Der Staat Bayern setzt bei der Bekämpfung von Phishing E-Mails auf die Software BigPhish. Mitte Juni unterzeichnete Bayerns Justizminister Georg Eisenreich eine Kooperationsvereinbarung mit der niederländischen Forschungsgesellschaft TNO (Netherlands Organization for Applied Scientific Research), die BigPhish zusammen mit niederländischen Ermittlungsbehörden entwickelt hat. Getestet wird sie von der Zentralstelle Cybercrime Bayern (ZCB). Die Software kontrolliert fortlaufend die Certificate Transparency (CT) Logs. Aus den neu registrierten Domain-Zertifikaten werden potenzielle Phishing-Domains herausgefiltert.
Die verdächtigen Domains werden vom BigPhish-Crawler besucht. Die Seiten werden dann auf Spuren von Phishing untersucht. Weitere Indikatoren für Phishing-Webseiten werden abgeglichen. Alle gesammelten Daten von Phishing-Domains werden in einer Datenbank für die Ermittler gespeichert. Doch wie effektiv ist es eigentlich Phishing-Domains aus dem Internet zu entfernen, um dadurch wirklich die Anzahl von Phishing E-Mails zu reduzieren?
Sind eine Software und die Übermittlung einer Datenbank an die Strafverfolgungsbehörden wirklich der richtige Ansatz, um die Phishing-Domains aus dem Verkehr zu ziehen und die Zahl der Phishing-Versuche zu verringern?
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4: Das Instrumentarium der Verteidiger muss sich weiterentwickeln, um mit dem Tempo der Angreifer Schritt zu halten. Dieses Tool ermöglicht den Strafverfolgungsbehörden ein schnelleres und präziseres Handeln. Dies ist von entscheidender Bedeutung, da die meisten Phishing-Websites zu dem Zeitpunkt, zu dem sie gemeldet werden, bereits abgeschaltet sind, was eine Zuordnung unglaublich schwierig macht. Mit dem Tool können weit verbreitete Phishing-Kits identifiziert werden, so dass die Strafverfolgungsbehörden ihre Bemühungen konzentrieren können. So können z. B. die Entwickler von Toolkits verhaftet werden, anstatt nur Websites zu sperren.
Wie viel Zeit benötigt ein Cyberkrimineller im Durchschnitt, um eine neue Phishing-Domain einzurichten?
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4: Die Angreifer verwenden einen bestimmten Domänennamen oft innerhalb von vier Tagen nicht mehr, da die Namen meist innerhalb von 48 Stunden gemeldet werden. Sie ziehen weiter zu einer anderen Domäne und einem neuen Server. Die Einrichtung eines neuen Domänennamens und eines neuen Servers zum Hosten eines Phishing-Kits ist eine Sache von ein paar Stunden, einschließlich der Erstellung eines neuen Zertifikats für die SSL-Verschlüsselung.
Ist es sinnvoll, dass ein Land dies tut, oder sollte dies eher eine internationale Initiative sein?
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4: Da Phishing-Kampagnen auf ein bestimmtes Land oder eine bestimmte Sprache beschränkt sein können, ist es sinnvoll, dass die örtlichen Strafverfolgungsbehörden eingeschaltet werden. Im Interesse einer effizienten Strafverfolgung sollte ein Großteil der Analyse lokal durchgeführt werden. Die Bemühungen können gezielter auf eine bestimmte Branche wie das Online-Banking ausgerichtet werden.
Wie wirksam ist der beschriebene Mechanismus?
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4: Der Mechanismus ist weitaus effektiver als bestehende Ansätze. Er ermöglicht die Erkennung eines Webservers, der mit einem Phishing-Kit vorbereitet wurde, aber noch nicht in Phishing-E-Mails beworben wird. Domänen könnten abgeschaltet werden, bevor die Angreifer sie überhaupt nutzen können, oder zumindest könnte die durchschnittliche Lebensdauer einer Phishing-Domäne von 4 Tagen sinken. Zusammenfassend lässt sich sagen, dass das Tool die Angreifer unter Druck setzt, Server und Domänennamen, sogar Phishing-Kits, schneller zu wechseln.
Gibt es ähnliche Initiativen und wie erfolgreich sind sie?
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4: Der Ansatz wurde erstmals auf einer Konferenz im Jahr 2021 veröffentlicht und diskutiert. Das Scannen von Certificate Transparency-Protokollen war eine großartige Idee. In Zukunft könnten wir den Austausch von Fingerabdrücken von Phishing-Kits und anderen Bedrohungsdaten sehen, um das Tool effizienter einzusetzen. Ein Vergleich mit den Listen der Anti-Phishing-Arbeitsgruppe zeigt, dass das Tool die bestehenden Tools und Meldemechanismen übertrifft. Wir brauchen mehr Innovationen wie diese. Soweit ich weiß, gibt es kein Tool, das ähnliche Möglichkeiten bietet.
Fazit
Phishing bleibt eine Gefahr. Initiativen wie BigPhish werden daran etwas, aber nicht viel verändern können. Viel zu viel Geld steckt mittlerweile in diesem System und Cyberkriminelle profitieren zu sehr vom Einfallstor E-Mail, als dass sie etwas neues probieren. Unternehmen sollten deshalb dennoch auf Aufklärung setzen und ihre Mitarbeiter und Nutzer in Security Awareness schulen.