In den Tiefen des Dark Web floriert ein Markt, auf dem illegale Dienste für diejenigen angeboten werden, die bereit sind, einen Preis dafür zu zahlen. Unter den Dienstleistungen erweist sich Phishing as a Service (PhaaS) als eine besonders beliebte Maschinerie, die jedem der eine Rechnung offen hat oder sich auf illegale Weise bereichern will, Zugang zu cyberkriminellem Handwerk bietet.
Diese Angriffe stellen nicht nur eine direkte Gefahr für Einzelpersonen und Unternehmen dar, sondern untergraben auch das Vertrauen in die Online-Kommunikation. Lesen Sie in diesem Artikel, was PhaaS genau ist, wie es eingesetzt wird und allen voran – wie Sie sich schützen können.
Das PhaaS-Ökosystem
PhaaS-Provider bieten eine Vielzahl von Dienstleistungen an, die auf die Bedürfnisse von Bedrohungsakteuren zugeschnitten sind. Von der Erstellung und Verbreitung betrügerischer E-Mails bis hin zur Verwaltung von getürkten Webseiten und Köder-Seiten bieten diese Betreiber umfassende Unterstützung, um den Betrug ahnungsloser Zielpersonen perfekt zu machen. Auf diesem illegalen Markt sind beispielsweise vorgefertigte Phishing-Seiten für bekannte Marken wie Google, Microsoft und LinkedIn leicht erhältlich. Darüber hinaus können maßgeschneiderte Phishing-Seiten in Auftrag gegeben werden, die auf bestimmte Personen oder Organisationen abzielen, um die Effektivität zu steigern.
Beispiel: PhaaS in Aktion
Stellen Sie sich ein Szenario vor, in dem ein aufstrebender Cyberkrimineller versucht, Anmeldedaten und finanzielle Informationen von ahnungslosen Opfern zu erhalten. Anstatt mühsam Phishing-E-Mails zu verfassen und die Infrastruktur von Grund auf neu einzurichten, wendet er sich an einen PhaaS-Anbieter. Hier findet er eine benutzerfreundliche Plattform mit einer Vielzahl von vorgefertigten Vorlagen, die jeweils für maximale Wirksamkeit optimiert sind. Mit ein paar einfachen Klicks passt der Angreifer seine Kampagne an, wählt seine Ziele aus und startet den Angriff.
Ein alarmierendes Beispiel aus der Praxis (Lagebericht BSI 2023) ist das Auftauchen von EvilProxy, einem bösartigen Dienst, der es nicht nur auf Tech-Giganten (durch Imitation der Login-Seiten von bspw. Microsoft und Google) abgesehen hat, sondern auch auf Plattformen, die für die Softwareentwicklung und Programmiersprache wichtig sind. Hierbei handelt es sich um einen Phishing Proxy Service, bei dem zwischen Täter und Opfer eine Instanz zwischengeschaltet wird, die in der Lage ist, Cookie-Informationen zu entwenden und Code zu modifizieren.
Durch die Kompromittierung dieser Plattformen könnten Kriminelle Angriffe auf Lieferketten durchführen, die zur Verbreitung von bösartigem Code und zum Diebstahl sensibler Informationen führen.
Bewertung der Bedrohung: Phishing im digitalen Zeitalter
Trotz der Fortschritte im Bereich der IT-Sicherheit bleibt Phishing eine anhaltende Bedrohung, wobei PhaaS den Zugang zu ausgefeilten Angriffsvektoren erleichtert hat. Neben dem traditionellen E-Mail-basierten Phishing nutzen Cyberkriminelle auch soziale Medien, SMS und Sprachanrufe und variieren ihre Taktiken, um Erfolg zu garantieren.
Auch der Künstlichen Intelligenz (KI) wird sich in diesem Kontext zunehmend bedient. Das Verfassen überzeugender E-Mails und die Personalisierung von Nachrichten wird automatisiert und die Erkennung durch ausgeklügelte Techniken umgangen. KI-Algorithmen analysieren riesige Datensätze, um Phishing-Kampagnen anzupassen, Schreibstile zu imitieren und sogar gefälschte Audio- oder Videodateien zu erzeugen, um Zielpersonen zu täuschen. Auf diese Weise können Angreifer ihre Operationen skalieren, die Erfolgsquoten erhöhen und herkömmliche Sicherheitsmaßnahmen umgehen.
Reaktion auf die Herausforderung: Es ist Zeit zum Handeln
Als Reaktion auf die sich entwickelnde Bedrohungslandschaft müssen Organisationen und Einzelpersonen gleichermaßen wachsam und proaktiv bleiben. Aufklärungs- und Sensibilisierungsinitiativen spielen eine entscheidende Rolle, wenn es darum geht, Nutzende in die Lage zu versetzen, Phishing-Versuche zu erkennen und effektiv darauf zu reagieren.
Darüber hinaus kann der Einsatz von fortschrittlichen E-Mail-Filterlösungen dazu beitragen, Phishing-E-Mails abzufangen und zu neutralisieren, bevor sie ihr eigentliches Ziel erreichen. Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Verteidigungsstufe, die vor dem Abgreifen von Zugangsinformationen schützen kann.
Unser Whitepaper zum Schutz vor Phishing, klärt Sie über die wirkungsvollsten Maßnahmen auf.
Verstärkung der Bemühungen um IT-Sicherheit
Phishing as a Service stellt eine gewaltige Herausforderung im laufenden Kampf gegen Cybebedrohungen dar. Während 2018 weltweit noch knapp 150.000 Phishing-Login Seiten als Ziele kursieren, waren es 2023 knapp 1.300.000 (Statista).
Wenn die Mechanismen und die Weiterentwicklung der Bedrohung jedoch verstanden werden, der weit verbreitete Einfluss erkannt wird und proaktive Sicherheitsmaßnahmen ergriffen werden, kann die Gegenwehr erfolgreich gestärkt werden und Auswirkungen können gemildert werden. Heute mehr denn je gilt es, eine sicherere digitale Landschaft für alle zu schaffen.