Ralf Sydekum, Technical Manager DACH bei F5 Networks, stellt die wichtigsten Ergebnisse des Phishing and Fraud Report 2019 von F5 Labs vor
München, 13. November 2019 – Phishing ist aktuell die häufigste Methode für Angriffe auf Daten. Das zeigt F5 Labs in seinem dritten jährlichen Phishing and Fraud Report. Demnach sind die Bereiche Finanzen, Gesundheit, Bildung, gemeinnützige Organisationen und Rechnungswesen am stärksten gefährdet. Die Studie basiert auf Informationen des F5-Partners Webroot sowie des eigenen weltweiten Security Operation Center (SOC).
Gemäß der Studie wird Phishing nicht mehr so saisonabhängig und vorhersehbar sein wie bisher, da die Anzahl der Bedrohungen kontinuierlich steigt. Im Vorjahr meldete das F5 SOC einen Anstieg der Phishing-Angriffe um 50 Prozent während der E-Commerce-starken Zeit zwischen Oktober und Januar. Dies ist inzwischen nicht mehr der Fall.
Details zu Phishing-Angriffen 2019
Laut F5 Labs stammen die Zieladressen für Phishing-E-Mails aus einer Vielzahl von Quellen. Je nach Ansatz und Intensität können diese Mails an Tausende von potenziellen Opfern oder an eine bestimmte Person versendet werden. Inzwischen haben Phishing-E-Mails dreimal häufiger einen bösartigen Link als einen Anhang. Die am häufigsten genannten Marken und Dienste sind Facebook, Microsoft Office Exchange und Apple.
Einer der wichtigsten Trends ist weiterhin, dass Phisher Glaubwürdigkeit vortäuschen, wobei bis zu 71 Prozent der Phishing-Websites über die Nutzung von HTTPS als legitim erscheinen. F5 Labs stellte auch fest, dass 85 Prozent der analysierten Phishing-Websites, die digitale Zertifikate verwenden, diese von einer vertrauenswürdigen Zertifizierungsstelle (CA) signieren lassen. Darüber hinaus beinhalten 21 Prozent der Zertifikate auf Phishing-Sites entweder Organization Validation (OV, 20%) oder Extended Validation (EV, 1%).
Gefälschte Phishing-Sites wurden auf einer Vielzahl von Internet-Hosts gefunden, wobei 4cn.org (2,7%), airproxyunblocked.org (2,4%), 16u0.com (1,0%) und prizeforyouhere.com (1,0%) dominierten. Zu den Top-Domains mit einzigartigen Phishing-Sites gehört blogspot.com, das für 4 Prozent aller analysierten Phishing-Fälle und 43 Prozent der Malware verantwortlich war. Die Blogging-Plattform ermöglicht es, bösartige Inhalte auf einer bekannten Domain zu hosten, die problemlos kostenlose, OV-bewertete TLS-Zertifikate für alle ihre Websites bereitstellt. Andere häufig gefährdete Domains sind 000webhostapp.com, ebaraersc.net und .info.
Die am häufigsten vorkommenden Bestandteile in untersuchten Phishing-URLs waren .htm (19,4%),.php (7,4%), Login (3,0%) und admin (1,2%). F5 Labs beobachtete auch, dass über 7 Prozent der Malware-Websites verschlüsselte Verbindungen über nicht standardgemäße HTTPS-Ports nutzen (z.B. 8443).
Automatisierung optimiert Angriffe
Einen weiteren wichtigen Trend zeigt die steigende Zahl von Phishern, die über Automatisierung ihre Angriffe optimieren. So erhalten viele Phishing-Sites Zertifikate über Dienste wie cPanel (integriert mit Comodo CA) und LetsEncrypt. 36 Prozent der Phishing-Websites hatten Zertifikate, die nur 90 Tage gültig sind. Dies deutet darauf hin, dass Phisher eine Zertifikatsautomatisierung verwenden.
95 Prozent der analysierten Domains wurden weniger als zehnmal genutzt, 47 Prozent sogar nur einmal. Demnach automatisieren Angreifer den Aufbau einer Phishing-Site vollständig, um den Return on Investment zu maximieren. Durch Automatisierung kann ein Phisher den Kauf und die Bereitstellung von Zertifikaten in allen Domains orchestrieren. Zudem weisen viele für Phishing genutzte Zertifikate Subject Alternative Names auf, die eine mehrfache Wiederverwendung derselben Zertifikate in vielen Domains ermöglichen.
Tipps für mehr Sicherheit
F5 Labs empfiehlt, dass jede Präventionsstrategie Mitarbeiter-Schulungen sowie folgende technische Sicherheitsmaßnahmen umfasst:
- Nutzen Sie Multifaktor-Authentifizierung (MFA). Sie verhindert, dass gestohlene Zugangsdaten an ungewöhnlichen Orten oder mit unbekannten Geräten verwendet werden.
- Markieren Sie alle E-Mails aus externen Quellen deutlich, um Spoofing zu verhindern.
- Setzen Sie Antivirensoftware (AV) auf jedem relevanten System ein. Meistens verhindert die AV-Software eine Malware-Installation, wenn sie auf dem neuesten Stand ist und mindestens täglich aktualisiert wird.
- Implementieren Sie Webfilter-Lösungen. Diese verhindern, dass Nutzer versehentlich Phishing-Seiten besuchen. Wenn sie trotzdem auf einen bösartigen Link klicken, blockiert die Lösung den ausgehenden Datenverkehr.
- Prüfen Sie den verschlüsselten Datenverkehr auf Malware. Dabei ist es wichtig, auch den internen Traffic zu entschlüsseln, bevor er an Tools zur Erkennung von Vorfällen gesendet wird.
- Verbessern Sie das Reporting. Zu den Sicherheitsmaßnahmen sollte eine einfache Methode gehören, mit der Nutzer vermutliche Phishing-Mails markieren und an die Security-Abteilung weiterleiten können.
- Überwachen Sie die Endpunkte. Dies ermöglicht Einblicke, welche Malware im Netzwerk aktiv ist und welche Anmeldeinformationen gefährdet sein könnten.
Über F5 Networks
F5 (NASDAQ: FFIV) gibt den weltweit größten Unternehmen, Dienstleistern, Behörden und Verbrauchermarken die Freiheit, jede App sicher, überall und mit Vertrauen bereitzustellen. F5 bietet Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die von ihnen gewählte Infrastruktur zu nutzen, ohne Geschwindigkeit und Kontrolle zu beeinträchtigen. Weitere Informationen finden Sie unter f5.com. Sie können auch @f5networksde auf Twitter folgen oder uns auf LinkedIn und Facebook besuchen, um weitere Informationen über F5, seine Partner und Technologien zu erhalten.
Fink & Fuchs AG Michaela Ferber und Kirsten Gnadl Tel.: +49 89-589787-14 | F5 Networks Claudia Kraus Tel.: +49 89-94383-0 |