Phishing | Cyberkriminalität | Angriffsvektoren
In den Tiefen des Dark Web floriert ein Markt, auf dem illegale Dienste für diejenigen angeboten werden, die bereit sind, einen Preis dafür zu zahlen. Unter den Dienstleistungen erweist sich Phishing as a Service (PhaaS) als eine besonders beliebte Maschinerie, die jedem der eine Rechnung offen hat oder sich auf illegale Weise bereichern will, Zugang zu cyberkriminellem Handwerk bietet.
Diese Angriffe stellen nicht nur eine direkte Gefahr für Einzelpersonen und Unternehmen dar, sondern untergraben auch das Vertrauen in die Online-Kommunikation. Lesen Sie in diesem Artikel, was PhaaS genau ist, wie es eingesetzt wird und allen voran – wie Sie sich schützen können.
PhaaS-Provider bieten eine Vielzahl von Dienstleistungen an, die auf die Bedürfnisse von Bedrohungsakteuren zugeschnitten sind. Von der Erstellung und Verbreitung betrügerischer E-Mails bis hin zur Verwaltung von getürkten Webseiten und Köder-Seiten bieten diese Betreiber umfassende Unterstützung, um den Betrug ahnungsloser Zielpersonen perfekt zu machen. Auf diesem illegalen Markt sind beispielsweise vorgefertigte Phishing-Seiten für bekannte Marken wie Google, Microsoft und LinkedIn leicht erhältlich. Darüber hinaus können maßgeschneiderte Phishing-Seiten in Auftrag gegeben werden, die auf bestimmte Personen oder Organisationen abzielen, um die Effektivität zu steigern.
Stellen Sie sich ein Szenario vor, in dem ein aufstrebender Cyberkrimineller versucht, Anmeldedaten und finanzielle Informationen von ahnungslosen Opfern zu erhalten. Anstatt mühsam Phishing-E-Mails zu verfassen und die Infrastruktur von Grund auf neu einzurichten, wendet er sich an einen PhaaS-Anbieter. Hier findet er eine benutzerfreundliche Plattform mit einer Vielzahl von vorgefertigten Vorlagen, die jeweils für maximale Wirksamkeit optimiert sind. Mit ein paar einfachen Klicks passt der Angreifer seine Kampagne an, wählt seine Ziele aus und startet den Angriff.
Ein alarmierendes Beispiel aus der Praxis (Lagebericht BSI 2023) ist das Auftauchen von EvilProxy, einem bösartigen Dienst, der es nicht nur auf Tech-Giganten (durch Imitation der Login-Seiten von bspw. Microsoft und Google) abgesehen hat, sondern auch auf Plattformen, die für die Softwareentwicklung und Programmiersprache wichtig sind. Hierbei handelt es sich um einen Phishing Proxy Service, bei dem zwischen Täter und Opfer eine Instanz zwischengeschaltet wird, die in der Lage ist, Cookie-Informationen zu entwenden und Code zu modifizieren.
Durch die Kompromittierung dieser Plattformen könnten Kriminelle Angriffe auf Lieferketten durchführen, die zur Verbreitung von bösartigem Code und zum Diebstahl sensibler Informationen führen.
Trotz der Fortschritte im Bereich der IT-Sicherheit bleibt Phishing eine anhaltende Bedrohung, wobei PhaaS den Zugang zu ausgefeilten Angriffsvektoren erleichtert hat. Neben dem traditionellen E-Mail-basierten Phishing nutzen Cyberkriminelle auch soziale Medien, SMS und Sprachanrufe und variieren ihre Taktiken, um Erfolg zu garantieren.
Auch der Künstlichen Intelligenz (KI) wird sich in diesem Kontext zunehmend bedient. Das Verfassen überzeugender E-Mails und die Personalisierung von Nachrichten wird automatisiert und die Erkennung durch ausgeklügelte Techniken umgangen. KI-Algorithmen analysieren riesige Datensätze, um Phishing-Kampagnen anzupassen, Schreibstile zu imitieren und sogar gefälschte Audio- oder Videodateien zu erzeugen, um Zielpersonen zu täuschen. Auf diese Weise können Angreifer ihre Operationen skalieren, die Erfolgsquoten erhöhen und herkömmliche Sicherheitsmaßnahmen umgehen.
Als Reaktion auf die sich entwickelnde Bedrohungslandschaft müssen Organisationen und Einzelpersonen gleichermaßen wachsam und proaktiv bleiben. Aufklärungs- und Sensibilisierungsinitiativen spielen eine entscheidende Rolle, wenn es darum geht, Nutzende in die Lage zu versetzen, Phishing-Versuche zu erkennen und effektiv darauf zu reagieren.
Darüber hinaus kann der Einsatz von fortschrittlichen E-Mail-Filterlösungen dazu beitragen, Phishing-E-Mails abzufangen und zu neutralisieren, bevor sie ihr eigentliches Ziel erreichen. Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Verteidigungsstufe, die vor dem Abgreifen von Zugangsinformationen schützen kann.
Unser Whitepaper zum Schutz vor Phishing, klärt Sie über die wirkungsvollsten Maßnahmen auf.
Phishing as a Service stellt eine gewaltige Herausforderung im laufenden Kampf gegen Cybebedrohungen dar. Während 2018 weltweit noch knapp 150.000 Phishing-Login Seiten als Ziele kursieren, waren es 2023 knapp 1.300.000 (Statista).
Wenn die Mechanismen und die Weiterentwicklung der Bedrohung jedoch verstanden werden, der weit verbreitete Einfluss erkannt wird und proaktive Sicherheitsmaßnahmen ergriffen werden, kann die Gegenwehr erfolgreich gestärkt werden und Auswirkungen können gemildert werden. Heute mehr denn je gilt es, eine sicherere digitale Landschaft für alle zu schaffen.
Phishing | Cybercrime | Attack vectors
In the depths of the dark web, a market is flourishing where illegal services are offered to those willing to pay for them. Among these services, Phishing as a Service (PhaaS) is proving to be a particularly popular mechanism, offering access to cybercriminal tools to anyone who has a score to settle or wants to enrich themselves illegally.
These attacks not only pose a direct threat to individuals and businesses, but also undermine trust in online communication. Read this article to find out exactly what PhaaS is, how it is used and, most importantly, how you can protect yourself.
PhaaS providers offer a variety of services tailored to the needs of threat actors. From creating and distributing fraudulent emails to managing fake websites and bait pages, these operators offer comprehensive support to perfect the deception of unsuspecting targets. For example, ready-made phishing pages for well-known brands such as Google, Microsoft and LinkedIn are readily available on this illegal market. In addition, customised phishing pages can be commissioned to target specific individuals or organisations in order to increase effectiveness.
Imagine a scenario in which an aspiring cybercriminal is trying to obtain login credentials and financial information from unsuspecting victims. Instead of laboriously writing phishing emails and setting up the infrastructure from scratch, they turn to a PhaaS provider. Here, they find a user-friendly platform with a variety of ready-made templates, each optimised for maximum effectiveness. With a few simple clicks, the attacker customises their campaign, selects their targets and launches the attack.
An alarming real-life example (BSI Situation Report 2023) is the emergence of EvilProxy, a malicious service that targets not only tech giants (by imitating the login pages of Microsoft and Google, for example) but also platforms that are important for software development and programming languages. This is a phishing proxy service that inserts an intermediary between the perpetrator and the victim that is capable of stealing cookie information and modifying code.
By compromising these platforms, criminals could carry out attacks on supply chains, leading to the spread of malicious code and the theft of sensitive information.
Despite advances in IT security, phishing remains a persistent threat, with PhaaS facilitating access to sophisticated attack vectors. In addition to traditional email-based phishing, cybercriminals also use social media, SMS and voice calls and vary their tactics to ensure success.
Artificial intelligence (AI) is also increasingly being used in this context. The writing of convincing emails and the personalisation of messages is being automated and detection is being circumvented by sophisticated techniques. AI algorithms analyse huge data sets to tailor phishing campaigns, imitate writing styles and even generate fake audio or video files to deceive targets. This allows attackers to scale their operations, increase success rates and circumvent traditional security measures.
In response to the evolving threat landscape, organisations and individuals alike must remain vigilant and proactive. Education and awareness initiatives play a critical role in empowering users to recognise and respond effectively to phishing attempts.
In addition, the use of advanced email filtering solutions can help intercept and neutralise phishing emails before they reach their intended target. Multi-factor authentication (MFA) provides an additional layer of defence that can protect against the theft of access information.
Our white paper on phishing protection explains the most effective measures you can take.
Phishing as a service poses a formidable challenge in the ongoing battle against cyber threats. While there were just under 150,000 phishing login pages circulating worldwide in 2018, this figure rose to almost 1,300,000 in 2023 (Statista).
However, by understanding the mechanisms and evolution of the threat, recognising its widespread impact and taking proactive security measures, defences can be successfully strengthened and the impact mitigated. Today more than ever, it is essential to create a more secure digital landscape for everyone.