Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Umfangreiche Phishing-Kampagnen, bei dem die Betrüger gefälschte Domains beanspruchen und sich als Top Mode oder Schuh-Marken ausgeben, werden als Imitations-Phishing bezeichnet. Durch die Käufe, die die Nutzer versuchen auf eben diesen Seiten zu tätigen, sammeln die Betrüger eine Menge an persönlichen Daten und Bankinformationen. Die Opfer sind also nicht einem gezielten Angriff ausgesetzt, sondern tappen selbst aus Nachsicht in die Falle.
Erst kürzlich wurde von Bolster, einem Anbieter von Internet-Sicherheitsüberwachung eine einjährige Imitations-Phishing Kampagne aufgedeckt. Diese beinhaltete über 100 bekannte Marken aus der Schuh- und Bekleidungsindustrie wie Nike, Guess, Fossil, Tommy Hilfiger, Skechers und vielen anderen. Mithilfe von über 3.000 gefälschten aktiven Domains haben sich die Betrüger als diese Marken ausgegeben. Die Webseiten sind fast identische Gegenstücke zum Original, sodass es für die Cyberkriminellen ein leichtes ist, Opfer davon zu überzeugen, dass sie sich auf der richtigen Seite befinden. Verbraucher geben tatsächlich ihre Daten dort ein, weil sie etwas bestellen möchten. Mitarbeiter werden am Arbeitsplatz jedoch genauso zum Opfer dieser Strategie.
Der einfachste Weg die „Zielgruppe“ auf die imitierte Seite zu locken ist über „normales“ Phishing. Egal ob durch Werbung oder eine persönliche Phishing-Nachricht an den Benutzer, beispielsweise dass das Passwort erneuert, oder Daten aktualisiert werden müssten. Der einzige Aufwand, den die Betrüger dabei betreiben müssen, ist die Zeit zu investieren, ihre Fake-Webseiten so echt und seriös wie möglich aussehen zu lassen.
Und selbst das wird ihnen jetzt erleichtert: Mithilfe von generativer KI. Die Technologie hat in den letzten Jahren und vor allem Monaten extreme Fortschritte gemacht. Problematischer wird es, wenn die KI-Ergebnisse zur Falschinformation des Nutzers führen z. B. falsche Zitate oder wissenschaftlich klingende Aussagen. Noch ist aber meist erkennbar, was von KI und was von Menschenhand geschaffen wurde. Vor allem bei Bildern und komplizierten Texten. Dennoch lässt sich nicht abstreiten, dass wenn die Entwicklung der KI im derzeitigen Tempo voranschreitet, bald die Grenzen stark verschwimmen werden und es nur noch Profis möglich sein wird die Unterschiede zu erkennen.
Dann wird auch Imitations-Phishing fast nicht zu durchschauen sein und es wird viele weitere dieser Kampagnen folgen. Sie sind letztlich nicht zu verhindern, deshalb werden Security Awareness Trainings und ein wachsames Auge in Zukunft der einzige Schutz für Nutzer sein. Unternehmen sollten darüber hinaus eine Sicherheitskultur fördern, damit die eigenen Mitarbeiter weder auf er Arbeit noch im privaten Umfeld auf diese Betrügereien hereinfallen.
