Phishing is the new Black - 46000 neue Phishing-Websites pro Tag, Lebensdauer von 4 - 8 Stunden - statt Gieskannen-Prinzip spezielle Angriffe - Webroot-Studie
Phishing hat sich zu einer zentralen Angriffstechnik im Internet entwickelt. Obwohl - in der Theorie - Phishing, also das Abfischen von Nutzerdaten auf nachgemachten Websites - eigentlich sehr einfach erkannt und Angriffe darüber vermieden werden könnten, scheint sich der gegenteilige Trend entwickelt zu haben. Das Unternehmen Webroot hat dazu einen Report veröffentlicht. Mit teils erstaunlichen Daten.
.
Quarterly Threat Trends: For vendors in the security industry, enterprises, and partners
https://www.webroot.com/us/en/business/resources/threat-trends/sept-2017
Das PDF (13 Seiten) als Direktlink:
SEPTEMBER 2017: QUARTERLY THREAT TRENDS: Phishing Attacks Growing in Scale and Sophistication
https://www.webroot.com/download_file/1595
.
Der Report hebt gleich in der Einleitung hervor: Früher seien das eher krude Massenmails gewesen. Die darauf abzielten, möglichst viele Leute zum Draufklicken zu bewegen. Heute dagegen seien Phishing-Mails sehr viel gezielter auf Empfänger zugeschnitten. Sie seien damit schwieriger zu entdecken. Und noch schwieriger zu umgehen.
Im ersten Halbjahr 2017 gab es im Schnitt 1.385 Millionen neue Sites pro Monat. Mit einem Höhepunkt von 2,3 Millionen Sites im Mai. In den USA gibt es eine FBI-Schätzung, nach der durch Phishing Schäden von etwa 500 Millionen $ pro Jahr entstehen.
Nach einer Verizon-Statistik ist Phishing bei 90 % aller Sicherheitsvorfälle im Internet beteiligt.
Rechnet man den Monatsschnitt auf Tage runter, ergeben sich die etwa 46.000 neuen Phishing-Websites pro Tag. Damit:
> Today, it’s clear that putting together a list of bad URLs and blocking them will no longer work. No list, even if updated hourly, can hope to keep up with this volume of new sites.
Jedes Pflegen von Url-Listen scheitert an der schieren Fülle dieser Websites. Keine Liste könne das bewältigen, auch dann nicht, wenn sie stündlich aktualisiert wird.
Früher waren das "Mails an Millionen". Heute wird gezielt auf LinkedIn, Facebook und Twitter nach Opfern gesucht. Damit gehen Mails an Individuen oder kleine Gruppen. Ferner sind es scheinbar Bekannte, die diese Nachrichten versenden:
> Because the message is targeted, and the recipient believes that it comes from a trusted sender, the target is much more likely to open the email and click on a link or attachment.
Es wird also nicht nur nach Empfänger-, sondern auch nach Versenderadressen gesucht. Auf daß der Empfänger denkt, der Bekannte hätte die Nachricht geschickt. Sprich: Social Engineering-Techniken, die auf Daten in sozialen Netzwerken beruhen. Ein Spezialfall davon sind "whaling" - Attacken, die sich gegen CEOs und andere leitende Personen richten. Laut FBI gab es etwa 22.000 Attacken gezielt in diese Richtung. "CEO Fraud" geht ebenfalls in diese Richtung.
Hinzu kommen "Advanced Payloads": Es geht nicht nur drum, Logindaten abzufischen. Sondern zusätzlich soll Malware heruntergeladen und installiert werden. Eine gewaltige Zahl:
> 93% of all phishing emails now lead to ransomware
Typische Betreff-Zeilen verweisen auf unübliche Accountnutzung, eine Verifikation sei notwendig, ein Account wird geschlossen.
Ich hatte nach dem Domainumzug meiner sql-und-xml.de immer wieder Phishing-Mails erhalten, daß der Webspace voll sei. Dumm nur, wenn ich den Webserver selbst betreibe.
> These scare-tactic emails include links that take users to cleverly-executed web pages with the goal of heightening fear, implying that the user will suffer dire consequences unless action is taken immediately.
Mails sollen Angst auslösen, Nutzer sollen schnell handeln.
Die Lebensdauer von oft nur vier bis acht Stunden erschwert eine Erkennung von Phishing-Sites.
Die Phishing-Sites sind isoliert:
> the vast majority of phishing sites are presented as if they’re pages on a trusted domain, when instead they are disconnected pages with no inbound or outbound links.
Sie wirken (auf den ersten Blick) so, als würden sie zu großen Sites gehören. In Wirklichkeit sind das isolierte Sites ohne eingehende und ausgehende Links. Mit der Wirkung, daß die Sites für Suchmaschinen unsichtbar sind:
> This lack of links makes it impossible for web crawlers to find these pages, so they remain hidden.
Die Warnungen, die Google in Suchmaschinenergebnissen ausgibt, funktioniert also nur dann, wenn die Site "altbekannt" und gehackt wurde. Dann bemerkt Google Änderungen und gibt bei den Ergebnissen eine Warnung aus. Bei kurzlebigen Phishing-Sites können solche Warnungen nicht funktionieren.
Die Konsequenz: Es werden Techniken zur "real time url validation" benötigt. So daß Bots die Sites abrufen und per maschinellem Lernen prüfen, ob das eine Phishing-Site sein könnte. Wobei gleichzeitig Bildschirmphotos gemacht werden - falls es die Site in wenigen Stunden nicht mehr gibt.
Das Nachbauen von Originalseiten wird immer besser. Die Phishing-Sites wirken authentisch. Klar - mit Html geht das ja auch relativ einfach, man kann sich die ganzen Daten grabben.
Die meist gephishten Sites werden von Google (35 %) angeführt, gefolgt von Chase (15 %), Dropbox (13 %), PayPal (10 %) und Facebook (7 %). Dann folgen Apple (6 %), Yahoo (4 %), Citi (3 %) und Adobe (3 %). Wobei Yahoo, Apple und Wells Fargo 2016 in den Top 5 waren. Das hat sich aber massiv geändert: Yahoo von 20 % auf 4 %, Apple von 15 % auf 6 %.
Interessante Zahlen. Ich bekomme ja auch "In-sich-Phishing-Mails": Von info[at]sql-und-xml.de an tools[at]sql-und-xml.de, daß das Mailkonto überlaufen würde.
Eine Sache verstehe ich nicht ganz: Diese sehr vielen neuen Phishing-Sites erfordern es, daß die Domains registriert werden. Ließe sich nicht an dieser Stelle etwas machen?