{"id":11834,"date":"2022-10-10T09:30:00","date_gmt":"2022-10-10T13:30:00","guid":{"rendered":"https:\/\/www.cscdbs.com\/blog\/?p=11834"},"modified":"2026-01-15T06:17:02","modified_gmt":"2026-01-15T11:17:02","slug":"der-anhaltende-anstieg-von-phishing-und-der-fall-der-anpassbaren-website","status":"publish","type":"post","link":"https:\/\/www.cscdbs.com\/blog\/der-anhaltende-anstieg-von-phishing-und-der-fall-der-anpassbaren-website\/","title":{"rendered":"Der anhaltende Anstieg von Phishing und der Fall der anpassbaren Website"},"content":{"rendered":"\n
In vorangegangenen CSC-Studien haben wir festgestellt, dass Phishing nach wie vor ein \u00e4u\u00dferst beliebter Bedrohungsvektor f\u00fcr Kriminelle ist und es keine Anzeichen f\u00fcr ein Nachlassen gibt. Das liegt zum Teil auch an der COVID-19-Pandemie und der Zunahme von \u201eRemote-Working\u201c. Tats\u00e4chlich zeigen die j\u00fcngsten Zahlen der Anti-Phishing Working Group (APWG), dass die Zahl der Phishing-Angriffe h\u00f6her ist als je zuvor. Im ersten Quartal 2022 \u00fcberstieg die Zahl der identifizierten Phishing-Angriffe zum ersten Mal eine Million, und jeden Monat wurden \u00fcber 600 verschiedene Marken angegriffen.<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n
In einem fr\u00fcheren Bericht der APWG wurde festgestellt, dass \u00fcber 80\u00a0% der Phishing-Websiten SSL- oder TLS-Zertifikate (die die Verwendung von HTTPS erm\u00f6glichen) verwenden \u2013 ein Anstieg von etwa 5\u00a0% zum Jahresende 2016 \u2013 und 90\u00a0% dieser Zertifikate von kostenlosen Anbietern wie cPanel und Let’s Encrypt ausgestellt wurden.<\/p>\n\n\n\n
Zudem identifizierte die Untersuchung von Interisle \u201e2022 Phishing Landscape\u201c zwischen April 2021 und April 2022 mehr als 1,1 Millionen Phishing-Angriffe. Dabei wurden \u00fcber 2000 Marken ins Visier genommen, doch die Mehrzahl der Angriffe richtete sich gegen nur 10 Top-Marken. Insgesamt wurden bei 69 % der Angriffe speziell registrierte Domains verwendet, wobei sich die Angriffe \u00fcberproportional auf neue generische Top-Level-Domains (gTLDs) konzentrierten. Zudem sind einige wenige Registrare bei den b\u00f6swilligen Registrierungen f\u00fchrend. Es wurde festgestellt, dass rund 41 % der gemeldeten Phishing-Domains innerhalb von 14 Tagen nach ihrer Registrierung genutzt wurden, und die meisten davon innerhalb von 48 Stunden.<\/p>\n\n\n\n
Phishing wird heutzutage durch den Diebstahl von Benutzerdaten und die Nachahmung der Identit\u00e4t von Unternehmen bestimmt, aber es wird auch zunehmend als Einfallstor f\u00fcr Malware- und Ransomware-Angriffe erkannt, die oft zu schwerwiegenden Beeintr\u00e4chtigungen von Unternehmenssystemen und anderen Sicherheitsproblemen f\u00fchren, wie z. B. Angriffe auf das Domain Name System (DNS).<\/p>\n\n\n\n
<\/div>\n\n\n\n
Die anpassbare Phishing-Website<\/h2>\n\n\n\n
Zentraler Bestandteil vieler Phishing-Angriffe ist die Verwendung einer betr\u00fcgerischen Website, die das Erscheinungsbild der offiziellen Website der angegriffenen Marke zum Verwechseln \u00e4hnlich nachahmt \u2013 oft mit einem Anmeldeformular, welches zur Eingabe sensibler Kundendaten auffordert, die so in die H\u00e4nde der Betr\u00fcger gelangen. Bei einem klassischen Phishing-Angriff imitiert die Website eine bestimmte Marke, und die Cyberkriminellen senden E-Mails an eine gro\u00dfe Gruppe von Nutzern, um sie auf die Website zu leiten. Bei dieser Strategie wird davon ausgegangen, dass es sich bei einem bestimmten Teil der Empf\u00e4nger um \u00fcberzeugte Kunden der anvisierten Marke handelt, die sich t\u00e4uschen lassen k\u00f6nnten.<\/p>\n\n\n\n
In den letzten zwei Jahren hat CSC jedoch das Auftauchen einer sehr viel raffinierteren Art von Phishing-Websiten festgestellt, deren Erscheinungsbild dynamisch auf den jeweiligen Empf\u00e4nger zugeschnitten ist und die mit einer einzigen Kampagne einen sehr viel gr\u00f6\u00dferen Teil der Empf\u00e4nger ins Visier nehmen k\u00f6nnen.<\/p>\n\n\n\n
Ein Beispiel wurde erstmals im Februar 2020 identifiziert, wobei eine URL der Form eine Reihe von scheinbar zuf\u00e4lligen Zeichen war. Die Website schien auf den Nutzer einer bestimmten Unternehmens-E-Mail-Adresse eines Markeninhabers abzuzielen, wobei die Adresse bereits im Anmeldeformular auf der Seite eingetragen war. Im Hintergrund der Website war eine eingebundene Version der offiziellen Unternehmens-Website zu sehen, die den Eindruck erweckte, dass der Benutzer sich auf seiner eigenen Unternehmens-Website anmeldete. Alle diese Inhalte waren offenbar fest in den HTML-Code der Phishing-Website kodiert.<\/p>\n\n\n\n
Bei n\u00e4herer Betrachtung stellte sich jedoch heraus, dass der Inhalt tats\u00e4chlich dynamisch generiert wird, wobei die Zeichenfolge in der URL aus einer Base64-kodierten Version der E-Mail-Adresse des Empf\u00e4ngers bestand. (Base64-Kodierung ist eine Standardmethode zur Konvertierung von Bin\u00e4rdaten, z. B. eine Zeichenfolge aus Standard-ASCII-Zeichen, in ein alternatives Textformat.)<\/p>\n\n\n\n
Um festzustellen, wie die Phishing-Website diese Informationen in der Praxis handhabt, wurde eine modifizierte URL generiert, bei der die vorherige Base64-Zeichenfolge durch eine verschl\u00fcsselte Version der E-Mail-Adresse eines CSC-Mitarbeiters ersetzt wurde. Dies f\u00fchrte zu der in Abbildung 2 gezeigten Seite, deren HTML-Quellcode beim Betrachten wieder kodiert zu sein schien.<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n
Daraus ergibt sich, dass auf der Website vermutlich ein Skript l\u00e4uft, das den HTML-Code der Seite dynamisch auf der Grundlage des Inhalts der Base64-Zeichenfolge in der URL generiert. Dies erm\u00f6glicht einen sehr \u00fcberzeugenden, ma\u00dfgeschneiderten Phishing-Angriff, bei dem die betr\u00fcgerische Website so konfiguriert ist, dass sie eine durch einen Frame eingebundene Version der Host-Domain der E-Mail-Adresse anzeigt, \u00fcber der ein mit dieser Adresse vorausgef\u00fclltes Anmeldefeld liegt. Folglich k\u00f6nnte ein und dieselbe Phishing-E-Mail an eine gro\u00dfe Anzahl von E-Mail-Adressen gesendet werden, ohne dass die E-Mail oder die entsprechende Phishing-Website an die jeweiligen Empf\u00e4nger angepasst werden m\u00fcsste. Es m\u00fcsste lediglich sichergestellt werden, dass in jedem Fall eine Base64-kodierte Version der E-Mail-Adresse des Empf\u00e4ngers an den Link in der Phishing-E-Mail angeh\u00e4ngt wird (was sich mit Hilfe eines Skripts leicht automatisieren lie\u00dfe).<\/p>\n\n\n\n
Es wurde auch festgestellt, dass das Verhalten der Website offenbar davon abh\u00e4ngt, wie und wo sie betrachtet wird, da die Website in einer virtuellen Maschinenumgebung inaktiv erscheint. Diese Art der Konfiguration wurde bereits in der Vergangenheit von Betr\u00fcgern verwendet, um die forensische Analyse ihrer Websites durch Sicherheitsexperten zu vereiteln, die h\u00e4ufig in einer virtuellen Maschinenumgebung arbeiten.<\/p>\n\n\n\n
Dar\u00fcber hinaus k\u00f6nnen sichtbare Merkmale (z. B. F\u00e4lschungsindikatoren) im Produktbild Aufschluss dar\u00fcber geben, ob eine Rechtsverletzung vorliegt. Sie werden sowohl einer automatisierten Bildanalyse unterzogen als auch manuell von einem Analysten untersucht.<\/p>\n\n\n\n
Erw\u00e4hnenswert ist auch, dass diese Art von Websites mit herk\u00f6mmlichen Methoden der Marken\u00fcberwachung nur sehr schwer zu erkennen w\u00e4re. Abgesehen davon, dass die Website m\u00f6glicherweise als nicht indizierte Insel-Website eingerichtet wurde, auf die nur \u00fcber Links in Spam-E-Mails zugegriffen werden soll, gibt es im Inhalt der Website selbst m\u00f6glicherweise keinen Hinweis auf eine Marke, da markenspezifische Inhalte nur dann dynamisch im HTML-Code generiert werden, wenn auf eine bestimmte URL zugegriffen wird. In diesem Fall w\u00fcrde die Erkennung davon abh\u00e4ngen, ob die Betrugsbek\u00e4mpfungsmaschine von CSC in Verbindung mit den vom Markeninhaber bereitgestellten Web-Referrer-Informationen den Abruf von Informationen von der offiziellen Website des Markeneigent\u00fcmers durch die Phishing-Website w\u00e4hrend des Framing-Prozesses erkennen kann.<\/p>\n\n\n\n
In einer Untersuchung im Juli 2022 wurde eine sehr \u00e4hnliche Angriffsart festgestellt, in diesem Fall unter Verwendung einer Bit-f\u00fcr-Bit-Spiegelung der offiziellen Website der angegriffenen Marke.<\/p>\n\n\n\n
<\/div>\n\n\n\n
Fazit<\/h2>\n\n\n\n
Diese Ergebnisse machen deutlich, wie wichtig ein umfassendes Anti-Phishing-Programm ist, das Bedrohungen verschiedenster Art erkennen kann und entsprechende Durchsetzungsma\u00dfnahmen beinhaltet. Die Erkennung sollte Komponenten der Domain-\u00dcberwachung (zur Identifizierung von Phishing-Websites, bei denen der Markenname oder eine Variante davon im Domain-Namen enthalten ist) und der Internet-\u00dcberwachung (zur Identifizierung anderer betr\u00fcgerischer Websites, die von Inhalten verlinkt sind, die von Suchmaschinen indiziert werden) umfassen. Aber auch andere Datenquellen wie Spam-Fallen und Honeypots, sowie andere Datenfeeds wie Daten \u00fcber missbr\u00e4uchlich genutzte Postf\u00e4cher von Kunden und Webserver-Protokolle sollten genutzt werden, um Phishing-Websites zu identifizieren, die nicht indiziert sind oder deren Inhalte eher dynamisch generiert werden.<\/p>\n\n\n\n
Doch auch dies ist nur ein Teil der L\u00f6sung. Wie bereits erw\u00e4hnt, bilden Phishing-Angriffe h\u00e4ufig die Grundlage f\u00fcr nachfolgende Malware-Angriffe oder andere Sicherheitsverletzungen. Dementsprechend sollte ein solides Sicherheitskonzept auch den Einsatz einer Reihe von Domain-Sicherheitsma\u00dfnahmen umfassen, wie sie beispielsweise von einem Enterprise-Class-Registrar (ECR) angeboten werden, um kritische Unternehmensdomains zu sch\u00fctzen. Au\u00dferdem sollten Markeninhaber die Nutzung von Dienstanbietern vermeiden, die unlautere Praktiken wie Typosquatting, Domain-Auktionen und Domain-Spinning (Verkauf von Domains, die Markenvariationen enthalten) zulassen, denn all dies kann Phishing-Angriffe erleichtern.<\/p>\n\n\n\n
![\"\"](\"https:\/\/cscwebcontentstorage.blob.core.windows.net\/cscmarketing-cscdbs-media\/images\/DBS%20APWG.PNG\")
<\/figure>\n<\/div>\n\n\n![\"\"](\"https:\/\/cscwebcontentstorage.blob.core.windows.net\/cscmarketing-cscdbs-media\/images\/DBS%20Phishing%20example.png\")
<\/figure>\n<\/div>\n\n\n