Phishing

Phishers’ Favorites: Microsoft hält seinen ersten Platz, aber Facebook-Phishing nimmt zu

Claire Arnoux

22. August 2019

7 min

Heute haben wir die Phishers' Favorites-Liste für das 2. Quartal 2019 veröffentlicht. In dieser fünften Ausgabe präsentieren die Phishers' Favorites die 25 in Phishing-Angriffen am häufigsten nachgeahmten Marken, basierend auf der Anzahl der eindeutigen Phishing-URLs, die von Vade Secure innerhalb des Quartals erkannt wurden.

 

Microsoft bleibt im fünften Quartal in Folge das beliebteste Phishing-Ziel

Microsoft führt auch im 2. Quartal die Liste der Phishers' Favorites an — eine zweifelhafte Ehre, die dem Unternehmen in jedem unserer fünf Berichte zuteil kam. Im Laufe des Quartals entdeckte unsere KI-Engine atemberaubende 20.217 eindeutige Microsoft-Phishing-URLs, das ist ein Durchschnitt von 222 pro Tag! Während die Anzahl der URLs im Vergleich zum 1. Quartal tatsächlich um 6,8 % abnahm, so stellt sie doch eine Steigerung von 15,5 % im Vergleich zu Q2 2018 und unserem ersten Phishers' Favorites-Bericht dar. Darüber hinaus betrug das Delta zwischen Microsoft und der Nummer 2, PayPal, mehr als 4.300 Phishing-URLs in Q2.

Um zu verstehen, warum Microsoft-Phishing eine so nachhaltige Dominanz hat, müssen wir uns Größe und Wachstum von Office 365 anschauen. In seinem neusten Quartalsergebnis meldet Microsoft mehr als 180 Millionen aktive, geschäftliche Office 365-Benutzer im Monat. IDC schätzt darüber hinaus, dass Office 365 fast die Hälfte der geschäftlichen Cloud-E-Mail-Implementierungen (47,6 %) weltweit darstellt. Je größer Office 365 wird, umso interessanter wird es als Ziel für die Hacker.

Aber Größe ist nur die eine Seite der Medaille. Microsofts Beliebtheit bei Phishern hat auch mit den lukrativen Office 365-Anmeldedaten zu tun. Diese Anmeldedaten sind ein einzigartiges Zugangstor zur vollständigen Office 365-Plattform, einschließlich der Global Address List (GAL) des Unternehmens, aber auch zu Dokumenten, Informationen und Kontakten, die in SharePoint, OneDrive, Skype usw. gespeichert sind. Darüber hinaus werden kompromittierte Office 365-Konten zunehmend für den Versand von Spear-Phishing-E-Mails an andere Mitarbeiter oder Partner des betroffenen Unternehmens verwendet.

Wir sehen auch weiterhin vielerlei verschiedenartige Office 365-Phishing-Angriffe, zum Beispiel die Behauptung, dass ein Konto gesperrt ist, und Links zu OneDrive-/SharePoint-Dokumenten, Anrufbeantworter-Aufzeichnungen und sogar Faxen. Kürzlich fanden wir Beispiele, in denen kostenlose Online-Tools wie Typeform (siehe Bildschirmausdruck unten) genutzt wurden, um falsche Formulare zum Sammeln von Anmeldedaten zu erstellen. Wir haben auch E-Mails mit exotischen Zeichensätzen gesehen — wie (russisches) Kyrillisch in der Betreffzeile: „Ihr Office 365 wird gesperrt“ —, um grundlegende Content-Filter zu umgehen, die genau nach „Office 365“ suchen.

Zusätzlich dazu holen sich Phisher weiterhin JavaScript, CSS und andere Ressourcen von der legitimen Microsoft-Website. Diese Technik schafft nicht nur eine identische Benutzererfahrung, sie führt auch dazu, dass diese Ressourcen nicht aktualisiert werden müssen, und sie beschleunigt das Laden der Website, da die Ressourcen in einem schnellen CDN gespeichert sind.

PayPal hält seinen 2. Platz, trotz einer Abnahme an Phishing-URLs um 8,4 %

PayPal hält im 2. Quartal seinen 2. Platz, trotz einer Abnahme an Phishing-URLs um 8,4 % im Vergleich zu Q1. Im Vergleich zu Q2 2018 stieg das PayPal-Phishing jedoch um 111,9 % innerhalb des Jahres (YoY). 

PayPal ist schon lange ein Lieblingsziel für Phisher, denn es ist der am weitesten verbreitete Online-Zahlungsdienst der Welt und hatte in Q1 mehr als 277 Millionen aktive Benutzer. Aufgrund der Art dieser Konten kann sich das Sammeln der PayPal-Anmeldedaten für die Phisher sofort auszahlen.

In PayPal-Phishing-E-Mails wird üblicherweise behauptet, dass das Konto des Empfängers gesperrt oder zeitweilig ausgesetzt ist. Er wird aufgefordert, eine gefälschte Seite zu besuchen, um das Konto zu „bestätigen“ oder „wiederherzustellen“. Vade entdeckte zum Beispiel vor kurzem eine Phishing-E-Mail mit dem Betreff „Ihr Konto wurde deaktiviert, bitte prüfen.“ Der Display-Name des Absenders lautete „PayPal security“, aber der Phisher verwendete eine lange E-Mailadresse (no-reply-support-team_._@ewrtdrf.com), wahrscheinlich, um die Domain zu verschleiern. Was an diesem Angriff ebenfalls interessant war, war die Tatsache, dass die E-Mail 28 saubere Links zu einer beliebigen Website (Vivid Seats) plus die eine Phishing-URL enthielt. Die Phisher versuchen, den Empfänger zu verwirren, der, nachdem er gesehen hat, dass die ersten paar URLs in der E-Mail zu einer vertrauten Website führen, weniger wachsam ist und die bösartige URL am Ende nicht mehr erkennt.

Eine Variation dieses Scams machte Anfang April seine Runden, er begann mit einer SMS statt mit einer E-Mail. In der SMS wurde angegeben, dass das Kundenkonto geprüft wird, und der Empfänger wurde gebeten, ein Formular auszufüllen, um eine Sperrung zu vermeiden. Es wurde ein bit.ly-Link verwendet, um die bösartige Domain zu verstecken.

Facebook-Phishing steigt im zweiten Quartal auf Platz Nr. 3

Nach drei Quartalen Rückgang von Q2 bis Q4 2018 befindet sich Facebook 2019 mit einem dreistelligen Anstieg der Anzahl an Phishing-URLs in Q1 (155,5 %) und Q2 (175,8 %) und einem YoY-Wachstum von 176,1 % im Aufwind. Dieses beachtliche Wachstum katapultierte die sozialen Medien auf Platz Nr. 3 unserer Liste.

Eine plausible Erklärung wäre die intensivere Nutzung von Anmeldemöglichkeiten über die sozialen Netze unter Verwendung von Facebook-Konten, eine Funktion mit der Bezeichnung Facebook Login. Mit einem Satz Facebook-Anmeldedaten können Phisher sehen, welche anderen Apps ein Nutzer per Social Sign-On autorisiert hat — um dann diese Konten zu knacken!

Phishers nutzen die Verbreitung von Facebook Login, um kreative Phishing-Angriffe zu starten. Ein oft gemeldeter Angriff reproduzierte eine Social-Login-Aufforderung in einem HTML-Block. Statusleiste, Navigationsleiste, Schattierungen und Inhalte waren perfekt imitiert worden und sahen genauso aus wie die rechtmäßige Anmelde-Aufforderung.

Eine ähnliche Facebook-Phishing-Kampage im März visierte Apple iOS-Benutzer an, die auf eine bösartige Seite geführt und gebeten wurden, sich mit einem Facebook Login zu authentifizieren. Nach Anklicken der Schaltfläche „Mit Facebook anmelden“ sah der Benutzer etwas, was wie eine iOS-Eingabeaufforderung aussah, tatsächlich jedoch ein Bild des HTML-Dokuments war. Ein anderer intelligenter Trick bestand darin, eine Videoaufzeichnung zu verwenden, um die Benutzer fälschlicherweise glauben zu lassen, dass der Browser zwischen Registerkarten wechselte, nachdem sie ihre Absicht bestätigt hatten, sich anzumelden.

Die restlichen Top 10: Amazon schießt 15 Punkte nach oben auf Platz Nr. 8

Netflix fiel einen Platz ab auf Nr. 4 in unserem Q2-Bericht, trotz einer bescheidenen Steigerung der Phishing-URLs um 8,2 %. Die Bank of America behielt den Platz Nr. 5, Apple stieg um zwei Plätze auf Nr. 6 und CIBC um drei Plätze auf Nr. 7. Amazon machte den größten Sprung in den Top 10 und schoss 15 Plätze nach oben auf Nr. 8. DHL fiel um zwei Plätze auf Nr. 9 und DocuSign stieg einen Platz auf und erreichte die Top 10.

Wenn man sich Amazon genauer ansieht, dann erkennt man, dass die Anzahl an Amazon-Phishing-URLs im Vergleich zu Q1 um 182,6 % und im Vergleich zum Vorjahr um erstaunliche 411,5 % angestiegen ist. Besonders am 5. Mai gab es mit 84 eindeutigen URLs einen Phishing-Höhepunkt bei Amazon. Dies fällt mit Berichten über ein neues Amazon-Phishing-Kit zusammen, das einige Ähnlichkeiten zum 16shop-Phishing-Kit hat, das Ende 2018 die Apple-Benutzer anging.

Amazon beobachtete am 19. Juni einen kleineren, dennoch aber bedeutungsvollen Anstieg der Phishing-URLs, direkt, nachdem das Unternehmen das Datum für den Prime Day 2019 verkündet hatte. Das überrascht nicht, denn Phisher betten ihre Angriffe oft in die Menge der Marketingnachrichten ein, die solch große Ereignisse begleiten, denn sie hoffen, dass ihre Opfer dann weniger wachsam sind.

Im Allgemeinen gibt es im Gegensatz zu anderen Marken eine viel größere Vielfalt an Amazon Phishing-E-Mails. Hier nur ein paar der Betreffzeilen, die wir vor kurzem finden konnten:

  • Herzlichen Glückwunsch zu Ihrem Amazon-Treue-Gutschein Nr. 96-651
  • Eine neue Überraschung von Amazon
  • Eine besondere Überraschung von Amazon
  • Vergessen Sie nicht, Ihr exklusives Produkt einzufordern
  • Lösen Sie Ihre Amazon-Karte bis heute Abend ein Nr. 25-139
  • Prime-Mitglied: Amazon-Bestellnr. C580148 holen Sie sich Ihre Amazon-Belohnung, bevor sie in 12 Stunden verfällt
  • Prime-Mitglied: Bestätigen Sie Ihre Amazon-Belohnung für Prime Day
  • Ihre Belohnung Nr. AM719XB wartet - fordern Sie sie jetzt ein!
  • Herzlichen Glückwunsch zu Ihrem Amazon-Treue-Gutschein!

Die Cloud repräsentiert weiterhin die meisten Phishing-URLs, aber die sozialen Medien verzeichnen den größten Anstieg

Was die Branchen-Zusammensetzung anbelangt, so hat sich die Phishers' Favorites-Liste in Q2 leicht verändert. Strip und Alibaba erreichten die Top 25, sodass sich hier nun acht Finanzdienstleister und vier E-Commerce-/Logistik-Unternehmen befinden. Instagram und Impots verließen derweil die Liste, sodass zwei Unternehmen aus den sozialen Medien verbleiben; es sind keine Behörden mehr vertreten. Der Neuzugang von OVH wurde durch die Abwanderung von NBC kompensiert, sodass die Kategorie Internet/Telekommunikation weiterhin fünf Unternehmen umfasst, während es keine Änderungen für die Cloud (6) gibt.

Gemessen am Anteil an den gesamten Phishing-URLs belegt die Cloud im fünften Quartal in Folge mit 37,6 % den ersten Platz, gefolgt von Finanzdienstleistungen (33,1 %), sozialen Medien (15,6 %), E-Commerce/Logistik (7,7 %) und Internet/Telekommunikation (5,2 %). Cloud-Phishings insgesamt ist jedoch weiterhin rückläufig und sank von 49,6 % im vierten Quartal 2018 auf 42 % im ersten Quartal 2019 und 37,6 % in diesem Quartal.

Im Hinblick auf das Wachstum im Quartalsvergleich (QoQ) waren die sozialen Medien erneut die Kategorie mit der größten Bewegung. Das Wachstum der Phishing-URLs in den sozialen Medien hat sich von 74,7 % in Q1 auf kolossale 130,7 % in Q2 beschleunigt. Dies ist allein dem Anstieg des Facebook-Phishings zu verdanken, da die einzige andere soziale Marke (Nr. 19 LinkedIn) einen Rückgang der Phishing URLs um 12,5 % verzeichnete.

Auch E-Commerce/Logistik verzeichnete ein starkes QoQ-Wachstum von 28,4 %, während Finanzdienstleistungen und Cloud magere 4,1 % bzw. 0,1 % verbuchten. Das Phishing bei Regierungsbehörden nahm um 12,1 % ab und Phishing im Bereich Internet/Telekommunikation fiel in Q2 um 16,8 %.

Fast 80 % der Phishing-Angriffe finden an Werktagen statt, Dienstag und Mittwoch sind die Top-Tage

Insgesamt wurden 79,8 % der Phishing-E-Mails im 2. Quartal an Wochentagen versendet. Die beliebtesten Tage für Phishing-Angriffe haben sich von Montag und Dienstag im 1. Quartal auf Dienstag und Mittwoch im 2. Quartal verlagert. Die drei Tage mit mittelstarkem Phishing-Aufkommen waren Montag, Donnerstag und Freitag, die ruhigsten Phishing-Tage waren Samstag und Sonntag.

Wenn man sich die einzelnen Marken anschaut, dann trat Microsoft-Phishing dienstags und donnerstags am häufigsten auf, genauso wie in den vergangenen Quartalen, während es an den Wochenenden praktisch nicht existierte. Microsoft war an 71 % der 91 Werktage im zweiten Quartal die Nummer eins unter den Phishing-Marken, gefolgt von Facebook (18 %) und PayPal (11 %), was Microsofts Dominanz im Hinblick auf Phishing-Angriffe noch weiter illustriert. Angesichts der Konzentration auf Office 365-Phishing versuchen die Hacker also, Angestellte, die in der Woche im Büro sind und aktiv mit E-Mails arbeiten, auszunutzen, um ihre Erfolgsaussichten zu verbessern.

PayPal-Phishing-Angriffe wurden am häufigsten montags und freitags getätigt. Interessanter Weise war PayPal die am häufigsten ge-phishte Marke an 54 % der Wochenendtage. Facebook-Phishing war am aktivsten mittwochs und freitags, Netflix montags und mittwochs und Bank of America dienstags und donnerstags. Der größte Außenseiter in den Top 10 war CIBC-Phishing, das samstags und sonntags in Q2 seinen Höhepunkt fand. Wie wir bereits in der Vergangenheit berichteten, gehen Phisher die Bankkunden oft an Wochenenden an, wenn Zweigstellen und Kundendienst geschlossen sind. Damit wird es schwerer zu prüfen, ob die Anfrage legitim ist.

MSPs: Verwenden Sie Phishers’ Favorites, um Ihre Kunden zu informieren und zu schützen

Für MSPs stellen die Phishers' Favorites einen wertvollen Datenschatz dar, mit dem Sie Ihre Kunden über die dynamische Bedrohungslandschaft und ihre kontinuierliche Entwicklung informieren können. Sie können aufzeigen, welche Marken im Hinblick auf Phishing auf dem Vormarsch sind und aktuelle Angriffsbeispiele aufzeigen. Letztendlich könnte dies eine Gelegenheit bieten, die bestehenden E-Mail-Sicherheitskontrollen des Kunden neu zu bewerten und eine Lösung wie Vade Secure für Office 365 zu positionieren, um den nativen Schutz von Office 365 durch KI-basierte Bedrohungserkennung und automatische Korrektur zu ergänzen.