Phishing

Phishers’ Favorites: Microsoft nach fünf Quartalen von PayPal entthront

Adrien Gendre

07. November 2019

7 min

Heute haben wir die Phishers' Favorites-Liste für das 3. Quartal 2019 veröffentlicht. In dieser sechsten Ausgabe präsentieren die Phishers' Favorites die 25 in Phishing-Angriffen am häufigsten nachgeahmten Marken, basierend auf der Anzahl der eindeutigen Phishing-URLs, die von Vade Secure innerhalb des Quartals erkannt wurden.

Phishers’ Favorites: Microsoft nach fünf Quartalen von PayPal entthront

Microsoft nach fünf Quartalen von PayPal auf Platz 1 entthront

Zum ersten Mal seit Veröffentlichung der Phishers' Favorites erreichte jemand anderes als Microsoft den ersten Platz. Im 3. Quartal 2019 war PayPal die am häufigsten imitierte Marke. Der Online-Zahlungsanbieter ist sowieso immer ein beliebtes Ziel, da sich gehackte PayPal-Konten sofort auszahlen, im Jahr 2019 jedoch gab es einen deutlichen Anstieg beim PayPal-Phishing. Eindeutige PayPal-Phishing-URLs stiegen im 1. und 2. Quartal 2019 um 167,8 % bzw. 111,9 % gegenüber dem Vorjahr. Im 3. Quartal 2019 gab es mit 16.547 eindeutigen PayPal-Phishing-URLs mit durchschnittlich fast 180 pro Tag ein Wachstum von 69,6 % gegenüber dem Vorjahr (wenn auch nur ein bescheidenes QoQ-Wachstum von 4 %).

Microsoft nach fünf Quartalen von PayPal auf Platz 1 entthront

PayPal ist nach wie vor der weltweit am meisten genutzte Online-Zahlungsdienst, die Anzahl seiner aktiven Benutzerkonten stieg im 2. Quartal auf mehr als 286 Millionen. Darüber hinaus könnten zwei wichtige Initiativen, die im dritten Quartal bekanntgegeben wurden, zu seiner Attraktivität als Zielscheibe beigetragen haben, da Phisher oft versuchen, das Interesse zu nutzen, das durch Nachrichten und andere aktuelle Ereignisse generiert wird. Zunächst kündigte PayPal im Juli an, dass es eine große Rolle bei der neuen Kryptowährung Libra von Facebook spielen würde (zog sich hier später jedoch zurück). PayPal kündigte darüber hinaus auch an, dass es Xoom, die internationale Geldtransferplattform, die es 2015 erworben hatte, auf 32 Länder ausweiten würde, darunter Österreich, Frankreich, Deutschland, Italien, Spanien und Portugal.

Was spezifische Angriffe betrifft, so deckte Vade kürzlich eine laufende PayPal-Phishing-Kampagne auf, die sich an mehr als 700.000 Personen, hauptsächlich in Europa, richtet. Die E-Mails drohen mit rechtlichen Schritten, mit Betreffzeilen wie „Letzte Mahnung vor gerichtlichen Schritten“. Die Nachricht besagt, dass das Opfer eine Strafverfolgung vermeiden kann, indem es eine geringe Summe, in der Regel € 45, zahlt. Es werden mehrere Zahlungsmethoden angeboten, darunter eine Postanschrift in den Vereinigten Staaten, eine Pay-per-Call-Telefonnummer und die Online-Zahlung, die natürlich als die schnellste und billigste Option erscheinen soll. Wenn Benutzer auf das Link klicken, werden sie zu einer Reihe von URL-Abkürzungen umgeleitet, die letztendlich zu einer PayPal-Phishing-Seite führen, deren Domains auf .info, .cx und .ae enden.

In einem anderen Beispiel aus jüngster Zeit scheint die PayPal-Phishing-E-Mail eine Bestätigung für eine Zahlung an Ryanair in Höhe von GBP 356,98 zu sein. Die Nachricht, die den gespooften Anzeigenamen „service@paypal.co.uk“ hat, enthält gültige PayPal-URLs zusammen mit paypalquery@ryanair.com im Nachrichtentext. Das einzige Phishing-Link ist der mit einem Hyperlink versehene Text: „Klicken Sie hier, um diese Transaktion abzubrechen“. Natürlich ist der Empfänger, der den Kauf nicht getätigt hat, versucht, die Transaktion zu stornieren – und seine Kontodaten nur zu gerne preiszugeben!

paypal

Microsoft fällt auf Platz 2 zurück, da das Office 365-Phishing immer raffinierter wird

Wie oben erwähnt, gab Microsoft im dritten Quartal seine Krone ab und fiel auf den zweiten Platz auf unserer Liste zurück. Die 13.849 eindeutigen Microsoft-Phishing-URLs, die im dritten Quartal entdeckt wurden, sind gegenüber dem letzten Quartal um -31,5 % zurückgegangen und stellen den niedrigsten Stand seit Q1 2018 (11.178) dar.

Man kann nicht umhin, sich zu fragen, was es mit dem Rückgang auf sich hat. Könnte es sich aufgrund der Saison um einen vorübergehenden Trend handeln, da Cyberkriminelle in den Sommermonaten von Unternehmensanwendern auf Verbraucher umschwenken? Letztes Jahr zu Weihnachten nämlich konnten wir einen Rückgang der Phishing-Aktivitäten bei Microsoft beobachten – und einen Anstieg der Phishing-Aktivitäten bei Netflix, als die Unternehmensanwender in Urlaub gingen.

Mit mehr als 150 eindeutigen URLs pro Tag sind Office 365-Phishing-Angriffe immer noch weit verbreitet. Darüber hinaus haben Cyberkriminelle begonnen, ihren Schwerpunkt auf das Gestalten der E-Mails zu verlagern und verschiedene Randomisierungstechniken einzusetzen, um traditionelle Verteidigungsebenen zu durchbrechen. Bei diesem Ansatz ist es nicht unbedingt notwendig, für jede Nachricht eine eindeutige URL zu erstellen; der Phisher kann ein- und dieselbe Webseite in mehreren E-Mails wiederverwenden und das Modell wird für ihn skalierbarer.

Eine sich zurzeit neu verbreitende Randomisierungstechnik ist die Nutzung modifizierter Markenlogos in Phishing-E-Mails. Ziel ist es, Vorlagenabgleich und Eigenschafts-Matching-Algorithmen, die nur exakte Übereinstimmungen von Logos und anderen Bildern erkennen können, auszutricksen, während sie für die Empfänger weiterhin erkennbar bleiben. In der untenstehenden Microsoft-Phishing-E-Mail hat der Phisher aus diesem Grund das Microsoft-Logo auf einen blauen Hintergrund gesetzt. Glücklicherweise hat Vade eine Computer Vision Engine herausgebracht, die modifizierte Logos zusammen mit anderen Bildern, die in Phishing-Kampagnen verwendet werden – wie QR-Codes und textbasierte Bilder – genau identifizieren kann.

Die Engine wurde darauf trainiert, Bilder auf Webseiten und in E-Mails so zu betrachten, wie Menschen es tun, indem sie das Rendering anstelle des Codes analysiert. Um genau dieses Szenario zu handhaben, haben wir außerdem einen Algorithmus entwickelt, der Logos nach dem Zufallsprinzip modifiziert und auf zufällige Hintergründe setzt, um jede Art von Modifikation durch einen Hacker vorwegzunehmen.

microsoft

Ein weiterer Trend, den wir in den letzten Monaten beobachten konnten, ist eine Zunahme sowohl des Volumens als auch der Vielfalt von OneDrive-/SharePoint-Phishing. Innerhalb dieser Kategorie wird der Betrug immer raffinierter, von gefälschten Benachrichtigungen, die die Phishing-URL direkt enthalten, bis hin zu echten OneDrive-Benachrichtigung mit einer URL, die auf eine echte Datei verweist, in die die Phishing-URL dann eingebettet ist:

  • Gefälschte Dokumentbenachrichtigungen – Das folgende Beispiel ist eine gefälschte SharePoint-Benachrichtigung mit einem Phishing-Link. Die E-Mail ist sehr einfach, nutzt aber das Spoofing des Anzeigenamens (dabei wird sich als Geschäftspartner des Kunden ausgegeben, es sieht so aus, als käme die E-Mal von einer SharePoint-Adresse) und weist die typische Dringlichkeit auf („Nachricht ist in 48 Stunden nicht mehr verfügbar“).

sharepoint

  • Gehacktes Konto sendet direkt eine Phishing-URL – In diesem Beispiel stammt die E-Mail von einem gehackten Office 365-Konto und scheint ein „verschlüsseltes Dokument“ zu enthalten. Das Hyperlink scheint auf ein SharePoint-Dokument (my.sharepoint.com) zu verweisen, aber die tatsächliche URL dahinter ist völlig zufällig.

  • Legitime Benachrichtigungen für legitime Dateien mit Phishing-URLs – Eine dritte Variante nutzt die Office 365-Plattform, um legitime Benachrichtigungen mit Links zu legitimen Dokumenten zu generieren. In vielen Fällen ist die Datei selbst zwar sauber, enthält jedoch ein Link zu einer Phishing-Seite. Wir haben auch Links zu echten Dateien gesehen, die als Formular fungieren (siehe Beispiel unten), um Anmeldedaten zu erfassen.

Netflix-Phishing setzt sein stetiges Wachstum fort

In unserer Rangliste für das 3. Quartal ist Netflix um einen Platz auf Platz 3 vorgerückt. Die Anzahl der eindeutigen Netflix-Phishing-URLs, die im 3. Quartal erkannt wurden, betrug 13.562, ein Anstieg um 14,1 % im Vergleich zum vorherigen Quartal und um 73,7 % im Jahresvergleich. Tatsächlich war das Phishing bei Netflix bisher auf beispielhafte Weise beständig, mit einem QoQ-Wachstum in jedem der letzten sechs Quartale.

Netflix-Phishing setzt sein stetiges Wachstum fort

Natürlich ist das anhaltende Wachstum von Netflix eine Triebfeder für die entsprechende Zunahme von Phishing-Kampagnen.  Im dritten Quartal 2019 hatte Netflix weltweit über 158 Millionen zahlende Abonnenten und über 5,5 Millionen Testkunden. Ein weiterer Faktor könnte die Veröffentlichung von Blockbustern sein. So war beispielsweise die am 4. Juli veröffentlichte 3. Staffel von Stranger Things mit 64 Millionen Zuschauern die größte Netflix-Ausstrahlung des Jahres. Es ist nur logisch, dass Phisher die Aufregung nutzen und versuchen, die Leute zu überrumpeln.

Wie schon in den vergangenen Quartalen, sehen wir weiterhin eine große Anzahl an Netflix-Phishing-E-Mails zu angeblich gesperrten Konten oder gescheiterten Zahlungen, die sich sowohl an private als auch an geschäftliche E-Mail-Benutzer richten. In der untenstehenden Variante (auf Spanisch) führt der Link nicht zu einem Formular, sondern direkt zu einer Malware, die den Computer des Empfängers infizieren soll.

netflix

Die restlichen Top 10

Facebook fiel in unserem Q3-Bericht um einen Punkt auf Platz 4 zurück, was auf einen 20 %igen Rückgang eindeutiger Phishing-URLs zurückzuführen ist. Es scheint, dass die massive Zunahme des Facebook-Phishings, über die wir im letzten Quartal berichtet haben, begonnen hat, sich abzuflachen. 

Die Bank of America und Apple behielten die Plätze 5 und 6, obwohl die Phishing-URLs der BofA um 1 % zurückgingen, während Apple einen Zuwachs von 66,8 % verzeichnete. Chase stieg dank einer Zunahme der Phishing-URLs um 70,2 % auf Platz 7. CIBC, Amazon und DHL fielen jeweils um einen Punkt auf die Plätze 8, 9 und 10 zurück.

Beim Apple-Phishing ist ein interessantes Beispiel eine kürzlich erhaltene E-Mail, in der behauptet wird, der Empfänger habe darum gebeten, seine Apple-Daten remote zu löschen. In der Nachricht heißt es weiter: „Dies ist eine ungewöhnliche Anfrage, wir haben Maßnahmen ergriffen, um Ihre AppleID zu deaktivieren, um Missbrauch zu verhindern“. Natürlich könnte der Benutzer, der eine solche Anfrage nicht gestellt hat, eventuell dazu verleitet werden, auf „ID reaktivieren“ zu klicken, um wieder Zugang zu seinem Konto zu erhalten.

Die Finanzdienstleistungen haben 10 Marken unter den Top 25, zum ersten Mal mit den meisten Phishing-URLs

Was die Branchen-Zusammensetzung betrifft, so wurden in unseren Phishers' Favorites im dritten Quartal die Großen nur noch größer. Im zweiten Quartal hatten die Finanzdienstleistungen acht Marken unter den Top 25, im 3. Quartal kamen drei neue hinzu (Sun Trust Bank, Desjardins und BNP Paribas), eine ging (Stripe), sodass insgesamt 10 verbleiben. Die Zahl der Cloud-Unternehmen blieb konstant bei sechs. Internet/Telekommunikation (OVH), E-Commerce/Logistik (Alibaba) und Social Media (LinkedIn) verloren jeweils eine Marke und erreichten eine Gesamtmenge von vier, drei und eins. Die Finanzämter

stiegen wieder in die Top 25 auf, als Vertreter der einzigen Regierungsbehörde.

Die Finanzdienstleistungen haben 10 Marken unter den Top 25, zum ersten Mal mit den meisten Phishing-URLs

Was den Anteil der Phishing-URLs insgesamt betrifft, so endete die Serie der Cloud von fünf Quartalen in Folge an der Spitze im dritten Quartal. Zum ersten Mal belegten die Finanzdienstleistungen mit 37,9 % aller URLs den ersten Platz, dank des großen Wachstums von Chase (70,2 %), Sun Trust Bank (750,8 %), Desjardins (194,7 %), Société Générale (83,9 %) und BNP Paribas (358,2 %). Den Finanzdienstleistungen folgten die Cloud (32,6 %), die sozialen Medien (13,3 %), E-Commerce/Logistik (9,8 %) und Internet/Telekommunikation (5,1 %) sowie Regierung (1,2 %).

suntrust

In Bezug auf das Wachstum von Quartal zu Quartal (QoQ) war die Regierung mit 31,5 % Zuwachs bei Phishing-URLs der größte Mover – wenn auch auf einer viel geringeren Grundlage im Vergleich zu den anderen Branchen. E-Commerce/Logistik verzeichnete ebenfalls ein starkes QoQ-Wachstum von 21,5 %, während die Finanzdienstleistungen um 9,4 % zulegten. Bei Internet/Telekommunikation, Cloud und den sozialen Medien gingen die Phishing-URLs um 5,6 %, 17,3 % bzw. 18,6 % zurück.

Phishing an Montagen; der Mittwoch bleibt ein beliebter Tag, um phishen zu gehen

Insgesamt wurden im dritten Quartal 79,1 % der Phishing-E-Mails an Wochentagen gesendet, was einen leichten Rückgang gegenüber 79,8 % im zweiten Quartal bedeutet. Die beliebtesten Tage für Phishing-Angriffe verschoben sich leicht von Dienstag und Mittwoch im zweiten Quartal auf Montag und Mittwoch im dritten Quartal. Die mittleren drei Tage waren Dienstag, Donnerstag und Freitag. Die ruhigsten Phishing-Tage waren, und das überrascht nicht, Samstag und Sonntag.

Phishing an Montagen; der Mittwoch bleibt ein beliebter Tag, um phishen zu gehen

Betrachtet man einzelne Marken, so war der Montag bei sechs der 10 Top-Marken einer der wichtigsten beiden Tage. PayPal-Phishing war am häufigsten montags und freitags, während Microsoft montags und dienstags am weitesten verbreitet war (und an Wochenenden praktisch gar nicht vorkam). Was das Wochenende betrifft, war der Samstag nur für Facebook einer der Top-Tage, während CIBC- und Amazon-Phishing am Sonntag beliebt waren.

MSPs: Nutzen Sie die Phishers' Favorites, um Ihre Kunden zu informieren

Für Sie als MSP und Reseller stellen die Phishers' Favorites einen wertvollen Datenschatz dar, mit dem Sie Ihre Kunden über die dynamische Bedrohungslandschaft und ihre kontinuierliche Entwicklung informieren können. Letztendlich könnte dies eine Gelegenheit bieten, die bestehenden E-Mail-Sicherheitskontrollen des Kunden neu zu bewerten und eine Lösung wie Vade Secure for Office 365 zu positionieren, um den nativen Schutz von Office 365 durch KI-basierte Bedrohungserkennung und automatische Korrektur zu ergänzen.