EMEA-Phishing-Muster: Erkenntnisse aus dem F5 SOC

Für echte Angler (die echte, lebende Fische angeln) ist es kein Geheimnis, dass es auf das richtige Timing ankommt. Bestimmte Fischarten sind aktiver und werden daher eher morgens gefangen, andere abends und wieder andere am frühen Nachmittag.

Es stellt sich heraus, dass es beim digitalen Phishing nicht anders ist, wenn wir die Muster derjenigen interpretieren, die solche Aktivitäten durchführen. Dabei werden die Statistiken herangezogen, die unser F5 SOC im Jahr 2015 über Phishing-Versuche gegen Finanzinstitute in Europa, dem Nahen Osten und Afrika (EMEA) gesammelt hat. 

Auf das Timing kommt es an

Wenn Sie vermeiden möchten, in EMEA Opfer eines Phishing-Angriffs zu werden, ist Samstag der beste Wochentag für die Abwicklung von Finanzgeschäften. Damals ereigneten sich im Jahr 2015 lediglich 5 % der Angriffe. Am nächstbesten sind Freitag und Sonntag zu nennen, an diesen Tagen ereigneten sich lediglich 12 %.

Der schlechte Ruf des Montags trifft zu, denn an diesem Tag wurden mehr Angriffe (20 %) registriert als an jedem anderen Tag. Allerdings schneidet die Situation im Rest der Geschäftswoche nicht viel besser ab. Dass Finanzinstitute unter der Woche im Durchschnitt mehr Angriffen ausgesetzt sind als an den Wochenenden, ist keine Überraschung. Denn Untersuchungen von IDC zeigen, dass 30–40 % der Internet-Zugriffszeit am Arbeitsplatz für nicht arbeitsbezogene Aktivitäten aufgewendet wird[1].

Dies wird noch durch Daten untermauert, die zeigen, dass die meisten Phishing-Angriffe während der Geschäftszeiten erfolgen.

Im Jahr 2015 war die Wahrscheinlichkeit eines Phishing-Angriffs zudem zu Monatsbeginn um 200 % höher als am Monatsende. Die Phishing-Angriffe erreichten in der ersten Woche des Monats ihren Höhepunkt und nahmen dann ab. Wie erwartet war die Aktivität an Wochentagen höher und an Wochenenden geringer.

Es ist nicht überraschend, dass die meisten Arbeitgeber in der EMEA-Region die Gehälter ihrer Mitarbeiter entweder am Anfang oder am Ende des Monats abziehen. Die SOC-Experten von F5 weisen darauf hin, dass dies in Kombination mit der durchschnittlichen Online-Banking-Nutzung von 46 % in der EU[2] wahrscheinlich der Grund dafür ist, dass wir zu Beginn des Monats einen starken Anstieg der Angriffe beobachten, wenn sich die Mitarbeiter in ihre Online-Banking-Systeme einloggen, um Rechnungen zu bezahlen oder zu prüfen, ob ihr Gehalt schon eingegangen ist.

Den richtigen Köder auswählen

Beim Angeln in der realen Welt ist kein Thema so umstritten wie die Frage, welcher Köder der beste ist. Wichtige Faktoren sind Farbe, Größe, Bewegung und wie genau der Köder die „echte“ Welt nachahmt. Schließlich versuchen wir, die Fische davon zu überzeugen, dass der von uns verwendete Köder echt ist, in der Hoffnung, dass sie anbeißen. Dasselbe gilt für die Köder und Websites, die von Phishern zum Abgreifen von Finanzdaten in der digitalen Welt verwendet werden.

Es zeigt sich, dass es ebenso wie bei Fischen einiges braucht, um überzeugt zu werden, wie bei potenziellen Phishing-Opfern. Das F5 SOC stellte fest, dass es im Durchschnitt 9,14 Besuche auf einer betrügerischen Seite brauchte, bevor jemand auf den Köder hereinfiel.

Experten verbringen viel Zeit mit der Auswertung entdeckter betrügerischer Websites, um möglichst viel über die Phisher und ihre Techniken herauszufinden. Es stellt sich heraus, dass sie anhand der bei Phishing-Angriffen verwendeten URLs viel über Angreifer aussagen können. Im Jahr 2015 wurde festgestellt, dass eine von zehn betrügerischen Websites entweder in der Stammverzeichnisrichtung ohne zusätzlichen Pfad gehostet wurde, z. B. www.phishingsite.com oder www.phishingsite.com/index.html. Dies deutet darauf hin, dass die Server speziell zum Hosten betrügerischer Websites präpariert wurden. Das bedeutet, dass sie wahrscheinlich speziell für Phishing-Angriffe gekauft wurden. Normalerweise hacken Angreifer eine bestehende Site und fügen schädliche Inhalte hinzu. Daher ist dieser Schritt beunruhigend, da die Site-Konfiguration nicht durch andere Präventivmaßnahmen, wie etwa Web Application Firewalls, erkannt wird.

Angesichts der Zahl schwerwiegender Sicherheitslücken, die das beliebte System im Jahr 2015 plagten, überrascht es nicht, dass 15 % der betrügerischen Websites in WordPress-Ordnern gehostet wurden. Nicht gepatchte und/oder nicht behobene Schwachstellen können leicht von Personen ausgenutzt werden, die nach einem Ort suchen, um ihren Schadcode und ihre betrügerischen Websites zu hosten.

Darüber hinaus weisen die SOC-Experten von F5 darauf hin, dass 20 % der URL-Pfade dynamisch und pro Opfer generiert wurden, was eine Blockierung mit herkömmlichen Sicherheitsmaßnahmen erschwert. Dies trägt auch zur durchschnittlichen Zeit bei, die im Jahr 2015 benötigt wurde, um betrügerische Websites zu entfernen oder zu schließen.

Die gute Nachricht ist, dass es weniger Zeit erfordert, eine betrügerische Site lahmzulegen, wenn die Anmeldeinformationen eines Endbenutzers gestohlen wurden. Die schlechte Nachricht ist, dass in der Zwischenzeit viele Benutzer ungeschützt sind und sich der potenziellen Gefahr nicht bewusst sind.

Das F5 SOC empfiehlt die Überwachung von Domänen mit ähnlichen Namen wie offiziellen Domänen, um die Zeit zwischen Einrichtung und Erkennung zu verkürzen. Viele gefälschte Seiten enthalten offizielle Zeichenfolgen in der angreifenden URL, auch wenn sie nicht unbedingt auf Domänen mit ähnlichen Namen gehostet werden. Generell empfiehlt F5 SOC, im Internet nach diesen spezifischen Wörtern zu suchen. Phishing-Angriffe auf Finanzinstitute im EMEA-Raum sind tendenziell während der Geschäftszeiten von Montag bis Donnerstag am aktivsten. Um zu verhindern, dass Verbraucher Opfer eines Zugangsberechtigungsdiebstahls werden, ist Zeit der entscheidende Faktor. Daher ist es wichtig, alle gefälschten Seiten schnellstmöglich analysieren und schließen zu lassen.

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

Weitere Informationen zum Betrugsschutz von F5 finden Sie im WebSafe-Datenblatt sowie im MobileSafe- Datenblatt . Weitere Informationen zu F5 Security Operation Centers finden Sie im F5 SOC-Datenblatt.