Top-Angriffstrends: Phishing und Automatisierung

19. November 2019

Phishing ist aktuell die häufigste Methode für Angriffe auf Daten. Das zeigt F5 Labs in seinem dritten jährlichen Phishing and Fraud Report. Demnach sind die Bereiche Finanzen, Gesundheit, Bildung, gemeinnützige Organisationen und Rechnungswesen am stärksten gefährdet. Die Studie basiert auf Informationen des F5-Partners Webroot sowie des eigenen weltweiten Security Operation Center (SOC).

Gemäß der Studie von F5 Labs wird Phishing nicht mehr so saisonabhängig und vorhersehbar sein wie bisher, da die Anzahl der Bedrohungen kontinuierlich steigt. Im Vorjahr meldete das F5 SOC einen Anstieg der Phishing-Angriffe um 50 Prozent während der E-Commerce-starken Zeit zwischen Oktober und Januar. Dies ist inzwischen nicht mehr der Fall.

Laut F5 Labs stammen die Zieladressen für Phishing-E-Mails aus einer Vielzahl von Quellen. Je nach Ansatz und Intensität können diese Mails an Tausende von potenziellen Opfern oder an eine bestimmte Person versendet werden. Inzwischen haben Phishing-E-Mails dreimal häufiger einen bösartigen Link als einen Anhang. Die am häufigsten genannten Marken und Dienste sind Facebook, Microsoft Office Exchange und Apple.

Es geht um die Glaubwürdigkeit

Einer der wichtigsten Trends ist weiterhin, dass Phisher Glaubwürdigkeit vortäuschen, wobei bis zu 71 Prozent der Phishing-Websites über die Nutzung von HTTPS als legitim erscheinen. F5 Labs stellte auch fest, dass 85 Prozent der analysierten Phishing-Websites, die digitale Zertifikate verwenden, diese von einer vertrauenswürdigen Zertifizierungsstelle (CA) signieren lassen. Darüber hinaus beinhalten 21 Prozent der Zertifikate auf Phishing-Sites entweder Organization Validation (OV, 20 Prozent) oder Extended Validation (EV, 1 Prozent).

Gefälschte Phishing-Sites wurden auf einer Vielzahl von Internet-Hosts gefunden, wobei 4cn.org (2,7 Prozent), airproxyunblocked.org (2,4 Prozent), 16u0.com (1,0 Prozent) und prizeforyouhere.com (1,0 Prozent) dominierten. Zu den Top-Domains mit einzigartigen Phishing-Sites gehört blogspot.com, das für 4 Prozent aller analysierten Phishing-Fälle und 43 Prozent der Malware verantwortlich war.

Die Blogging-Plattform ermöglicht es, bösartige Inhalte auf einer bekannten Domain zu hosten, die problemlos kostenlose, OV-bewertete TLS-Zertifikate für alle ihre Websites bereitstellt. Andere häufig gefährdete Domains sind 000webhostapp.com, ebaraersc.net und .info.

Die am häufigsten vorkommenden Bestandteile in untersuchten Phishing-URLs waren .htm (19,4 Prozent),.php (7,4 Prozent), Login (3,0 Prozent) und admin (1,2 Prozent). F5 Labs beobachtete auch, dass über 7 Prozent der Malware-Websites verschlüsselte Verbindungen über nicht standardgemäße HTTPS-Ports nutzen (z.B. 8443).

Automatisierung optimiert Angriffe

Einen weiteren wichtigen Trend zeigt die steigende Zahl von Phishern, die über Automatisierung ihre Angriffe optimieren. So erhalten viele Phishing-Sites Zertifikate über Dienste wie cPanel (integriert mit Comodo CA) und LetsEncrypt. 36 Prozent der Phishing-Websites hatten Zertifikate, die nur 90 Tage gültig sind. Dies deutet darauf hin, dass Phisher eine Zertifikatsautomatisierung verwenden.

95 Prozent der analysierten Domains wurden weniger als zehnmal genutzt, 47 Prozent sogar nur einmal. Demnach automatisieren Angreifer den Aufbau einer Phishing-Site vollständig, um den Return on Investment zu maximieren. Durch Automatisierung kann ein Phisher den Kauf und die Bereitstellung von Zertifikaten in allen Domains orchestrieren. Zudem weisen viele für Phishing genutzte Zertifikate Subject Alternative Names auf, die eine mehrfache Wiederverwendung derselben Zertifikate in vielen Domains ermöglichen.

Tipps für mehr Sicherheit

F5 Labs empfiehlt, dass jede Präventionsstrategie Mitarbeiter-Schulungen sowie folgende technische Sicherheitsmaßnahmen umfasst:

  • Nutzen Sie Multifaktor-Authentifizierung (MFA). Sie verhindert, dass gestohlene Zugangsdaten an ungewöhnlichen Orten oder mit unbekannten Geräten verwendet werden.
  • Markieren Sie alle E-Mails aus externen Quellen deutlich, um Spoofing zu verhindern.
  • Setzen Sie Antivirensoftware (AV) auf jedem relevanten System ein. Meistens verhindert die AV-Software eine Malware-Installation, wenn sie auf dem neuesten Stand ist und mindestens täglich aktualisiert wird.
  • Implementieren Sie Webfilter-Lösungen. Diese verhindern, dass Nutzer versehentlich Phishing-Seiten besuchen. Wenn sie trotzdem auf einen bösartigen Link klicken, blockiert die Lösung den ausgehenden Datenverkehr.
  • Prüfen Sie den verschlüsselten Datenverkehr auf Malware. Dabei ist es wichtig, auch den internen Traffic zu entschlüsseln, bevor er an Tools zur Erkennung von Vorfällen gesendet wird.
  • Verbessern Sie das Reporting. Zu den Sicherheitsmaßnahmen sollte eine einfache Methode gehören, mit der Nutzer vermutliche Phishing-Mails markieren und an die Security-Abteilung weiterleiten können.
  • Überwachen Sie die Endpunkte. Dies ermöglicht Einblicke, welche Malware im Netzwerk aktiv ist und welche Anmeldeinformationen gefährdet sein könnten.

Ralf Sydekum ist Technical Manager DACH bei F5 Networks.

F5 Networks

Lesen Sie auch