Forscher von Mandiant haben eine Analyse eines Phishing-as-a-Service-Kits namens “Caffeine” veröffentlicht, das die Messlatte für unerfahrene Cyberkriminelle weiter senkt, indem es einen öffentlich zugänglichen, benutzerfreundlichen Phishing-Service anbietet.
“Im Gegensatz zu den meisten PhaaS-Plattformen, denen Mandiant begegnet, ist Caffeine insofern etwas einzigartig, als es einen völlig offenen Registrierungsprozess bietet, der es fast jedem mit einer E-Mail ermöglicht, sich für seine Dienste zu registrieren, anstatt direkt über spezielle Kommunikationskanäle (wie Dark-Web Foren oder verschlüsselte Messaging-Dienste) zu gehen. Zusätzlich bietet Caffeine, um die Unterstützung für eine Vielzahl von Kunden zu maximieren, auch Phishing-E-Mail-Vorlagen, die für die Verwendung gegen chinesische und russische Ziele vorgesehen sind; eine sehr ungewöhnliche und bemerkenswerte Funktion der Plattform”.
Das Phishing-Kit bietet auch einen Kundendienst für unerfahrene Benutzer sowie eine einfache Benutzeroberfläche.
“Nach der Registrierung wird ein neuer Caffeinebenutzer dann auf die Hauptindexseite des Dienstes weitergeleitet, um seine Phishing-Aktivitäten zu beginnen”, schreiben die Forscher. “Es ist erwähnenswert, dass Managed Defense im Laufe seiner Untersuchung der Caffeine-Plattform beobachtete, wie die Administratoren von Caffeine mehrere wichtige Plattformverbesserungen über den Caffeine-Newsfeed ankündigten, darunter Funktionsaktualisierungen und Erweiterungen ihrer akzeptierten Kryptowährungen”.
Das Phishing-Kit erleichtert auch die Suche nach Hosting-Diensten für Phishing-Kampagnen.
“Für die meisten traditionellen Phishing-Kampagnen verwenden Phisher im Allgemeinen zwei Hauptmechanismen, um ihre bösartigen Inhalte zu hosten”, sagt Mandiant. “Sie werden in der Regel eine speziell entwickelte Webinfrastruktur nutzen, die ausschließlich zu dem Zweck eingerichtet wurde, ihre Phishing-Attacken zu erleichtern, legitime Websites und Infrastrukturen von Drittanbietern zu nutzen, die von Angreifern kompromittiert wurden, um ihre Inhalte zu hosten, oder eine Kombination aus beidem.”
Schulungen zur Sensibilisierung für die Sicherheit können es Ihren Mitarbeitern ermöglichen, Phishing- und andere Social-Engineering-Angriffe zu erkennen.
Mandiant hat die Geschichte.
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.