Laut Forschern von Flare sind Phishing-Plattformen für Waren mittlerweile ein zentraler Bestandteil der Cyberkriminalität. Diese Plattformen ermöglichen es Angreifern aller Qualifikationsstufen, komplexe Angriffe in großem Umfang durchzuführen.
„Moderne Kits verfügen oft über fortschrittliche Funktionen wie Reverse-Proxy, Echtzeit-MFA-Bypass, dynamischen Logo-Austausch, Bot-Erkennung, Telegram-Exfiltration und automatisierte Opferverfolgung, was sie zu einem der am weitesten verbreiteten und skalierbarsten Tools im Ökosystem der Cyberkriminalität macht“, sagt Flare.
„Eine neuere Weiterentwicklung dieses Modells ist Phishing-as-a-Service (PhaaS), bei dem Betreiber Abonnements für vorgefertigte Phishing-Infrastrukturen verkaufen, sodass Kunden nie mit dem zugrunde liegenden Code in Berührung kommen. Ein solcher Service umfasst häufig Hosting-Dienste, Köder, Dashboards und automatische Updates. Dadurch wird Phishing zu einer skalierbaren, wenig qualifizierten, wirkungsvollen Dienstleistungswirtschaft, die das Volumen und die Raffinesse globaler Phishing-Kampagnen dramatisch erhöht.“
Benutzer müssen auf die sich weiterentwickelnden Social-Engineering-Techniken aufmerksam gemacht werden, da diese fortgeschrittenen Angriffe zunehmend zur Norm werden.
„Die hier vorliegenden Informationen über ausgeklügelte Phishing-Kits zeigen, dass die Schulung der Benutzer weiterentwickelt werden muss“, schreiben die Forscher. „Den Benutzern zu sagen, sie sollen die URL-Leiste überprüfen, reicht nicht mehr aus, wenn die Kits das Browserfenster überzeugend fälschen können.
„Sicherheitsbewusstseinsprogramme sollten Beispiele für AiTM und BitB enthalten und Ratschläge geben wie: „Wenn eine MFA-Aufforderung oder eine Anmeldung zu einem ungewöhnlichen Zeitpunkt erscheint, seien Sie skeptisch, auch wenn sie normal aussieht.“ Betonen Sie auch die Verwendung von Passwort-Managern, da diese einen Schutz gegen gefälschte Formulare bieten können. Um Ihre Organisation besser gegen die neuesten Phishing-Tricks (wie QR-Code-Phishing, AiTM, BitB-Fenster) zu schulen, integrieren Sie diese in Phishing-Simulationen für Mitarbeiter, um sie etwas zu immunisieren und das Risiko zu messen.“
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Flare hat die story.