Tja, so eine Spezialoperation kostet eben viel Geld. Da muss sich Putin schon etwas einfallen lassen, vor allem nachdem russische Militärblogger gegen jeden Befehl geheime US-Dokumente kostenlos auf ihren Telegram-Kanälen veröffentlicht haben.
Da Phishing-Websites effizient blockiert oder zu Anti-Phishing-Datenbanken hinzugefügt werden können, müssen Cyberkriminelle diese Seiten schnell und in großer Zahl generieren. Sie immer wieder von Grund auf neu zu erstellen, ist zeitaufwändig, und nicht alle Cyberkriminellen verfügen über die erforderlichen Fähigkeiten in der Webentwicklung und -verwaltung. Aus diesem Grund bevorzugen Cyberkriminelle Phishing-Kits, die Modellbausätzen ähneln. Sie bestehen aus vorgefertigten Vorlagen und Skripten, mit denen Phishing-Seiten schnell und in großem Umfang erstellt werden können. Phishing-Kits sind relativ einfach zu bedienen, weshalb auch unerfahrene Angreifer ohne technische Kenntnisse damit umgehen können.
Phishing-Kits sind einsatzbereite Pakete, deren Verwendung nur minimalen Aufwand erfordert. Darüber hinaus liefern ihre Entwickler mit ihren Produkten normalerweise Anweisungen für unerfahrene Angreifer. Phishing-Kits sind in der Regel darauf ausgelegt, Kopien von Websites zu erstellen, die bekannte Marken mit großem Publikum repräsentieren. Denn je mehr potenzielle Opfer es gibt, desto mehr Geld kann gestohlen werden.
Inhalt eines einfachen Phishing-Kit-Archivs:
Diese Phishing-Kits bestehen aus praktischen Gründen aus zwei wesentlichen Komponenten:
- Eine HTML-Seite mit einem Phishing-Dateneingabeformular und zugehörigen Inhalten (Stil, Bilder, Skripte und andere Multimedia-Komponenten). Angreifer zielen darauf ab, dass die Seite mit den Seiten auf der offiziellen Website des Unternehmens identisch aussieht, auf deren Benutzer sie den Angriff ausrichten möchten. Der HTML-Code der gefälschten Seite weicht jedoch vom Originalcode ab.
- Das Phishing-Skript, das Daten, die Opfer auf der gefälschten Seite eingeben, an Cyberkriminelle sendet. Es handelt sich normalerweise um ein einfaches Skript, das das Phishing-Dateneingabeformular parst. Im Code des Phishing-Skripts geben Cyberkriminelle auch das Telegram-Bot-Authentifizierungstoken, die E-Mail-Adresse oder andere Online-Ressourcen von Drittanbietern an, an die gestohlene Daten mithilfe des Phishing-Kits gesendet werden. Die Ersteller des Phishing-Kits kommentieren häufig die Zeile, in der eine Adresse oder ein Token eingegeben werden muss.
Anstatt fertige Seiten bereitzustellen, enthalten ausgeklügelte Phishing-Kits ihre Elemente (Bilder, Formulare, Phishing-Skripte, Textfragmente usw.) sowie ein separates Skript, das aus diesen Elementen neue Seiten erstellt.
Zusätzlich zu Tools, mit denen Angreifer selbst Phishing-Seiten erstellen können, können einige Phishing-Kits Skripte zum Versenden von Nachrichten an potenzielle Opfer über beliebte Messaging-Apps oder E-Mail enthalten, die Links zu Phishing-Seiten enthalten. Diese Mailings sind in der Regel die Anlaufstelle für Cyberkriminelle, um ihre Seiten an die Öffentlichkeit zu bringen. Die Kontaktdaten potenzieller Opfer können im Dark Web gefunden werden, wo eine kolossale Menge an Datenbanken verkauft wird, die Kunden verschiedener Unternehmen und Dienste enthalten.
Viele der in Phishing-Kits enthaltenen oder separat erhältlichen Skripts zum Versenden von Nachrichten können den Links einen URL-Parameter hinzufügen, der die E-Mail-Adresse des Empfängers enthält. Dieser Parameter wird häufig bei Phishing-Angriffen auf Unternehmen verwendet. Einige bekannte Phishing-Kits, die auf den Unternehmenssektor abzielen, sind in der Lage, die im URL-Parameter befindliche E-Mail-Domäne zu erfassen und eine auf diesen Domänennamen zugeschnittene Phishing-Seite zu generieren. Es gibt mehrere gängige Möglichkeiten, diese dynamische Inhaltsgenerierung bereitzustellen:
- Der Text auf der Seite passt sich dem Domainnamen an, wodurch er persönlicher aussieht und das Vertrauen des Opfers erhöht.
- Aus dem Internet werden Symbole geladen, die sich auf den Domainnamen des Opfers beziehen, wobei die Domain selbst im Wesentlichen das Schlüsselwort ist, das in einer Suchanfrage zum Laden von Symbolen verwendet wird.
Benutzerbezogener dynamischer Inhalt: Inhalt von Phishing-Websites zusammen mit Text und einem Symbol, das unter Verwendung des Domänennamens in der URL geladen wird
Einige ausgeklügelte Phishing-Kits enthalten funktionale Elemente, die verhindern, dass eine Seite von unerwünschten Agenten aufgerufen wird, wie z. B. Bots, die von bekannten Entwicklern von Anti-Phishing-Lösungen oder Suchmaschinen verwendet werden. Letztere sind unerwünscht, denn wenn eine Phishing-Seite ein Suchtreffer wird, besteht ein hohes Risiko, dass sie bald blockiert wird.
Inhalt eines ausgeklügelten Phishing-Kit-Archivs mit Bot-Erkennung
Abgesehen davon verwendeten einige der von uns entdeckten Phishing-Kits Geoblocking. Beispielsweise hatten Phishing-Angriffe in japanischer Sprache Seiten, die nur von japanischen IP-Adressen geöffnet werden konnten. Die Blockierung wurde in der Regel durch die Erkennung des User-Agent-Strings ausgelöst, der den Browser des Benutzers identifiziert, oder basierend auf seiner IP-Adresse, obwohl es auch einige Technologien gibt, die Anforderungsheader analysieren. All dies wurde getan, um das Risiko einer Erkennung durch Bots der Entwickler von Anti-Phishing-Lösungen zu verringern, die die Phishing-Seite scannen, und um zu vermeiden, dass sie in Anti-Phishing-Datenbanken landen.
Einige Phishing-Kits fügen verschiedene Verschleierungsoptionen für die generierten Seiten und reinen „Junk“-Code hinzu, der es Anti-Phishing-Lösungen erschweren soll, diese Seiten zu erkennen und zu blockieren
Erwähnenswert ist auch, dass ähnliche Formen der Verschleierung auch von den Entwicklern von Phishing-Kits selbst verwendet werden können, um an Daten zu gelangen, die ihre Kunden mit ihrem Produkt gesammelt haben. In diesem Fall wird nicht der Text der Phishing-Seite verschleiert, sondern der Code, der für die Rückübertragung von Informationen an den Ersteller des Phishing-Kits verantwortlich ist, wird verschleiert, um zu verhindern, dass der Client, der das Kit verwendet, ihn versteht.
Sehe das auch immer mehr das die eingesammelten Daten nicht mehr via Mail an yandex.ru oder gmail.com gehen sondern direkt an einen Telegram Channel geschickt werden, gerne wie erwähnt auch mal noch an einen 2. Channel weil Betrüger nun mal auch Betrüger betrügen. Interessant dabei ist das die Daten dabei oftmals garnicht mehr auf dem Server landen der den Pish serviert sondern einige machen es bereits so das ein JS Schnipsel im Browser das direkt erledigt.
Vielleicht sollten BKA und FBI mal anfangen solche Phishing Kits im Darknet zu vermarkten. Mit eingebautem Staatstrojaner selbstverständlich um die kriminellen so zu enttarnen ! (Das gleiche gilt für Ransomware und co).
So könnte man dafür sorgen das solche Angebote weitaus weniger Schmackhaft für Script-Kiddies werden.
Wer weiß denn, ob sie das nicht schon lange machen? Angeblich sollen die Amis ja mittlerweile auch eigene prof. Booter betreiben, welche bei den Busts um cyber-hub usw. denen in die Hände gefallen sind!
Ich sehe aber die wirkliche Gefahr durch Phishing, nicht bei den Script-Kiddies, sondern durch diejenigen gegeben, die genau wissen, was sie dort tun!
Was auch gerne gemacht wird ist, dass domainA in Emails beworben wird.
Wenn der User dann auf den Link klickt, wird er auf eine Landingpage weitergeleitet, die sich auf domainB befindet.
Das hat den Vorteil, dass man nur eine Domain austauschen und die Weiterleitung ändern muss, sollte domainA entsprechend erkannt und gefiltert werden.
Dabei spart man sich das komplette Aufsetzen der Landingpage.
Gerne in diesem Zusammenhang wird auch ein Referrer Check benutzt. D.h. es wird überprüft, ob die Anfrage von einer bestimmten Url stammt.
Der User klickt klickt auf den Phishing Link von domainA und wird nach domainb.com/xyz weitergeleitet.
Wenn man jetzt domainb.com/xyz direkt aufruft, würde kein Inhalt erscheinen, da der Referrer Check greift.
Erst mit dem korrekten Referrer ist eine Sicht auf die Phishing Landingpage möglich.