Cyberkriminelle arbeiten mittlerweile zusammen, einer bietet die Plattform, der andere, welcher nicht zwingend technisches Verständnis benötigt nutzt diese Dienstleistung, um seine ganz eigene Phishing-Kampagne zu installieren. Dazu muss er lediglich wissen, wie man eine Pizza online bestellt.
Autor: Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Bereits seit einiger Zeit ist ein Phishing-Kit-Vertriebsnetz, welches auch unter dem Namen „16Shop“ bekannt ist im Internet zu finden. Es handelt sich um eine Plattform, welche automatisierte Phishing-Kampagnen per Knopfdruck ermöglicht. Ihre Funktionsweise ist vergleichbar mit dem „Software-as-a-Service“-Ansatz (SaaS), in diesem Fall ist es allerdings das „Malware-as-a-Service“-Modell. Benutzer können Kits kaufen und erhalten eine Lizenz für den kostenpflichtigen Vertrieb. Zusätzlich werden ihnen Installations- und Abbruchanweisungen, Leistungen für Updates und Zugang zu Portalen, auf welchen weitere Kits erhältlich sind, zur Verfügung gestellt. Teilweise existieren sogar Live-Support, Social-Media-Kanäle und E-Mail-Adressen, was auf den professionellen Charakter des „Shops“ hinweist.
16Shop wird der „indonesischen Cyber-Armee“ zugeschrieben. Zunächst zielten sie lediglich auf Apple, ehe sie auch Amazon kurz vor dem Prime-Day 2019 angriffen. Seit Januar 2020 ist nun ein Kit für den Online-Services PayPal verfügbar, welches sich an dessen Kunden richtet und eine Vielzahl finanzieller und persönlicher Informationen von Benutzern sammelt, indem sie eine Phishing-Kampagne vollautomatisiert. Unter Online-Käufern machte die Bezahlung via PayPal im Jahr 2018 mit einem Marktanteil von 20,5 Prozent aus. Damit belegt das Unternehmen den zweiten Platz der in Deutschland verwendeten Zahlungsmittel in Onlineshops.
Eine besondere Funktion des Kit-Anbieters ist es, automatische Crawler für Sicherheitsanbieter zu blockieren. Die neueste Version, welche auch im Fall von PayPal zum Einsatz kommt, verfügt über drei Anti-Bot- und Anti-Indizierungsfunktionen. Die erste ist eine einfache schwarze Liste mit einer Datei namens blacklist.dat, die der Sicherheit dient. Zweitens verwenden sie eine Open-Source-Anti-Crawling-Bibliothek namens CrawlerDetect. Die Macher von 16Shop versuchen so viele Sicherheitsscanner und Indexierungsmaschinen sowie IP-Adressen von Sicherheitsfirmen wie möglich zu blocken, denn je schneller diese automatisierten Tools Phishing-Websites aufdecken, desto schneller werden diese abgeschaltet. Zuletzt verfügt 16Shop über ein Digital Rights Management (DRM), das die Anzahl der Einträge pro Kit begrenzt, es sei denn, der Kunde kauft zusätzliche Slots.
Das PayPal-Kit ist mit den vorherigen von Apple und Amazon vergleichbar. Seine Funktionen zielen darauf ab, so viele persönlich identifizierbaren Informationen (PII) wie möglich zu stehlen. Ähnlich dem SaaS-Produkt sind Benutzerfreundlichkeit und Dashboard-Analysen der Schlüssel zum Erfolg. Das 16Shop-Kit-Panel ist professionell gestaltet, mit reaktiven Elementen und Datenaktualisierung in Echtzeit. Egal, ob es sich um gesammelte Login-Daten, E-Mails, Kreditkarten, Bots oder Klicks handelt, die Kit-Betreiber können ihren Erfolg schnell und effizient belegen.
Cyberkriminalität für Dummies – Wer zahlt wird zum Phishing eingeladen
Das Ziel der Macher der Phishing-Kits ist es, auch weniger technisch-affinen Personen das Betreiben von Phishing-Websites zu ermöglichen, ohne die zugrundeliegenden Protokolle hinter der Verwaltung der Infrastruktur verstehen zu müssen. Dieses Kit vereint zusätzlich Dashboard-Funktionen unabhängig von der Betrugsseite, die ein Betreiber kauft. Gestohlene Informationen werden über SMTP in einen vom Angreifer kontrollierten E-Mail-Posteingang exfiltriert. Mit dem Kit wird grundsätzlich versucht, so viele Informationen wie möglich zu sammeln, einschließlich länderspezifischer PII.
Phishing-Kits werden immer populärer, da sie eine Umgebung ermöglichen, welche durch technische Cyberkriminelle gehostet werden und die Zugangsbarrieren für weniger technisch-affine Personen zu Phishing-Seiten öffnet. Die Betreiber verwenden SaaS-Marketing-Taktiken, um ihr Produkt zu bewerben, zu verkaufen, zu implementieren, zu warten und zu aktualisieren. Besonders versiert ist 16Shop im Einsatz von Anti-Bot-Funktionen, um ihre Lizensierung aufrechtzuerhalten.
Phishing-Kits wie 16Shop senken die Eintrittsbarriere für kriminelle Aktivitäten erheblich, was es wahrscheinlicher macht, dass Mitarbeiter von Unternehmen auf ausgeklügelte Phishing-Websites treffen werden. Um sich gegen solche Attacken, meist ausgelöst durch Phishing, zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen, regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei, bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.
Weitere Artikel
KnowBe4 veröffentlicht Benchmark-Studie: Mitarbeiter als größte Risiko für Unternehmen
250 Millionen E-Mailkonten geknackt: TrickBooster – Malware-Variante von TrickBot entdeckt
Tippverhalten-basierte Sicherheitslösung kompromittiert
KnowBe4 veröffentlicht die Top 10 Phishing Betreffzeilen aus dem 4. Quartal 2018