Phishing ist der mit Abstand häufigste Cyberangriff in der Online-Welt. Cyberkriminelle nutzen Phishing-Betrügereien häufiger als alle anderen Angriffsarten zusammengenommen. Der Grund dafür ist simpel. Phishing ist viel einfacher als andere Angriffe, und die Erfolgsquote ist auch nicht schlecht.
Insgesamt handelt es sich um einen Betrug mit geringem Aufwand, der weit verbreitet ist und immer häufiger vorkommt. Allerdings erfreut sich Phishing derzeit wieder wachsender Beliebtheit. Und warum? Dank Phishing-as-a-Service können Phishing-Angriffe jetzt auch ohne jegliche Hacking- oder Social-Engineering-Kenntnisse durchgeführt werden.
Was ist PhaaS?
Phishing as a Service (oder PhaaS) ist eine Dienstleistung, bei der Angreifer Zugang zu umfassenden Phishing-Kampagnen haben, ohne diese selbst einrichten zu müssen. Gegen eine Gebühr stellen diese Dienstleistungen dem Angreifer E-Mails zur Verfügung, die er verwenden kann, Kits, mit denen er sich als verschiedene bekannte Marken ausgeben kann, und sogar unabhängige Hosts und automatisierte Manager.
Wie funktioniert Phishing as a Service?
Das Verfahren hinter PhaaS ist recht einfach. Ein Angreifer kontaktiert das Unternehmen, das diesen Dienst anbietet, und bezahlt einen Angreifer dafür, eine Phishing-Kampagne gegen eine beliebige Person zu erstellen und einzusetzen. Zu den Vorteilen des Dienstes gehören fehlerhafte Anmeldeseiten, das Hosten von Websites und Mittel zum Aufbewahren und Verteilen gestohlener Anmeldedaten.
Das erste bekannte Unternehmen, das PhaaS anbot, war BulletProofLink, ein nicht ganz legales Unternehmen, das im Jahr 2020 entdeckt und öffentlich bekannt gemacht wurde. Seitdem haben die Untersuchungen von Microsoft in der Welt des Phishing as a Service ergeben, dass der Dienst des Unternehmens für einen großen Teil der Phishing-Angriffe im modernen Cyberspace verantwortlich ist.
Ist PhaaS eine Straftat?
Phishing an sich ist natürlich illegal. Der Akt des Phishings nach personenbezogenen Daten unter dem Deckmantel einer anderen Person fällt unter Identitätsdiebstahl. Außerdem wird jede Absicht, Informationen ohne das Wissen und die Einwilligung der anderen Partei zu erlangen, als kriminell angesehen. Diese Betrügereien waren schon immer illegal und werden es auch in Zukunft bleiben.
Das Anbieten von Phishing als kostenpflichtige Dienstleistung trägt nur dazu bei, den Dschungel krimineller Aktivitäten zu vergrößern. Der Kauf des Dienstes stellt keineswegs sicher, dass der Kunde nicht die Verantwortung für eine Phishing-Kampagne übernimmt. Bestenfalls wird er als williger Komplize der Aktivitäten des Dienstleistungsunternehmens betrachtet. Schlimmstenfalls kann das Unternehmen versuchen, sich aus der Verantwortung zu stehlen und den Kunden mit den Konsequenzen allein zu lassen.
Ist PhaaS effizient?
PhaaS soll für potenzielle Angreifer so verlockend wie möglich sein. Insbesondere sollen Angreifer angelockt werden, die nicht wissen, wie sie ihre eigene Phishing-Kampagne einrichten sollen. Es ist genau so, wie es klingt: Phishing als Dienstleistung. Wenn Sie nicht wissen, wie Sie selbst einen Phishing-Angriff erstellen können, übernehmen die Dienstleister das für Sie.
Es handelt sich um einen erstaunlich gut organisierten Dienst, bei dem Sie die Art des Angriffs auswählen können und einen Preis oder eine Schätzung der Aufteilung der Einnahmen von betrogenen Unternehmen erhalten. In den meisten Fällen halten die Käufer diese Preise für angemessen. Schließlich brauchen sie keine Fachkenntnisse, um den Angriff selbst zu entwickeln. Dies geht so weit, dass die überwiegende Mehrheit der Phishing-Angriffe von solchen Dienstleistern durchgeführt wird.
Beispiele für Phishing as a Service
Microsoft hat mehrere Jahre damit verbracht, die Welt des Phishing as a Service zu untersuchen. In dieser Zeit hat das Unternehmen mit Erstaunen festgestellt, wie viele bekannte Fälle von groß angelegten Phishing-Angriffen wahrscheinlich auf das Konto von PhaaS-Unternehmen gehen.
Der Angriff auf Cabarrus County in den Vereinigten Staaten (der die Opfer insgesamt rund 1,7 Mio. USD kostete) war sehr wahrscheinlich mit einer dieser großen Phishing-Organisationen verbunden. Oder, in jüngerer Zeit, der Angriff auf die Richterin und Star der Show Shark Tank, Barbara Corcoran. Sie wurde von jemandem, der sich als ihr Assistent ausgab, um fast 400.000 Dollar betrogen. Es wird vermutet, dass er diese Dienstleistungen zur Durchführung seines Angriffs genutzt hat.
Warum ist es gefährlich für Ihr Unternehmen?
Es ist klar, warum dies eine Bedrohung für Ihr eigenes Unternehmen darstellen könnte. Mehr Zugang zu Phishing-Methoden in der Welt bedeutet natürlich auch mehr Phishing. Mehr Hacker und Bedrohungen in der Cyberwelt sind nie eine gute Sache für Ihr Unternehmen, und dieses „Phishing as a Service“ hat die Einstiegshürde so weit gesenkt, dass jeder mit Daumen und fragwürdiger Moral es tun kann.
Wie kann man sich gegen PhaaS schützen?
Um diese Phishing-Angriffe zu verhindern, müssen Sie die gleichen Maßnahmen ergreifen wie bei anderen Angriffen auch. Mit etwas Glück weiß der Angreifer nicht so genau, wie er eine Phishing-Kampagne durchführen kann, aber darauf sollten Sie sich nicht verlassen. Seien Sie auf alles vorbereitet, damit Ihr Unternehmen nicht gefährdet wird.
Wir empfehlen die folgenden Maßnahmen, um das Risiko von Angriffen zu minimieren:
- Verwenden Sie ein vertrauenswürdiges VPN, um zu kontrollieren, wer die IP-Adresse Ihres Netzwerks hat.
- Verwenden Sie einen E-Mail-Schutz wie EasyDMARC, um verdächtige E-Mails zu reduzieren.
- Seien Sie vorsichtig, welche E-Mails Sie öffnen, oder verwenden Sie eine Art Sandboxing-Umgebung, um deren Inhalt sicher zu prüfen.
- Wenn Sie per E-Mail um Informationen oder Zahlungen gebeten werden, stellen Sie sicher, dass Sie diese Anfragen zuerst persönlich bestätigen.
- Verwenden Sie vertrauenswürdige, aktualisierte Antiviren-Software.
Fazit
Phishing as a Service ist leider ein weiteres Problem, mit dem sich die Unternehmen auseinandersetzen müssen. Diese neue Möglichkeit für Angreifer, sich die für eine Phishing-Kampagne benötigten Tools zu beschaffen, wird sich für Unternehmen als zunehmend problematisch erweisen. Mit Vorsicht und dem richtigen Wissen, wie man sich vor diesen Angriffen schützen kann, werden solche Phishing-Versuche jedoch keinen Erfolg haben.