Phishing wird nicht verschwinden. Vielmehr hat es durch das Ausnutzen der Angst vor Coronaviren erheblich zugenommen. Auch wenn Unternehmen einen beträchtlichen Aufwand betreiben, um sicherzustellen, dass Phishing-E-Mails nie im Posteingang landen, ist dies nicht narrensicher. Ein zusätzlicher Schritt, der eine weitere Sicherheitsebene schafft, ist die Aufnahme bekannter Phishing-Domains in schwarze Listen.
Was ist der aktuelle Stand bei Phishing?
Wie ist die aktuelle Lage beim Phishing? Was sagen die Daten? Werfen wir einen Blick darauf, womit Sie im Jahr 2021 rechnen müssen.
Die Anti-Phishing Working Group (APWG), ein internationaler Zusammenschluss von über 2.200 Institutionen, die von Phishing betroffen sind, stellt regelmäßig aktuelle Trendberichte zur Verfügung. Der neueste Bericht bezieht sich auf das erste Quartal 2020. Hier sind einige wichtige Erkenntnisse.
COVID-19 bietet ein perfektes Szenario für Phishing-Angreifer
COVID-19-Phishing-Angriffe gegen Arbeitnehmer, das Gesundheitswesen und Arbeitslose wurden Mitte März zu einer ernsthaften Bedrohung. Zu diesem Anstieg gehören auch E-Mails im Zusammenhang mit Zoom, einer der führenden Videokonferenzplattformen, die für alle Arten von Meetings am Arbeitsplatz oder Online-Treffen mit Freunden und Familie sehr gefragt ist. Lesen Sie hier unseren Artikel über Zoom-Phishing-Betrug.
Cyberkriminelle nutzen die Krise auch für die Geschäftskommunikation. Unternehmen erhielten E-Mails von ihren Zulieferern mit ähnlich aussehenden Domains. Auf diese Weise wurden die realen Bedenken hinsichtlich der Lieferketten ausgenutzt. Informieren Sie sich außerdem hier über die Probleme der Cybersicherheit bei der Kompromittierung von Geschäfts-E-Mails.
Darüber hinaus war das Gesundheitswesen das Ziel vieler Phishing-Angriffe. Laut einer RISKIQ-Studie ist die Zahl der Phishing-Angriffe in diesem Sektor im Vergleich zum Vorjahr um 35 Prozent gestiegen.
Phishing-Domains auf dem Vormarsch und die Mehrheit der Websites verwendet jetzt SSL
Die Zahl der Phishing-Domains lag bei 165.772 und ist damit gegenüber dem vierten Quartal 2019 leicht gestiegen. Diese Zahl ist seit November 2019 im Aufwärtstrend. Hinzu kommt, dass 75 Prozent aller Phishing-Websites jetzt SSL verwenden. Diese Verschlüsselung wirkt sich auf die Empfänger von Phishing aus, da sie dem Betrug mehr Legitimität verleiht.
Diese Daten zeigen, dass Phishing nach wie vor aktuell ist. Welche proaktiven Schritte können Sie also unternehmen, um die Auswirkungen zu minimieren?
Schwarze Listen sind eine Möglichkeit. In Verbindung mit Programmen zur Überwachung von Bedrohungen und zur Aufklärung wird ein umfassenderer Schutz geschaffen.
Warum schwarze Listen?
Schwarze Listen schaffen Kontrolle darüber, was in die Posteingänge gelangt. Das sog. Blacklisting kann viele verschiedene Parameter haben. Es kann sowohl den Inhalt der E-Mail als auch die Domain umfassen.
Blacklisting funktioniert nicht immer zu Ihren Gunsten. Es kommt vor, dass Domains auf die schwarze Liste gesetzt werden, die nichts mit Phishing zu tun haben. Die E-Mails können Spam sein, müssen es aber nicht sein.
Es ist keine perfekte Wissenschaft, aber als Eigentümer Ihres Netzwerks können Sie das Blacklisting definieren. Entscheidend ist, dass Sie es als Instrument zum Schutz der Nutzer vor Phishing-Angriffen einsetzen. Die Wirksamkeit hängt von der Größe, dem Umfang, der Aktualisierungshäufigkeit, der Genauigkeit und anderen Faktoren ab.
E-Mail-Phishing
Arten von Phishing-Domains, die Sie auf Ihre schwarze Liste setzen sollten
Es gibt verschiedene Arten von Phishing-Domains. Die Raffinesse der Cyberkriminellen nimmt weiter zu. Im Folgenden finden Sie einen Überblick über Domain-Angriffe und wie Sie sich mit Blacklisting dagegen schützen können.
Active Directory und Namespace-Kollision
Das Problem der Namespace-Kollision beschreibt eine Situation, in der ein Unternehmen eine Domain, die ausschließlich für ein internes Publikum verwendet werden soll, mit Domains überschneidet, die im offenen Internet verfügbar sind. Das ist ein Szenario, das sich hervorragend für Phishing eignet.
Warum passiert so etwas? Die Ursache geht auf das Active Directory von Microsoft zurück. Mit dieser Anwendung wurde es einfacher, Computer oder Dienste innerhalb eines Netzwerks zu finden, ohne den vollständigen Domain-Namen eingeben zu müssen.
Während dies für die meisten Windows-Benutzer kein Problem darstellt, tritt das Problem auf, wenn die Zuordnung zur Domain der zweiten Ebene nicht der Organisation gehört oder von ihr kontrolliert wird. Es handelt sich um eine Art Schlupfloch, das zu katastrophalen Verstößen führen kann, insbesondere im Zeitalter der Remote- und mobilen Arbeit.
Die Gefahren der Namespace-Kollision
Ein Beispiel für die Sicherheitsgefahren einer Namespace-Kollision ist die Domain corp.com. Domainexperten bezeichneten diese als eine sehr gefährliche Domain, da ihr Besitzer wahrscheinlich in der Lage ist, auf Netzwerke von Unternehmen in der ganzen Welt zuzugreifen. Microsoft hat die Domain, die jahrzehntelang im Besitz einer Privatperson war, vor kurzem erworben. Microsoft hat diesen Schritt unternommen, um den Schutz seiner Systeme und Benutzer zu gewährleisten.
Dieses Szenario hat viel mit wahrscheinlichen Phishing-Domains zu tun. Benutzer erhalten Nachrichten, die ihre eigenen internen Domains zu imitieren scheinen, auf denen sie Dokumente freigeben und speichern. Dieser Klick kann zu unbefugtem Zugriff, Sicherheitsverletzungen und der Verbreitung von Malware führen.
Die Lehre daraus ist, dass Sie über Domains der zweiten oder dritten Ebene verfügen müssen. Dies ist in der Regel eine Selbstverständlichkeit, wie z. B. technical.support.portal.website.com. Der Eigentümer von website.com ist auch der Eigentümer dieser anderen Ebenen. Schwierig wird es, wenn Sie Subdomains der zweiten Ebene besitzen.
Bei Ihrer Phishing-Due-Diligence müssen Sie entweder sicherstellen, dass Ihnen alle Ebenen gehören, oder alle Ebenen, die Ihnen nicht gehören, auf eine schwarze Liste setzen.
Typosquatting von Phishing-Domains
Typosquatting ist die einfachste Art von Phishing-Domains. Dabei wird die Tatsache ausgenutzt, dass Tippfehler recht häufig vorkommen. In diesem Fall registriert jemand die wahrscheinlichen Rechtschreibfehler der Domain, Singular-/Pluralversionen, Bindestriche oder andere Varianten einer bekannten und vertrauenswürdigen Domain.
Unter den Begriff Typosquatting fallen auch Kerning-Fehler. Anstelle des Buchstabens „m“ verwendet die Domain „rn“. Das sieht dem echten Buchstaben sehr ähnlich, vor allem, wenn die Schrift klein ist, z. B. wenn sie auf einem Telefon gelesen wird. Phishern kann es so gelingen, die Nutzer zum Anbeißen zu bringen.
Beispiele für Typosquatting
Typosquatting kann auf viele verschiedene Arten durchgeführt werden. Hier sind einige Beispiele:
Tippfehler: Der Gedanke ist, dass viele den Tippfehler nicht bemerken werden. Daher kann goigle.com als google.com durchgehen.
Rechtschreibfehler: Dies kann durch Hinzufügen oder Ändern eines Buchstabens geschehen, z. B. gooogle.com
Alternative Schreibweisen: Viele Marken verwenden eine eindeutige Schreibweise, so dass Hacker Websites erstellen, die dies ausnutzen. Die URL könnte findfotos.com statt findphotos.com lauten.
Bindestriche: Das Hinzufügen oder Weglassen eines Bindestrichs ist eine schnelle Methode, um Benutzer zu täuschen. Die Phishing-Domain könnte insta-gram.com anstelle von instagram.com lauten.
Hinzufügen von www: Domains enthalten immer noch das www, aber es erfordert einen Punkt. www.google.com ist authentisch, während wwwgoogle.com es nicht ist.
Mitarbeiter können leicht getäuscht werden
Sollte eine E-Mail im Postfach eines Mitarbeiters landen, wird er sie möglicherweise anklicken, wenn sie legitim aussieht. Die Schulung und Aufklärung der Mitarbeiter über die Funktionsweise von Phishing ist eine weitere Möglichkeit, sich dagegen zu schützen. Aber wahrscheinlich wäre es Ihnen lieber, wenn die E-Mail gar nicht erst auf Ihrem Server landet.
Um sich dagegen zu schützen, sollten Sie eine Suche nach allen aktuellen Domains durchführen, bei denen es sich um mögliche Tippfehler Ihrer Domain handelt, und dabei die oben genannten Beispiele befolgen. Wenn Sie feststellen, dass einige davon registriert sind, setzen Sie diese auf die schwarze Liste. Wenn andere existieren, kaufen Sie sie und leiten Sie sie auf Ihre eigentliche Homepage um.
Phishing mittels Registrierstellen
Das Hacken von Registrierstellen ist zwar ungewöhnlich, aber dennoch ein Risiko. Wenn ein Cyberkrimineller eine Registrierstelle hackt, hat er Zugang zu allen Domains in der Datenbank. Wenn er erst einmal drin ist, kann er Änderungen vornehmen und eine Website klonen, um Malware zu verbreiten. Dann kann er den gesamten Datenverkehr auf die bösartige Website umleiten.
Ein Beispiel dafür ist der jüngste Angriff auf die japanische Kryptowährung Coincheck. Die Hacker kaperten eine Domain unter Oname.com und nutzten sie, um Kunden zu kontaktieren. In dem Bericht heißt es, dass nach der Beschlagnahmung der Domain eine ähnliche Domain registriert wurde, die die ursprüngliche Domain ersetzte. Die ursprüngliche hieß awdns-61.org. Die neue war awsdns-061.org.
Von dort aus verschickten sie unter dem Namen Coincheck Spear-Phishing-E-Mails an Benutzer und leiteten die Antworten auf ihre Server um. Die Hacker hatten etwa 48 Stunden lang die Kontrolle über die Domain, wovon etwa 200 Benutzer betroffen waren.
Da es sich um unterschiedliche Domains handelt, gelten hier dieselben Grundsätze der Phishing-Sensibilisierung. Es ist möglicherweise nicht möglich, diese Domains auf eine schwarze Liste zu setzen, da sie nicht die üblichen Merkmale gefälschter Domains aufweisen. Dennoch sollte man sie entsprechend überwachen. Wenn ein solcher Phishing-Versuch auftritt und Ihr Mitarbeiter ihn bemerkt, können Sie ihn auf die schwarze Liste setzen.
Generische TLDs
Generische TLDs (Top-Level-Domains) sind auf dem Vormarsch. Auch die Registrierung von Domains mit nicht-lateinischen Buchstaben nimmt zu. Phisher beobachten die gTLDs immer genau, um Möglichkeiten zur Ausbeutung zu finden.
Da .com oder .net, die beliebtesten Domains, oft nicht verfügbar sind, haben gLTDs stark zugenommen. Laut Spamhaus sind die am meisten missbrauchten gTLDs .rest, .tk, .gq., .fit, .work, .ml, .cf, .ga, .buzz und .cn.
So werden beispielsweise .work-Domains in der Regel mit Beschäftigung oder Menschen in Verbindung gebracht. Etwas wie yourdomain.work mag für diejenigen, die mit Personalbeschaffung zu tun haben, legitim erscheinen. Solange Sie die Domain jedoch nicht tatsächlich gekauft haben, besteht die Möglichkeit eines menschlichen Fehlers.
Auf der Grundlage dieses Wissens können Sie alle Domains auf eine schwarze Liste setzen, die diese gTLDs verwenden und Ihre Website sowie die von Ihren Mitarbeitern verwendeten Anwendungen enthalten.
Fazit: Schwarze Liste, aber auch Schulung Ihrer Mitarbeiter
Die Aufnahme von Phishing-Domains in die schwarze Liste kann nur einen gewissen Schutz bieten. Letztlich sollten Ihre Mitarbeiter wissen, wie sie verdächtige Phishing-E-Mails einschätzen können. Dieses Maß an Wachsamkeit ist mit einem simulierten Phishing-Training möglich.