PHISHING: ES BLEIBEN 72 STUNDEN ZUM REAGIEREN

Von 6. Juli 2021Domains

Alle IT-Abteilungen wissen über Phishing Bescheid! Wissen sie jedoch, dass sich die meisten dieser Angriffe auf Marken konzentrieren, ihren Höhepunkt meist mittwochs erreichen und innerhalb der ersten drei bis fünf Tagen nach der Registrierung, der zu Phishing-Zwecken registrierten Domain, auftreten? Eine aktuelle Analyse ermöglicht es uns, Ihnen ein ziemlich vollständiges Profil dieser Angriffe zu präsentieren und Ihnen unsere Empfehlungen zur Begrenzung Ihres Schadens zu geben…

Die von der Interisle Consulting Group, vom 1. Mai bis 31. Juli 2020, durchgeführte Tiefenstudie lässt keinen Zweifel an den zunehmend „scharfen“ Strategien der Betrüger. Die Identifizierung von 99.412 Domain-Namen, die für Phishing verwendet wurden, und 122.092 Angriffen in diesem kurzen Zeitraum gibt ein besseres Verständnis für das Ausmaß dieses Phänomens, bei dem Marken die bevorzugten Ziele sind: Sie machen 43 % der Angriffe aus. Darunter Banken, soziale Medien, Steuerdienste, Universitäten… und, um die bekanntesten zu nennen, Amazon, Apple, AT&T, Chase, Facebook, LinkedIn, Microsoft, Outlook, Paypal und WhatsApp. Schlimmer noch, nach den gesammelten Daten wurden mehr als 300 von ihnen mindestens fünfmal angegriffen!

Neben diesen Zahlen hilft die Studie auch, das aktuelle Profil von Phishing-Angriffen zu skizzieren: Sie sind kurz (ca. 21 Stunden), finden hauptsächlich in der Mitte der Woche statt und werden erst 8 Stunden und 44 Minuten nach dem Einloggen der Opfer entdeckt.

Es zeigt auch, dass bei Domains mit bekanntem Registrierungsdatum Phishing-Angriffe unterschiedlich stattfinden:

  • in 45 % der Fälle innerhalb von 14 Tagen;
  • innerhalb der ersten 3 Tage bei 57 % der zu böswilligen Zwecken registrierten Domains.
  • Von diesen als bösartig identifizierten Domainnamen bleiben 17 % (so genannte ruhende Domains) nach der Registrierung mehr als 90 Tage lang von Hackern ungenutzt, während andere mehr als ein Jahr lang ungenutzt bleiben und auf zukünftige Angriffe warten.

Weiterhin heißt es in der Studie, dass:

  • 54% der „Angreiferdomains“ sind mit .COM und .NET registriert;
  • Nur 24 % nutzen geografische Endungen (country code TLDs), bevorzugt die 5 ccTLDs, die eine günstige oder kostenlosen Registrierung bieten, nämlich .TK (Tokelau), .GA (Gabun), .ML (Mali), .CF (Zentralafrikanische Republik) und .GQ (Äquatorialguinea);
  • 18 % der Domains werden mit neuen generischen Domainendungen registriert (während diese new generic TLDs nur 9 % aller weltweit registrierten Domain-Namen ausmachen); bemerkenswert ist, dass „.BUZZ“ (insbesondere für soziale Interaktionen) die an Platz 5 von den Hackern verwendete Endung ist.

Es ist jedoch wahrscheinlich, dass das Ausmaß von Phishing unterschätzt wird. Die Studie nennt mehrere Gründe, die ein Hindernis für die Erkennung und Identifizierung von Angriffen darstellen könnten. Dazu gehören

  • bestimmte Ausweichtechniken, die von Betrügern verwendet werden, insbesondere das „Cloaking“, das darin besteht, unterschiedliche Seiteninhalte zu präsentieren, je nachdem, ob der Besucher ein Mensch oder ein Roboter ist;
  • die verschiedenen Richtlinien zum Datenschutz, die die Anonymität von Betrügern garantieren, z. B. die DSGVO.

GUT BERATEN MIT EBRAND

Die bevorzugte Technik der Hacker ist der Identitätsdiebstahl (Spoofing) und das Einfallstor für die meisten Täuschungen bleibt: der Domainname! Um die betrügerische E-Mail-Adresse zu erstellen, die für ihre Phishing-Operationen verwendet wird, müssen die Hacker nämlich zuvor einen trügerischen Domainnamen registrieren. Es ist zwar nicht möglich, die Erstellung einer E-Mail-Adresse zu verhindern, aber es ist durchaus möglich, die Registrierung von Domain-Namen zu beschränken, die als „gefährdet“ eingestuft werden.

Wenn Sie auf Ihrer Ebene einen signifikanten Anstieg der Angriffe feststellen, müssen Sie unbedingt die Erkennung dieser Angriffe durch die Implementierung einer angepassten Überwachung verstärken, aber auch diese Angriffe durch defensive Registrierungen von sehr gezielten Domainnamen verhindern.

Aus diesem Grund bietet EBRAND Ihnen mit X-Ray-Radar ein brandneues Anti-Phishing-Erkennungstool. Dieses Tool überwacht Domain- und Subdomain-Einträge auf stündlicher Basis, um die Zusammensetzung betrügerischer Domain-Namen und deren Registrierungshäufigkeit zu untersuchen. Die Erkennung erfolgt unter den deklarierten DNS-Einträgen, aber auch unter anderen Datenbanken wie der Erstellung von Sicherheitszertifikaten. Dank der durchgeführten Studie sind Sie dann in der Lage, Ihren Verteidigungsperimeter im Internet feiner anzupassen. Diese Methode hat sich bei der Antizipation von Angriffen als sehr effektiv erwiesen. Darüber hinaus bietet die stündliche Überwachung den notwendigen Spielraum, um vor der 3-Tages-Frist zu agieren oder zu reagieren.

Für weitere Informationen über die X-Ray-Lösung klicken Sie auf das untenstehende Banner. Hier erfahren Sie mehr über die Funktionalitäten und Möglichkeiten.

X-Ray

Alexander Waegner
Managing Director bei EBRAND Services S.A.
EBRAND Services AG, Munich
Austria, Germany, Switzerland (German), UK