Den Risiken Phishing as a Service und Phishing-Kits begegnen

Wie Phishing-Kits funktionieren

Cyberkriminelle verwenden in erster Linie einfache Phishing-Kits, um schnell gefälschte Webseiten zu erstellen, die wie die Websites bekannter Marken aussehen. Phishing-Kits bestehen aus den folgenden zwei Teilen:

• Eine HTML-Seite, bei der es sich um eine Nachahmung einer legitimen Original-Website handelt. In der Regel werden auf der Seite Benutzerinformationen abgefragt, die für die Angreifer wertvoll sind, beispielsweise Benutzernamen, Passwörter, Sicherheitsfragen und -antworten, Kreditkartennummern, Telefonnummern und Adressen.
• Ein Phishing-Skript, das die Daten sammelt und sie über eine beliebige Anzahl von Mechanismen wie E-Mail, Telegram oder WhatsApp an den Angreifer sendet.

Während Verteidiger solche bösartigen Websites blockieren können und dies auch tun, ermöglichen diese Toolkits böswilligen Angreifern, sie schnell und in großem Umfang zu erstellen - in einigen Fällen schneller, als Verteidigungsmechanismen sie erkennen und blockieren können. In der Zeit, in der eine bösartige Website aktiv und nicht blockiert ist, versuchen Phisher, so viele Opfer wie möglich zu täuschen, um einen maximalen ROI (Return on Investment) zu erzielen.

Wie Phishing als Dienstleistung funktioniert

Phishing as a Service (PhaaS) ist eine modernere, erweiterte Version der grundlegenden Phishing-Kits. Phishing as a Service senkt die Einstiegshürde für potenzielle Cyberkriminelle weiter und macht Phishing auch für technisch weniger versierte Personen zugänglich.

Bei den PhaaS-Angeboten handelt es sich um Standardpakete, die fortgeschrittene Phishing-Kit-Funktionen wie die folgenden enthalten:

• Bösartige E-Mail-Vorlagen.
• Bösartige Landing Page-Vorlagen.
• Multisite-Hosting-Dienste.
• Anleitungen für Angriffe.
• Kontaktinformationen von potenziellen Zielen.
• Dienste zur Verwaltung des Diebstahls von Zugangsdaten.
• Automatische, wiederholte Verteilung von Phishing-Nachrichten.
• Preisgestaltung auf Abonnementbasis.
• Kundenbetreuung.

Phishing-Dienste sind in der Regel einfach zu verstehen und zu abonnieren, und einige Anbieter bieten sogar Garantien, um mehr angehende böswillige Akteure anzulocken.

Phishing-as-a-Service-Plattformen

Zu den beliebtesten PhaaS-Plattformen gehören Greatness und Strox. Greatness umfasst die folgenden Funktionen:

• Vorgefertigte Phishing-Vorlagen, die überzeugend legitime Websites imitieren und so die Wahrscheinlichkeit erhöhen, dass potenzielle Opfer auf sie hereinfallen.
• Benutzerfreundliche Schnittstellen für die Kampagnenverwaltung.
• Ausgefeilte Backend-Unterstützung für die Datenerfassung und -analyse.

Greatness vereinfacht nicht nur die Durchführung von Phishing-Kampagnen, sondern vergrößert auch die potenziellen Auswirkungen und die Reichweite solcher Cyberangriffe und stellt damit eine Herausforderung für die Cybersicherheitsabwehr dar.

Phishing-Dienste sind in der Regel einfach zu verstehen und zu abonnieren, und einige Anbieter bieten sogar Garantien, um mehr angehende böswillige Akteure anzulocken.

Strox bietet ebenfalls einen intuitiven, benutzerfreundlichen Service, mit dem selbst Anfänger anspruchsvolle Phishing-Kampagnen starten können. Er bietet eine nahtlose Backend-Infrastruktur, mit der die Benutzer ihre Kampagnen verwalten, die Erfolgsraten analysieren und gestohlene Daten effizient sammeln und sortieren können.

Wie man sich vor Phishing als Dienst schützt

Die Abwehr von PhaaS erfordert einen mehrgleisigen Ansatz, der technologische Kontrollen mit der Schulung der Benutzer kombiniert, um die Sicherheitslage zu verbessern.

In erster Linie sollten Sie sich auf den Schutz der Posteingänge der Benutzer konzentrieren, da Phishing-Angriffe per E-Mail zu den häufigsten und schädlichsten gehören:

• Erweiterte E-Mail-Filterung. Setzen Sie fortschrittliche E-Mail-Filterungstools wie E-Mail-Sicherheits-Gateways ein, die Phishing-E-Mails erkennen und unter Quarantäne stellen können, bevor sie in den Posteingang gelangen. Diese Tools fungieren als Barriere zwischen dem externen Internet und dem internen Netzwerk und analysieren Nachrichten auf bösartige Links, gefälschte Webadressen und verdächtige Anhänge.
• Starke Passwortrichtlinien und MFA (Multifaktor-Authentifizierung). Erhöhen Sie die E-Mail-Sicherheit weiter, indem Sie MFA implementieren und sicherstellen, dass die Benutzer eine gute Passworthygiene betreiben.
• Patch-Management. Führen Sie wichtige Updates für E-Mail-Systeme durch, sobald sie verfügbar sind, und verhindern Sie so, dass Phishing-Kampagnen bekannte Schwachstellen ausnutzen.
• Technische Sicherheitskontrollen. Setzen Sie zusätzliche technische Sicherheitskontrollen ein, zum Beispiel das DMARC-Protokoll, mit dem sich die Herkunft von E-Mails authentifizieren und gefälschte Nachrichten eindämmen lassen. Endpunktschutz-Tools bieten eine weitere Verteidigungsebene, indem sie bösartige und verdächtige Aktivitäten auf Geräten erkennen und blockieren.
• Schulungen zum Sicherheitsbewusstsein (Security Awareness Trainings). Es ist von entscheidender Bedeutung, das Phishing-Bewusstsein der Mitarbeiter durch regelmäßige Sicherheitsschulungen zu schärfen und aufrechtzuerhalten, um die Wahrscheinlichkeit zu erhöhen, dass sie Angriffe erkennen. Simulierte Phishing-Übungen stellen das Wissen der Benutzer auf die Probe und zeigen, auf welche Arten von Angriffen sie am ehesten hereinfallen, so dass Sicherheitsteams ihre Schulungsprogramme entsprechend aktualisieren können. Mit neueren Schulungstechniken wie Gamification und Wettbewerben können Schulungen zum Sicherheitsbewusstsein mehr Spaß machen und mehr Resonanz bei den Teilnehmern erzeugen.