Phishing

Phishers' Favorites Q2 2020: Microsoft ist die am meisten im Internet gefälschte Marke, COVID-19 hat das seine dazu beigetragen

Natalie Petitto

27. August 2020

6 min

Seit heute gibt es von uns den aktuellsten Phishers' Favorites-Bericht für das 2. Quartal 2020. In dieser neunten Ausgabe präsentieren wir die Phishers' Favorites der 25 am häufigsten von Identitätstäuschung im Internet betroffenen Marken, basierend auf der Anzahl der eindeutigen Phishing-URLs, die von Vade Secure innerhalb des vorhergehenden Quartals erkannt wurden. 

Wir sichern 1 Milliarde E-Mail-Postfächer in 76 Ländern und haben so einen einzigartigen Überblick über den weltweiten E-Mail-Verkehr und Phishing-Kampagnen, die auf E-Mail-Konten von Verbrauchern wie auch von Firmen abzielen.

Phishers' Favorites Q2 2020: Microsoft ist die am meisten im Internet gefälschte Marke, COVID-19 hat das seine dazu beigetragen

Microsoft ist die Nummer 1 und ist doppelt so häufig betroffen wie die Nummer 2 Facebook.

Microsoft behält den 1. Platz und fiel nur zweimal in den letzten neun Quartalen auf Platz 2 zurück. Es ist wichtig zu beachten, dass die 9.410 eindeutigen Phishing-URLs, die von Vade Secure im zweiten Quartal entdeckt wurden, nicht die Gesamtzahl der Microsoft Phishing-E-Mails darstellen, sondern die in diesen E-Mails enthaltenen eindeutigen Phishing-URLs. In vielen Fällen wird eine einzelne Phishing-URL hunderte Male in verschiedenen Phishing-Kampagnen entdeckt.

Grafik der Top-Marken
Grafik der Top-Marken

Microsofts Spitzenplatzierung in den vergangenen sieben Quartalen korreliert mit der wachsenden Zahl von Office 365-Anwendern - jetzt Microsoft 365. Bei 258 Millionen Benutzern speichert Microsoft 365 unzählige kritische Geschäfts- und Mitarbeiterdaten in SharePoint, OneDrive, Teams und zahlreichen anderen Anwendungen.

Nicht nur das, Microsoft ist auch eines der bekanntesten Unternehmen der Welt. Mit dieser Berühmtheit geht Vertrauen einher: Das Microsoft-Logo von Microsoft Office 365 oder 365 ist vor allem in der Geschäftswelt so weit verbreitet, dass Phisher andere Marken fälschen und Microsoft als Köder benutzen, der Legitimität signalisiert.

Unten findet sich ein Beispiel für den im Spiel befindlichen Vertrauensfaktor. Während die Phishing-E-Mail und die Webseite unten den echten Dropbox-Dienst nutzen, täuschen das nachfolgende Phishing-Dokument und der darin verwendete Link vor, von Microsoft versendet worden zu sein. Es ist der letzte Schritt des Phishing-Angriffs und das Bild, auf das sich der Hacker verlässt, um das Opfer zum Klicken zu verleiten.

Legitime Dropbox-E-Mail
Legitime Dropbox-E-Mail

Legitime Dropbox-Seite
Legitime Dropbox-Seite

Microsoft 365 Phishing-Dokument
Microsoft 365 Phishing-Dokument

Unten folgt ein weiteres Beispiel für einen Phisher, der sich erst später in der Sequenz den Namen Microsoft aneignet. Bei der E-Mail scheint es sich um eine Benachrichtigung vom Xerox-Scanner des Unternehmens zu handeln, die das Opfer darauf hinweist, dass ein Dokument zur Ansicht bereitsteht. Während die E-Mail selbst recht simpel ist, ist die Phishing-Seite das genaue Gegenteil.

Wie Sie unten sehen können, gibt es keinen Phishing-Link in der E-Mail - die Phishing-Seite ist ein Anhang, der es der E-Mail ermöglicht, eine Lösung zur Überprüfung auf Phishing-Links zu umgehen. Ein Microsoft 365-Formular, das mit der Firmen-E-Mail-Domäne vorausgefüllt ist, erscheint über einem unscharfen Bild eines gescannten Bildes (dem Betreff der E-Mail). Das echte Microsoft-Formular, kombiniert mit einem verlockenden Bild, schafft eine wirkungsvolle Illusion und einen starken Anreiz, das Passwort herauszugeben.

Xerox-Phishing-E-Mail
Xerox-Phishing-E-Mail

Microsoft-Phishing-Formular
Microsoft-Phishing-Formular

Die Nr. 2 Facebook ist eines von drei Social-Media-Unternehmen unter den Top 25

Facebook ist seit mehreren Quartalen unter den Phishern sehr beliebt und lag in den letzten beiden Quartalen auf Platz 2. Im 2. Quartal 2020 entdeckte Vade Secure 4.373 eindeutige Facebook-Phishing-URLs, ein Anstieg von 17,1 Prozent gegenüber dem 1. Quartal. Wie Microsoft verfügt auch Facebook über eine enorme globale Präsenz. Sein Ruf für Sicherheit? Weniger. Die Probleme von Facebook bieten der Presse einen kontinuierlichen Futterstrom, und jeder Fehltritt ist eine - wenn auch wenig überraschende - Nachricht.

Der Zeitpunkt von Phishing-Kampagnen hängt oft mit dem Nachrichtenverlauf oder einem aktuellen Ereignis zusammen. Das haben wir bei der Flut an CODIV-19-bezogenen Phishing-Angriffen gesehen, die Anfang März 2020 begann und bis heute andauert. Bei Facebook und anderen namhaften Marken korrespondieren Spitzen bei der Markenimitation manchmal mit besonders wichtigen Veröffentlichungen von Features, Geschäftspartnerschaften und Nachrichten über Sicherheitslücken. Facebook hatte in den letzten Jahren ständig mit Problemen, insbesondere im Hinblick auf den mangelnden Schutz von Kundendaten, zu kämpfen und Phishing-E-Mails mit vorgetäuschter Facebook-Identität folgten dem konsequenterweise nach.

Unten findet sich eine der gängigsten Beispiele für Facebook-Phishing, und natürlich spielt das Engagement von Facebook für Privatsphäre und Sicherheit für das fortwährende Bestreben der Marke, mit den Nutzern zu kommunizieren eine große Rolle.

Facebook-Identitätsprüfungs-Phishing
Facebook-Identitätsprüfungs-Phishing

Facebook ist nicht das einzige Social-Media-Unternehmen, das auf der Liste aufsteigt. WhatsApp, das es im 1. und 2. Quartal 2019 kaum auf die Liste schaffte, erlebte im vierten Quartal mit mehr als 5.000 erkannten eindeutigen Phishing-URLs einen deutlichen Anstieg. WhatsApp Phishing-URLs gingen im 1. Quartal 2020 deutlich zurück — 83 Prozent — und stiegen dann im 2. Quartal 2020 um 185 Prozent auf Platz 5 der Liste. Warum?

COVID-19 und die sich daraus ergebenden weltweiten Abriegelungen haben zu einer weltweiten menschlichen Abkoppelung geführt. Wir haben uns der Technologie zugewandt, um dieses Problem zu lösen. Für einige Technologieunternehmen, die das Versprechen zur Aufrechterhaltung des persönlichen Kontakts eingelöst haben, der uns durch COVID-19 verloren gegangen ist, gab es zu unverhofften Mehreinnahmen, insbesondere für Zoom.

Im Zuge der Lockdown-Massnahmen stieg die WhatsApp-Nutzung weltweit um 40 Prozent —76 Prozent in dem hart getroffenen Spanien. Wie Facebook ist auch WhatsApp ein beliebter Zufluchtsort für Gruppen, denen sich die Benutzer während der Lockdownzeiten zuwendeten, um mit Freunden und Verwandten zu kommunizieren.

WhatsApp

Mit seinen 2 Milliarden Nutzern und nach Facebook an zweiter Stelle, hat WhatsApp auch in der Geschäftswelt Einzug gehalten. Insbesondere Technologieunternehmen strömen in Scharen zu WhatsApp, um die Vorteile der Business API zu nutzen, die es Unternehmen ermöglicht, direkt über WhatsApp mit Kunden zu korrespondieren. In einem Bericht vom April wird geschätzt, dass bis 2024 rund 7 Millionen Unternehmen WhatsApp für ihre Geschäfte nutzen werden, was einem Anstieg von 5.400 Prozent entspricht.

Obwohl LinkedIn im zweiten Quartal aus den Top Ten herausfiel, verdoppelten sich die LinkedIn-Phishing-URLs gegenüber dem ersten Quartal. Die Möglichkeiten des Social Engineering auf LinkedIn sind schier grenzenlos, und da COVID-19 Millionen von Menschen auf der ganzen Welt arbeitslos macht, bietet sich hier eine hervorragende Gelegenheit.

LinkedIn-Sitzungen stiegen im zweiten Quartal um 26 Prozent , und LinkedIn-Anwender verfolgten im März 2020 vier Millionen Stunden Lerninhalte, was einem Anstieg von 50 Prozent gegenüber dem Vormonat entspricht. Zweifellos wurde jeder dieser Anstiege durch die frisch gebackenen Arbeitslosen ausgelöst, die auf der Suche nach neuen Perspektiven entweder ein Netzwerk aufbauen oder ihren Lebenslauf mit neuen Fähigkeiten aufbessern wollten - wahrscheinlich beides. 

Die unten abgebildete LinkedIn-Phishing-E-Mail wäre für jeden Arbeitssuchenden von Interesse. Diese E-Mail ist eine gängige Phishing-Masche, die den Benutzer darüber informiert, dass sein Profil "angesehen" wurde. Wer? Loggen Sie sich bei LinkedIn ein (nennen Sie mir Ihr Passwort), um es herauszufinden:

LinkedIn-Phishing-E-Mail
LinkedIn-Phishing-E-Mail

Finanzdienstleistungs-Phishing nimmt weiter zu

Die Finanzdienstleistungsbranche ist nach wie vor die Branche, die am meisten von Identitätsbetrug bei Phishing-Angriffen betroffen ist. Bei acht Marken unter den Top 25 ist die Finanzdienstleistungsbranche mit fünf Marken unter den Top 10 vertreten - eine Premiere für Phishers' Favorites. Die persönlichen und geschäftlichen Finanzen wurden durch COVID-19 aus den Angeln gehoben: Unternehmen wurden geschlossen und die finanzielle Stabilität einzelner Personen und ganzer Familien ruiniert. Wenn es jemals einen Zeitpunkt gab, um Menschen mit einer besorgniserregenden E-Mail von der Bank zu ködern, dann war dies der richtige.

Finanzdienstleistungsbranche

Insgesamt entfielen im zweiten Quartal 33 Prozent aller Phishing-URLs auf den Finanzdienstleistungsbereich. Chase löste die Bank of America als die am meisten von Identitätstäuschung betroffene Bank an der Wall Street ab, während Wells Fargo um zwei Plätze auf Platz 11 vorrückte.  La Banque Postale, eine Tochtergesellschaft der französischen Post, rückte mit 3.199 Phishing-URLs um 12 Plätze auf Platz 12 vor.

La Banque Postale Phishing-Nachricht
La Banque Postale Phishing-Nachricht

Die Impersonifizierung der Banque Postale ging in den Quartalen 3 und 4 2019 deutlich zurück und erreichte dann im 1. Quartal 2020 einen Höhepunkt, etwa zu der Zeit, als die Bank ihre Partnerschaft mit Western Union ankündigte, die es den Kunden von der Banque Postale ermöglicht, leichter "grenzüberschreitende, währungsübergreifende Transaktionen" durchzuführen. Im 2. Quartal 2020 stieg die Zahl der Phishing-URLs von der Banque Postale um 102 Prozent, der bisher höchste Anstieg, der auch mit einer anderen großen Ankündigung zusammenfiel: der allerersten Übernahme.

Schließlich bleibt PayPal das zweite Quartal in Folge an dritter Stelle, nach einem kurzen Zwischenstopp auf Platz 1 im 3. und 4. Quartal 2019. PayPal ist nach wie vor ein lukratives Ziel für Phisher, die schnell zu Geld kommen wollen. Im Gegensatz zu Angriffen auf Marken mit einem eher unternehmerischen Kundenkreis wie Microsoft ist PayPal stark verbraucherorientiert. Wie jede Bank auch speichert PayPal Millionen von Kontonummern und Bankleitzahlen, auf die mit einem einfachen Benutzernamen und Passwort zugegriffen werden kann, so dass PayPal perfekt für den Identitätsbetrug geeignet ist.

Die meisten PayPal-Phishing-E-Mails warnen entweder vor verdächtigen Aktivitäten auf einem Konto oder machen den Benutzer auf einen großen Einkauf aufmerksam. Beides erregt die Aufmerksamkeit des Benutzers und veranlasst ihn in einigen Fällen dazu, ohne Überlegung zu klicken:

PayPal-Kontoeingang Phishing
PayPal-Kontoeingang Phishing

PayPal verdächtige Aktivität Phishing-E-Mail
PayPal verdächtige Aktivität Phishing-E-Mail

Mittwoch überholt Montag als schlimmster Tag der Woche

Wochentage bleiben die Top-Tage für die Vortäuschung von Unternehmensidentitäten, aber der Montag, historisch gesehen der beliebteste Tag, fiel auf den Dienstag als Top-Tag für Unternehmens-Phishing. Dies deckt sich mit dem, was wir in den vergangenen Quartalen beobachtet haben: Hacker täuschen Unternehmen vor, indem sie E-Mails werktags, aber nicht am Wochenende versenden.

Facebook, PayPal und WhatsApp verzeichneten freitags, samstags und sonntags mehr Aktivitäten, was dem Trend entspricht, dass Verbrauchermarken eher am Wochenende von Identitätstäuschungen betroffen sind.

Wochentags-Grafik

Verfolgung der beliebtesten Marken bei Phishern

Vade Secure verfolgt seit dem 1. Quartal 2018 eindeutige Phishing-URLs für die am häufigsten imitierten Marken beim Phishing. Beim Schutz von 1 Milliarde Verbraucher- und Unternehmens-Mailboxen bekommen wir jedes Quartal eine Vielzahl neuer Techniken zu sehen, mit denen Sie Ihre Kunden und Klienten über die häufigsten Phishing-Angriffe und -Locks aufklären können. Frühere Berichte finden Sie auf unserer Phishers' Favorites-Seite, auf der Sie feststellen können, wie sich die Phishing-Trends im Laufe der Zeit verändert haben und wie sich die am häufigsten imitierten Marken in der Liste nach oben und unten verschoben haben.