Phishing

Phishers’ Favorites: Microsoft ist zurück auf dem 1. Platz, Datei-Phishing verbreitet sich und Banken werden genutzt, um E-Mail-Kennwörter zu sammeln

Adrien Gendre

07. Mai 2020

6 min

Heute haben wir die Phishers' Favorites-Liste für das 1. Quartal 2020 veröffentlicht. In dieser achten Ausgabe präsentieren die Phishers' Favorites die 25 in Phishing-Angriffen am häufigsten nachgeahmten Marken, basierend auf der Anzahl der eindeutigen Phishing-URLs, die von Vade Secure innerhalb des Quartals erkannt wurden. Da wir 600 Millionen Postfächer in 76 Ländern schützen, haben wir einen einzigartigen Überblick über den globalen E-Mail-Verkehr und die Phishing-Kampagnen, die sowohl auf E-Mail-Konten von Verbrauchern als auch von Firmen abzielen.

 

Vollständige Liste anzeigen

Microsoft erobert den ersten Platz von PayPal zurück, mit der doppelten Menge an Phishing-URLs

Microsoft, die Marke, die in unseren ersten fünf Phishers' Favorites-Berichten am häufigsten nachgeahmt wurde, drängte PayPal von der Spitze zurück, das diese Position in den letzten beiden Quartalen innehatte. Insgesamt entdeckte Vade im ersten Quartal doppelt so viele Phishing-URLs für Microsoft wie für die Marke auf dem zweiten Platz.

Microsoft erobert den ersten Platz von PayPal zurück, mit der doppelten Menge an Phishing-URLs

Es ist keine Überraschung, dass Microsoft nach wie vor die wichtigste Zielscheibe beim Firmen-Phishing ist. Im Oktober meldete das Unternehmen 200 Millionen geschäftliche Microsoft 365-Anwender, und die riesige Verlagerung hin zu Cloud-E-Mail und Produktivitätsplattformen beschleunigt sich aufgrund der COVID-19-Pandemie nur noch weiter. Microsoft 365-Zugangsdaten bieten Hackern zahlreiche potenzielle Auszahlungsmöglichkeiten, einschließlich des Zugriffs auf vertrauliche Unternehmensdaten und der Möglichkeit, Spear-Phishing- und Ransomware-Angriffe aus dem Inneren der Organisation durchzuführen.

Wenn es um Microsoft 365-Phishing geht, so sehen wir nach wie vor viele Phishing-Angriffe mit gemeinsam genutzten OneDrive- und SharePoint-Dateien. Im Beispiel unten gibt sich die Phishing-Seite als OneDrive aus und fordert den Benutzer auf, sich mit Microsoft 365, Outlook oder einem anderen E-Mail-Dienst anzumelden, um eine freigegebene Datei abzurufen. 

OneDrive- und SharePoint-Dateien

Ganz ähnlich wird in diesem Beispiel vorgegeben, dass es sich um ein sicheres Link zu einer SharePoint-Datei mit dem Titel „Rechnungs- und Überweisungsanzeige“ handelt. Auch hier wird der Benutzer aufgefordert, sich bei Microsoft 365 anzumelden, um auf die Datei zuzugreifen.

Microsoft 365 anzumelden

Darüber hinaus haben wir kürzlich eine Microsoft 365-Phishing-Kampagne entdeckt, die COVID-19 als Aufhänger verwendete. Die E-Mail schien vom Gesundheitsministerium (who-publichealth-covid19 (at) getyourguide (dot) com) zu kommen und enthielt den Betreff „COVID-19: Neue Fälle in Ihrer Stadt“. Nach einem Klick auf die Phishing-URL, die auf mehreren legitimen, gehackten Websites in Deutschland, Weißrussland, Spanien und der Tschechischen Republik gehostet wurde, landete der Benutzer auf der Anmeldeseite für Outlook Web Access unten.

Outlook Web Access unten

Dieser spezifische Angriff wurde an 48 Vade Secure für Microsoft 365-Kunden gesendet, aber immer nur an einen Benutzer pro Kunde. Da die Lebensdauer der Kampagne nur fünf Stunden betrug, handelte es sich um einen sehr dynamischen Kurzangriff. Zusätzlich zu den Standard-Phishing-Versuchen mit Bezug auf COVID-19 haben wir auch eine Vielzahl von Coronavirus-Phishings und anderen Betrugsversuchen gesehen, wie wir in einem kürzlich veröffentlichten Blog ausführlich beschrieben haben.

Facebook bleibt die Nummer 2, das Phishing in den sozialen Medien zielt darauf ab, andere Konten zu hacken

Der Social-Networking-Riese Facebook belegte im zweiten Quartal in Folge Platz 2 auf unserer Liste. Mit monatlich fast 2,5 Milliarden aktiven Nutzern bietet Facebook den Phishern einen riesigen Opfer-Pool.

In der Vergangenheit bestand eines der Hauptziele des Phishings in den sozialen Medien darin, Benutzerinformationen zu sammeln und dann zu versuchen, die Passwörter wiederzuverwenden, um sich in andere Online-Dienste einzuhacken. Immerhin ergab eine Google-Umfrage von 2019, dass zwei von drei Personen dasselbe Passwort für mehrere Konten verwenden.

Im Beispiel unten wird auf der angeblichen Facebook-Sicherheitssystemseite behauptet, dass die Facebook-Seite des Ziels wegen Missbrauchs gemeldet wurde und möglicherweise deaktiviert ist. Der Benutzer wird angewiesen, sein Konto zu bestätigen, um zu beweisen, dass es sich um seine Seite handelt. Besonders interessant an dieser Phishing-Seite ist, dass das Facebook-Logo und das „f“-Symbol gestreckt und verzerrt wurden. Bildmanipulation ist eine immer häufiger von Hackern angewandte Taktik, um E-Mail-Filter zu umgehen, die nur in der Lage sind, exakte Bildübereinstimmungen zu identifizieren.

Im Beispiel unten wird auf der angeblichen Facebook-Sicherheitssystemseite behaupte

Facebook macht diesen Ansatz dank seiner universellen Login-API, mit der sich Benutzer direkt von Facebook aus bei Zehntausenden von Anwendungen anmelden können, noch einfacher. Mit einem einzigen Satz aus Facebook-Anmeldedaten können Phisher auf alle Anwendungen von Drittanbietern, die der Benutzer über den „social Sign-on“ autorisiert hat, zugreifen und die dazugehörigen Konten knacken.

PayPal fällt um zwei Plätze auf Platz 3, da sich das Phishing auf KMU-Ziele verlagert

Nach zwei Quartalen gab PayPal den Titel „Phishers' Favorite“ auf und fiel damit um zwei Plätze auf Platz 3 unserer Liste zurück.

PayPal ist traditionell ein beliebtes Ziel für Phisher. Dafür gibt es zwei Gründe: eine große Nutzerbasis mit mehr als 305 Millionen aktiven Konten im 4. Quartal und eine sofortige finanzielle Auszahlung. Sobald die PayPal-Zugangsdaten gesammelt wurden, nimmt sich der Hacker einfach das Guthaben aus der Wallet und zieht weiter.

In jüngerer Zeit wurden beim PayPal-Phishing E-Mail-Benutzer in Unternehmen, insbesondere KMUs, ins Visier genommen. Im Juni 2019 kündigte PayPal die PayPal Commerce Platform an, eine digitale Handelslösung, die die Nutzer von PayPal mit 22 globalen Händlern verbindet. Die PayPal Commerce Platform bietet nicht nur Zahlungslösungen für KMUs, sondern auch eine vereinfachte Compliance, einen Schutz vor Betrug und vollständige Zahlungslösungen. Diese Expansion – und die damit einhergehende Berichterstattung in den Medien – führte zu einem sofortigen Anstieg des PayPal-Phishings.

Die übrigen Marken in den Top 10 stiegen alle in der Rangliste nach oben; eBay debütierte auf Platz 9

Die übrigen sieben Marken in unseren Top 10 stiegen alle im Vergleich zum 4. Quartal in der Rangliste. Die großen Banken Chase (Platz 4), Bank of America (Platz 5), und Crédit Agricole (Platz 6) stiegen um sieben, einen bzw. 19 Plätze. Amazon stieg um drei Plätze auf Platz 7, und Adobe (Platz 8), eBay (Platz 9) und Wells Fargo (Platz 10) legten im ersten Quartal zweistellig zu.

Bemerkenswert ist, dass eBay in unserem „Phishers' Favorites“-Bericht Einzug hielt und auf Platz 9 debütierte. eBay-Phishing hat in den letzten vier Quartalen erheblich zugenommen und den E-Commerce-Riesen in die Top 25 katapultiert. Angesichts der Art seines Geschäfts ist es allerdings fast schockierend, dass eBay nicht schon früher auftauchte.

eBay debütierte auf Platz 9

Ein häufig verwendeter eBay-Phishing-Köder ist logischerweise eine gefälschte Kaufbenachrichtigung wie im Beispiel unten. Interessant an diesem Beispiel ist auch die Phishing-URL. Beachten Sie, wie ebay.com schon früh in der URL verwendet wird, um den Benutzer davon zu überzeugen, dass es sich um die legitime eBay-Domain handelt. 

<code>https:&#47;&#47;www.ebay.com-itm.pl/1962-Airstream-Bambi-16ft-Camper-Travel-Trailer/133273902820fhash-item1f07be5ee4_g_fR0AAOSwEJZdNjGP/WQAAOSwePtdK4Gwk11/Ha9IlLaBzZzfoyJSv52t/1962</code>

eBay phishing

Datei-Phishing weitet sich über Microsoft hinaus auf Adobe und Dropbox aus

Obwohl Microsoft seit mehreren Quartalen das Hauptziel des File-Sharing-Phishings ist, haben wir beobachtet, dass sich die Hacker bei dieser Art von Angriff zunehmend auch für andere Marken ausgeben.

Dropbox ist ein offensichtliches Beispiel. Der Datei-Hosting-Service stieg im Q1 um vier Plätze auf Platz 11.

Die unten abgebildete Phishing-Seite gibt sich als Dropbox Business aus, das fortschrittlichere Angebot von Dropbox, das mehr als 300.000 Firmenkunden umfasst. Die Seite fordert den Benutzer auf, sich anzumelden, um einen Dateianhang anzuzeigen.

Die unten abgebildete Phishing-Seite gibt sich als Dropbox Business aus

Eine weitere Marke, die dem File-Sharing-Phishing-Trend zum Opfer fällt, ist Adobe, die um 12 Punkte auf Platz 8 stieg. Die Marke Adobe, die vielleicht am besten für ihre allgegenwärtigen Photoshop- und Illustrator-Anwendungen bekannt ist, bietet auch Document Cloud an, die Lösungen für die Verwaltung von PDFs und elektronischen Signaturen umfasst. Die Phisher nutzen dieses Angebot für ihre Angriffe aus.

In einem aktuellen Beispiel erhält der Empfänger eine Datei, die angeblich durch AdobeDoc® Security geschützt ist. Er wird aufgefordert, seine E-Mail-Adresse und sein Passwort einzugeben, um auf die PDF-Datei zuzugreifen.

die angeblich durch AdobeDoc® Security geschützt ist

Bedrohungsforscher bei Vade haben Phishing-Seiten gesehen, die fast identisch mit dem obigen Beispiel sind, was sie zu der Annahme veranlasst, dass diese Kampagne in hohem Maße automatisiert ist. Hacker fügen dynamisch ein Anmeldeformular für eine bestimmte Marke über dem Hintergrundbild einer unscharfen Excel-Datei ein. Auf diese Weise können sie denselben Angriff bei mehreren Marken effizient wiederverwenden, eine größere Anzahl an Zielen erreichen und potenziell mehr Geld verdienen.

Phishing bei Finanzdienstleistern dominiert weiterhin, aber das Ziel verlagert sich auf E-Mail-Passwörter

Im dritten Quartal in Folge gehörten die meisten Marken und URLs in unserem Phishers' Favorites-Bericht zu Finanzdienstleistungsunternehmen.

Die Zahl der Finanzmarken sank um zwei auf acht, aber das reichte immer noch aus, um die Cloud zu verdrängen, die sechs Marken in der Rangliste hatte. E-Commerce/Logistik hatte vier, gefolgt von Internet/Telekommunikation (3), soziale Medien (2) und Regierung (2).

Hinsichtlich des Anteils an den gesamten Phishing-URLs standen erneut die Finanzdienstleistungen mit 37 % an der Spitze. Die Cloud gewann jedoch an Boden und stieg von 24,5 % im vierten Quartal auf 29,1 % im vergangenen Quartal. An dritter Stelle standen soziale Medien mit 11,6 % der URLs, gefolgt von E-Commerce/Logistik (11,1 % ), Internet/Telekommunikation (8,6 %) und Regierung (2,8 %).

Phishing bei Finanzdienstleistern dominiert weiterhin, aber das Ziel verlagert sich auf E-Mail-Passwörter

Im letzten Quartal berichteten wir über die Zunahme des Phishings, bei dem sich die Hacker als kleinere, regionale Banken ausgeben. Dieser Trend scheint nur von kurzer Dauer gewesen zu sein. Die nachstehende Tabelle zeigt die Phishing-URLs von Desjardins und ATB Financial in den letzten fünf Quartalen. Wie Sie sehen können, sind die Phishing-Aktivitäten nach einem erheblichen Wachstum in den vergangenen zwei Quartalen im ersten Quartal 2020 deutlich zurückgegangen.

Phishing-URLs von Desjardins und ATB Financial

Stattdessen scheint der vorherrschende Trend beim Phishing von Finanzdienstleistungen darin zu bestehen, sich als Großbank auszugeben, dies jedoch nicht mit dem Ziel, auf Finanzkonten zuzugreifen, sondern vielmehr, um E-Mail-Passwörter zu erhalten. Vade hat in den letzten Wochen mehrere Varianten dieses Betrugs entdeckt, darunter Phishing-Seiten, die sich als Bank of America und Wells Fargo ausgaben. In den beiden folgenden Beispielen wird der Benutzer ausdrücklich aufgefordert, seine E-Mail-Adresse und sein E-Mail-Passwort einzugeben.

die sich als Bank of America

die sich als Wells Fargo ausgaben

Montag ist der stärkste Tag für Phishing, Donnerstag bleibt beliebt

Betrachtet man die Wochentage, so blieb der Donnerstag einer der beiden Top-Tage für Phishing, während der Montag den Freitag – den Top-Gesamttag im vierten Quartal – überholte. Dienstag, Mittwoch und Freitag waren die mittleren drei Tage, und auch am Samstag und Sonntag gab es wieder die wenigsten Phishing-E-Mails.

Montag ist der stärkste Tag für Phishing, Donnerstag bleibt beliebt

Während wir beobachtet hatten, dass der Gesamtanteil der am Wochenende versandten Phishing-E-Mails in vier aufeinanderfolgenden Quartalen leicht anstieg, kehrte sich dieser Trend im ersten Quartal des Jahres nun um. Der Prozentsatz am Wochenende fiel von 21,2 % im vierten Quartal auf 17,6 % im ersten Quartal. Das ist wahrscheinlich der Grund dafür, dass Samstag und Sonntag für die meisten Marken der Top 10 die schwächsten beiden Tage sind. Ausnahmen sind Facebook, das samstags die zweitgrößte Phishing-Menge aufweist, und Amazon, bei dem die beiden Wochenendtage zu den drei mittelstarken Tagen gehören.

MSPs: Nutzen Sie die Phishers' Favorites, um Ihre Kunden zu informieren Wie immer bieten die Phishers' Favorites eine Fülle von Daten für MSPs, um ihre Kunden über die sich entwickelnde Bedrohungslandschaft zu informieren, insbesondere im Zusammenhang mit der COVID-19-Pandemie. Wenn Ihre Kunden angesichts des Arbeitens im Home Office mehr und mehr cloud-basierte Anwendungen verwenden, erhalten sie auch unweigerlich mehr Phishing-E-Mails, in denen diese Dienste nachgeahmt werden. Darüber hinaus schafft die zusätzliche Ablenkung durch die Arbeit von zu Hause aus in dieser Zeit ein zusätzliches Risiko, was eine gute Gelegenheit zur Positionierung eines fortgeschrittenen Bedrohungsschutzes darstellten könnte.