snippet
top of page
  • AutorenbildRebecca Enke

PHISHING AS A SERVICE (PHAAS)

Aktualisiert: 5. Nov. 2021

WIE SIE PHISHING FÜR IHRE ORGANISATION ODER IHR UNTERNEHMEN NUTZEN KÖNNEN.


Phishing as a Service (PHaaS) - Wie Sie Phishing für Ihre Organisation oder Ihr Unternehmen nutzen können.

WAS SIE AUS DIESEM ARTIKEL MITNEHMEN:




Im Jahr 2020 waren etwa 70% aller deutschen Unternehmen von Cyberangriffen betroffen. Phishing ist eine der Hauptangriffsmethoden. Das FBI zählte beispielsweise im Jahr 2020, 241.342 Opfer von Phishing-Attacken, zum Vergleich, im Jahr 2019 waren „nur“ 114.702 betroffen. Die Dunkelziffer ist Jahr für Jahr vermutlich deutlich höher.


WAS IST PHISHING?

Eine E-Mail oder auch eine SMS kann mit tausenden von Empfänger:innen versendet werden. Das ist bekannt. Jedoch gibt es darunter Fake-Nachrichten, die die Empfänger:innen dazu auffordern einen Link anzuklicken, bestimmte Daten in eine vorgefertigte Maske einzugeben oder aber auch die eigene Identität zu verifizieren. Oftmals wird dafür das Corporate Design oder Layout von bekannten Marken ausgenutzt, um den/die User:in schnell zu einem gefährlichen Klick zu verleiten (Ransomware).

Diese vielfältigen Methoden gehören alle zum sogenannten Phishing. Phishing ist in der Regel der erste Schritt in der Angriffskette, der typischerweise genutzt wird, um Malware wie Ransomware oder einen Key Logger (ein Gerät, das die Benutzung eines Computers elektronisch aufzeichnet) abzulegen.

Nach wie vor orientieren sich aktuelle Phishing-Kampagnen an gesellschaftlichen Ereignissen und aktuellen Themen. In Deutschland z.B. stehen beim Phishing neben Bankkund:innen insbesondere auch Kundinnen und Kunden von Online-Versandhändlern wie Amazon oder Bezahlsystemen wie PayPal oft im Fokus der Angreifer. Auch Namen von IT-Dienstleistern und somit die Verleitung zur Installation von Fake-Updates wird immer häufiger genutzt.

Im Bereich des Social Engineerings ist Phishing in der Regel der Ausgangspunkt von Cyberangriffen. Phishing ist nämlich für 91% der Datenschutzverletzungen verantwortlich, dabei enthalten 93% der Phishing-E-Mails Ransomware.

Doch auch wenn es rein technologische Mittel zur Verhinderung von Phishing gibt, wie E-Mail-Filter, Traffic-Überwachung und Netzwerkschutz, können diese nicht vollständig wirksam sein, da beim Phishing ein nicht berechenbarer Parameter eine Rolle spielt: der Mensch.


PHISHING AS A SERVICE.


Mit Phishing as a Service wird das bekannte Geschäftsmodell Software as a Service (SaaS) verwendet. Hierfür werden sogenannte Phishing-Tools entwickelt und als Programm eine Art Abo-Modell anderen, nicht so IT-versierten Personen, angeboten, sodass diese Phishing-Angriffe ebenfalls ausführen können.


Exkurs: Security as a Service (SECaaS)

IT-Systeme werden immer komplexer. Dies hat eine drastische Paradigmen Veränderung von autonomen Lösungen bis hin zu flexibleren und kostengünstigeren servicebasierten Lösungen erforderlich gemacht. Beispielsweise ist dies bei cloudbasierten Lösungen der Fall, die Speicher oder Software als Service anbieten (z.B. Dropbox, Google Drive und Office 365).

Die Sicherheit ist in diesem Fall keine Ausnahme und folgt dem Trend ebenfalls. Technologien, die unter dem Namen Security as a Service (SECaaS) bekannt sind, werden hierbei genutzt. Dabei ist das Ziel ganz klar definiert, man möchte den neuen Herausforderungen, die den Cyber-Raum prägen, angemessen und effektiv begegnen. Die Grundidee ist in der Tat, Sicherheit als Service an mehrere Kunden zu vertreiben.


Aufgrund der einfachen Anwendung gewinnt Phishing as a Service (PHaaS) immer mehr an Beliebtheit. Allerdings ist es notwendig, eine grundlegende Unterscheidung zwischen zwei verschiedenen PHaaS-Kategorien zu treffen, da sie sowohl auf der defensiven als auch auf der offensiven Seite eingesetzt werden können.


Phishing as a Service Kategorien

In der ersten Kategorie besteht PHaaS aus der Durchführung von Phishing-Kampagnen als Teil des Awareness-Programms des Kundenunternehmens. Hierbei werden Phishing-Mails in unterschiedlichen Formaten und verschiedenen Abständen an die Mitarbeitenden geschickt und getrackt, wie viele auf die ominösen Links klicken. Direkt im Anschluss an den Klick bekommt der/die Mitarbeitende eine Nachricht, dass dies ein Phishing-Test war mit weiteren Hinweisen wie echte Phishing-Mails zu identifizieren sind. Durch die Anzahl der Klicks bekommt die IT-Sicherheitsabteilung ein besseres Gefühl dafür, wie ausgeprägt die Security Awareness bereits ist. Gleichzeitig dient es zu Schulungszwecken der Mitarbeitenden. Dies ist also die harmlosere Variante im Bereich PHaaS.

Was die zweite Kategorie betrifft, die gefährlichere Variante, so werden PHaaS angesichts der oben genannten Statistiken wahrscheinlich zum Eckpfeiler des Cyber-Schwarzmarktes werden. Einige kriminelle Organisationen sind in der Lage einen kompletten Service für nur 4.200 US-Dollar pro Monat anzubieten. Dieser Dienst besteht aus der Erstellung gefälschter Systeme (z. B. Webseiten oder E-Mails) sowie der Kompromittierung der erforderlichen Server, alles mit dem Ziel ein Unternehmen zu sabotieren und auszuspionieren.


WAS UMFASST PHISHING AS A SERVICE (PHaaS)?


Die PhaaS-Angebote enthalten fast alles, was Sie zum Erstellen einer erfolgreichen Phishing-Kampagne benötigen. Sie enthalten Phishing-E-Mails, bösartige Links, gefälschte Landing Pages und ganz wichtig für den Phishing-Lehrling - alle Umgehungstechniken, die erforderlich sind, um sicherzustellen, dass Ihre Cyberkriminalität unentdeckt bleibt. Diese Umgehungsmaßnahmen umfassen typischerweise:

HTML-ZEICHENCODIERUNG:

Verschlüsselung von Webseiten-HTML, damit Sicherheits-Crawler keine Schlüsselwörter erkennen können, die eine bösartige Website verraten

CONTENT ENCRYPTION:

Ähnlich wie bei der HTML-Kodierung, wird der Inhalt verschleiert, um eine Entdeckung zu verhindern

INSPECTION BLOCKING:

Schützt vor Sicherheits-Crawlern und Bots, die nach Phishing-Seiten suchen

URLs IN ATTACHMENTS:

Versteckt bösartige Links in Anhängen, damit sie nicht so offensichtlich sind

CONTENT INJECTION:

Injektion bösartiger Inhalte in die Seite einer legitimen Website - wiederum, um die wahre Natur der Phishing-Site zu verbergen

LEGITIMATE CLOUD HOSTING:

Verwenden Sie anerkannte und legitime Cloud-Anbieter zum Hosten der Sites.


WIE KANN ICH MICH UND MEIN UNTERNEHMEN VOR PHISHING AS A SERVICE ANGRIFFEN SCHÜTZEN?


Es gibt nicht nur einen bestimmten Schutz zur Abwehr von Phishing-Angriffen. Es ist vielmehr eine Mischung aus technischen Lösungen und der Sensibilisierung der Mitarbeitenden hinsichtlich der vorherrschenden Gefahren.

Hinsichtlich der Prävention von Phishing-Angriffen fallen mir zuallererst folgende Maßnahmen ein:

  • Ein Bewusstsein (Awareness) bei den Mitarbeitenden hinsichtlich Phishing Angriffen schaffen.

  • Am besten selbst zu Schulungszwecken Phishing-Tests durchführen und so den aktuellen Grad der Awareness bei den Mitarbeitenden messen.

  • Mit der Einrichtung von SPF, DKIM und DMARC verhindern Sie, dass Angreifer:innen Ihre Domain für Phishing-Angriffe verwenden.

  • Außerdem ist es auch immer hilfreich so schnell wie möglich über neu identifizierte Phishing-Angriffswellen zu informieren.


Eine hilfreiche Informationsquelle für aktuell vorherrschende Phishing-Wellen ist die Folgende:

Bereits seit 2010 wertet die Verbraucherzentrale NRW betrügerische E-Mails aus, die Verbraucher an das Phishing-Radar weiterleiten (phishing@verbraucherzentrale.nrw). Auf Basis der täglich eingehenden 200-300 E-Mails - bei denen es sich um Phishing, sonstigen Cyber-Crime und Werbung handelt - wird auf der Homepage, auf Twitter und Facebook vor aktuellen Betrugsmaschen gewarnt. Seit dem Herbst 2017 findet eine Kooperation mit dem BSI statt, um unter anderem eine weitergehende statistische (anonymisierte) Auswertung zu ermöglichen.

Für weitere Anregungen, um die Security Awareness zu stärken und vor Phishing Angriffen zu schützen, steht Ihnen der folgende re4ming Ratgeber mit hilfreichen Tipps und Tricks zum Download zur Verfügung.


Security Awareness ist mehr als nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks



GRATIS DOWNLOAD.


Security Awareness ist nicht nur E-Learning und Phishing-Test. Für weitere Anregungen laden Sie sich gerne den kostenlosen Ratgeber „Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks“ herunter.





LASSEN SIE UNS ZUSAMMENARBEITEN.


Haben Sie Fragen zu effektiven und kostengünstigen Awareness Methoden? Fordern Sie noch heute eine kostenlose Erstberatung über das Formular auf meiner Website an, senden Sie mir eine E-Mail an hallo@re4ming.com oder melden Sie sich telefonisch +49 (0) 201 458 456 82. Ich freue mich auf Ihre Nachricht.

Alternativ halte ich Sie gerne mit Themen auf meinem Blog auf dem Laufenden. Hier berichte ich über aktuelle Trends, Best Practices und meine Learnings in den Bereichen Sensibilisierung für Fachthemen, E-Learning Prozesse, Projekt Management und Change Management sowie die Entwicklung von re4ming.

Folgen Sie re4ming auf den folgenden Plattformen, um keinen Beitrag zu verpassen:


Aktuelle Beiträge

Alle ansehen

Comments


bottom of page