteil eines Phishing-Kits ist in aller Regel Software für die Entwicklung von Websites. Und zwar solche, mit der man sich kaum mit Code beschäftigen muss, sondern alles über eine grafische Benutzeroberfläche (GUI) erledigen kann. Das ganze Paket wird üblicherweise mit E-Mail-Vorlagen, Grafiken und Beispielskripten geliefert. Mit dieser Ausrüstung für kriminelle Zwecken sollen sich dann überzeugende Imitationen von legitimer Korrespondenz anfertigen lassen. Manchmal lassen sich diese Phishing-Kits gegen Aufpreis auch gleich mit E-Mail-Adressen, Telefonnummer und Software zur Automatisierung der Malware-Verteilung im Paket erwerben.
Sicherheitsexperten raten Anwendern bei unerwarteten Nachrichten stets wachsam zu sein. Insbesondere, wenn diese von Webangeboten stammen, zu denen man in irgendeiner Form eine Geschäfts- oder finanzielle Beziehung unterhält. Wenn sich Anwender nicht sicher sind, ob eine erhaltene Nachricht wirklich vom angegebenen Absender stammt, sollten sie direkt im Browser auf die entsprechende Website gehen und nicht dem Link folgen, oder sich direkt an den Kundenservice des Angebots wenden
Phishing-as-a-Service-Kits (PaaS-Kits)
Nach Angaben von Cyren, einem SaaS-Sicherheitsanbieter, sind Cloud-basierte Phishing-as-a-Service-Kits im Darknet zu Preisen von nur 50 US-Dollar im Monat erhältlich. Wenn Phishing-Websites auf legitimen Public-Cloud-Diensten gehostet werden, können die Kriminellen in der Regel legitime Domänen und SSL-Zertifikate vorlegen. Das kann selbst wachsame und erfahrene Anwender dazu bringen, eine bestimme Phishing-Website oder E-Mail für vertrauenswürdig zu halten.
Was sind typische Phishing-Angriffe?
Phishing-Kits werden häufig zur Durchführung von folgenden Angriffsarten verwendet:
Spear-Phishing: Derlei Angriffe richten sich ganz konkret an ein bestimmtes Unternehmen, eine Organisation oder gezielt an eine Person. Ziel ist es unbefugten Zugang zu sensiblen oder vertraulichen Daten zu erhalten.
Whaling: Dieser spezielle Phishing-Angriff visiert hochrangige Mitarbeiter eines Unternehmens wie etwa CFO oder Geschäftsführer an.
Smishing: Bei dieser Attacke wird dem potentiellen Opfer eine Textnachricht geschickt, die zum Herunterladen einer Schadsoftware verleiten soll.
Vishing: Hierbei handelt es sich um eine Betrugstaktik, die per Anruf funktioniert. Ein Anruf erscheint manchen potenziellen Opfern noch vertrauenswürdiger als eine E-Mail. Diese Angriffe haben sich immer mehr professionalisiert, mit Deepfakes entstehen hier zudem neue Risiken.