Phishing-Angriffe steigen während des COVID-19-Höhepunkts um 220 %, da sich der Opportunismus der Cyberkriminellen verstärkt
David Warburton, Autor des Phishing- und Betrugsberichts 2020 von F5 Labs, beschreibt in diesem Video, wie sich Betrüger an die Pandemie anpassen, und skizziert die künftigen Trends. Zusammenfassende Kommentare finden Sie weiter unten.
Laut einer neuen Studie von F5 Labs verstärkt COVID-19 die Phishing- und Betrugsversuche von Cyberkriminellen weiterhin erheblich.
In der vierten Ausgabe des Phishing- und Betrugsberichts wurde festgestellt, dass die Phishing-Vorfälle auf dem Höhepunkt der globalen Pandemie im Vergleich zum Jahresdurchschnitt um 220 % zugenommen haben.
Basierend auf den Daten des Security Operations Center (SOC) von F5 wird die Zahl der Phishing-Vorfälle im Jahr 2020 voraussichtlich im Vergleich zum Vorjahr um 15 % steigen. Dies könnte sich jedoch bald ändern, wenn sich weitere Wellen der Pandemie ausbreiten.
Als drei Hauptziele von COVID-bezogenen Phishing-E-Mails wurden betrügerische Spenden an gefälschte Wohltätigkeitsorganisationen, das Abgreifen von Anmeldeinformationen und die Verbreitung von Malware identifiziert.
Die Domain eines Phishers
In Untersuchungen der vergangenen Jahre stellte F5 Labs fest, dass Betrüger bei den Namen und Adressen ihrer Phishing-Sites immer kreativer werden.
Im Jahr 2020 verwendeten bisher 52 % der Phishing-Sites in ihren Website-Adressen Markennamen und Identitäten von Zielpersonen. Anhand von Phishing-Site-Daten von Webroot fand F5 Labs heraus, dass Amazon in der zweiten Hälfte des Jahres 2020 die am häufigsten angegriffene Marke war. Auch Paypal, Apple, WhatsApp, Microsoft Office, Netflix und Instagram gehörten zu den zehn am häufigsten nachgeahmten Marken.
Durch die Verfolgung des Diebstahls von Anmeldeinformationen bis hin zur Verwendung in aktiven Angriffen konnte F5 Labs feststellen, dass Kriminelle innerhalb von vier Stunden nach dem Phishing-Angriff auf ein Opfer versuchten, gestohlene Passwörter zu verwenden. Einige Angriffe erfolgten sogar in Echtzeit, um die Erfassung von Sicherheitscodes für die Multi-Faktor-Authentifizierung (MFA) zu ermöglichen.
Versteckt vor aller Augen
Im Jahr 2020 verstärkten Phisher außerdem ihre Bemühungen, betrügerische Websites so echt wie möglich erscheinen zu lassen. Statistiken des F5 SOC haben ergeben, dass die meisten Phishing-Sites Verschlüsselung nutzten. Ganze 72 % verwendeten gültige HTTPS-Zertifikate, um ihre Opfer zu täuschen. In diesem Jahr nutzten 100 % der Drop-Zones – die Ziele der von Malware gesendeten gestohlenen Daten – die TLS-Verschlüsselung (gegenüber 89 % im Jahr 2019).
Durch die Kombination der Vorfälle aus den Jahren 2019 und 2020 berichteten F5 Labs außerdem, dass 55,3 % der Drop-Zones einen nicht standardmäßigen SSL/TLS-Port verwendeten. In allen Fällen außer einem wurde Port 446 verwendet. Eine Analyse der Phishing-Sites ergab, dass 98,2 % Standardports verwendeten: 80 für Klartext-HTTP-Verkehr und 443 für verschlüsselten SSL/TLS-Verkehr.
Zukünftige Bedrohungen
Einer aktuellen Studie von Shape Security zufolge, die erstmals in den Phishing- und Betrugsbericht integriert wurde, zeichnen sich zwei große Phishing-Trends ab.
Aufgrund verbesserter Sicherheitskontrollen und -lösungen für Bot-Verkehr (Botnet) beginnen Angreifer, Klick-Farmen zu nutzen. Dabei versuchen Dutzende von Remote-„Mitarbeitern“ systematisch, sich mit kürzlich erbeuteten Anmeldeinformationen auf einer Zielwebsite anzumelden. Die Verbindung wird von einem Menschen hergestellt, der einen Standard-Webbrowser verwendet. Dadurch sind betrügerische Aktivitäten schwerer zu erkennen.
Auch eine verhältnismäßig geringe Anzahl von Angriffen hat Auswirkungen. Shape Security analysierte beispielsweise 14 Millionen monatliche Anmeldungen bei einem Finanzdienstleistungsunternehmen und stellte eine manuelle Betrugsrate von 0,4 % fest. Dies entspricht 56.000 betrügerischen Anmeldeversuchen, und die Zahl derartiger Aktivitäten wird voraussichtlich weiter steigen.
Darüber hinaus verzeichneten die Forscher von Shape Security eine Zunahme der Zahl von Echtzeit-Phishing-Proxys (RTPP), die Codes für die Multi-Faktor-Authentifizierung (MFA) erfassen und verwenden können. Das RTPP fungiert als Person-in-the-Middle und fängt die Transaktionen eines Opfers mit einer echten Website ab. Da der Angriff in Echtzeit erfolgt, kann die bösartige Website den Prozess der Erfassung und Wiedergabe zeitbasierter Authentifizierungen wie MFA-Codes automatisieren. Es können sogar Sitzungscookies gestohlen und wiederverwendet werden.
Zu den aktuellen aktiv genutzten Echtzeit-Phishing-Proxys zählen Modlishka und Evilginx2 . F5 Labs und Shape Security werden die zunehmende Nutzung von RTPPs in den kommenden Monaten beobachten.
Laden Sie den Phishing- und Betrugsbericht 2020 von F5 Labs herunter, um mehr zu erfahren .
Über den Bericht
Der diesjährige Phishing- und Betrugsbericht von F5 Labs untersucht Phishing-Vorfälle aus fünf Jahren aus dem F5 Security Operations Center (SOC) und befasst sich eingehend mit aktiven und bestätigten Phishing-Sites, die von den Webroot® BrightCloud® Intelligence Services von OpenText bereitgestellt werden. Es umfasst außerdem eine Analyse von Dark-Web-Marktdaten von Vigilante und Untersuchungen von Shape Security. Zusammen ergeben sie ein vollständiges und konsistentes Bild der Welt des Phishings.