Neuartige Voice-Phishing-Kits ermöglichen Anpassung von Phishing-Angriffen in Echtzeit

Okta-Sicherheitsforscher haben kürzlich in einem Blogbeitrag berichtet, neuartige Phishing-Kits aufgespürt zu haben. Diese Kits ermöglichen es auch unerfahrenen Angreifern, hochkomplexe, stark individualisierte Vishing–Angriffe zu initiieren. Selbst Multi-Faktor-Authentifizierungen (MFA) lassen sich mit ihrer Hilfe leicht überwinden. Das Ziel der Angreifer: der unentdeckte Zugang zu und Zugriff auf die Google-, Microsoft- und Kryptowährungskonten ihrer Opfer.

Der Ablauf der Angriffe erfolgt bei allen Kits nach weitgehend demselben Muster. Zunächst ermitteln die Angreifer ihre Opfer und kundschaften sie aus. Namen, Telefonnummern und präferierte Apps und Dienste werden festgestellt. Dann erstellen sie, unter Zuhilfenahme der Kits, maßgeschneiderte Phishing-Webseiten, die sie äußerlich als Webseite der von ihren Opfern präferierten App erscheinen lassen. Nun rufen sie ihre Opfer per Telefon an, wobei sie vortäuschen, Mitarbeiter der Support-Hotline der jeweiligen App zu sein. Unter dem Vorwand, für die App eine IT-Support- oder Sicherheitsanforderung umsetzen zu müssen, bringen sie ihre Opfer dazu, in deren Browser die getarnte Phishing-Website zu öffnen. Hier werden die Opfer dann gebeten, ihren Nutzernamen und ihr Passwort einzugeben. Was die Opfer nicht wissen: sobald sie ihre Credentials eingegeben haben, leitet die Phishing-Seite sie automatisch an den Telegram-Kanal des jeweiligen Angreifers weiter. Die Angreifer setzen das ‚Support‘-Gespräch dann fort, während sie im Hintergrund auf ihrem eigenen Rechner schon einmal auf die tatsächliche Website der App wechseln und die Credentials ihres Opfers eingeben. Ihr Problem: Online-Anmeldungen sind mittlerweile in aller Regel zusätzlich über eine MFA abgesichert – können von den Angreifern also nicht durch einfache Phishing-Angriffe überwunden werden. Zum Glück der Angreifer können die Phishing-Kits aber noch mehr: nämlich die Phishing-Webseiten in Echtzeit an die konkreten individuellen Anforderungen der Angreifer anpassen. Diese werden so in die Lage versetzt, ihren Opfern verbal anzukündigen, dass gleich ein One Time Password (OTP) oder eine Push-Benachrichtigung auf ihrem Rechner erscheinen wird – was dann auch, Phishing-Kit sei Dank, tatsächlich geschieht. Gibt das Opfer nun auch hier seine Daten ein, bestätigt etwa die Push-Benachrichtigung, hat der Angreifer die MFA seines Opfers überwunden. Der Weg, sich ungestört im Nutzerkonto seines Opfers zu bewegen, Informationen einzusehen oder bösartige Aktivitäten zu starten, ist frei.

Ermöglichen tun all dies clientseitige Skripte auf der Phishing-Webseite, mit denen die Angreifer den Authentifizierungsablauf im Browser ihres Opfers in Echtzeit steuern können – während sie ihrem Opfer verbal über das Telefon Anweisungen geben, Vertrauen aufbauen und auf mündliches Feedback reagieren. Synchron zu den Anweisungen, die der Angreifer am Telefon gibt, kann er gezielt steuern, was sein Opfer an seinem Bildschirm sieht.

Der Einschätzung der Sicherheitsforscher von Okta, dass solche und ähnliche Vishing-Angriffe in den kommenden Jahren noch stark zunehmen werden, kann nur zugestimmt werden. Unternehmen kann nur geraten werden, ihre Anti-Phishing-Maßnahmen zu verstärken. Kann solch ein Vishing-Angriff doch leicht ihre Mitarbeiter – bis hinauf in die Geschäftsführung – ins Visier nehmen. Am effektivsten und effizientesten wird ihnen dies durch die breite Anhebung des Sicherheitsbewusstseins der gesamten Belegschaft gelingen. Sämtliche Mitarbeiter müssen kontinuierlich über Strategien und Taktiken der Angreifer auf dem Laufenden gehalten werden. Sie können und müssen zur ersten Verteidigungslinie ausgebaut werden, wenn es darum geht, das Unternehmen vor den immer komplexer werdenden Phishing-Angriffen abzusichern.

Am effektivsten – da umfassendsten – hilft hier der Einsatz eines modernen Human Risk Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter wie KI-Agenten zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Hier geht’s weiter