Cybercrime-as-a-Service: Das Rundum-sorglos-Paket für Phishing

Alles lässt sich mieten, auch professionelle Phishing-Kampagnen. Die Zugangsdaten der Opfer landen dabei wohl nicht nur bei den Endkunden.

Artikel veröffentlicht am , Anna Biselli
Phishing ist ein altes Phänomen, das immer wieder in neuem Gewand erscheint.
Phishing ist ein altes Phänomen, das immer wieder in neuem Gewand erscheint. (Bild: mohamed_hassan/pixabay.com)

Die meiste Infrastruktur und Software kann man mittlerweile "as a Service" mieten. Das Dienstleistungsgeschäft haben längst auch Ransomware-Gruppen und andere übernommen. IT-Sicherheitsforscher von Microsoft haben nun eine große Phishing-as-a-Service-Kampagne entdeckt, die es den Kunden leicht macht, ohne technische Vorkenntnisse Zugangsdaten im großen Stil zu bekommen.

Stellenmarkt
  1. Software Integration and Test Engineer HPC (m/f / diverse)
    Continental AG, Wetzlar
  2. DevOps/IT Operations Engineer (w/m/d) Container Platform
    ING Deutschland, Nürnberg
Detailsuche

Bezahlen sie für ein Phishing-Paket, müssen sie nichts weiter tun, als ihr Abo zu bezahlen, und erhalten Login-Daten. Die Anbieter verschicken für sie die Phishing-Mails, erstellen und hosten die Fake-Websites, auf denen die Empfänger ihre Passwörter eingeben sollen, und leiten die gesammelten Daten an die Kunden weiter.

Laut Microsoft bietet BulleProofLink über 100 Pakete an, bei denen legitime Websites und Anbieter nachgebildet werden. Das Marketing der Anbieter ist laut der Beschreibung der Sicherheitsforscher professionell. Sie bieten den Kunden Supportdienste, eine Ersatzgarantie innerhalb von fünf Minuten, wenn Links nicht mehr funktionieren, und haben Videos mit Anleitungen veröffentlicht. Außerdem werben sie mit Preisnachlass für Newsletter-Abos für Erstkunden. Die Preise richten sich nach dem nachgebildeten Anbieter und dem Umfang der Phishing-Operation. Laut Screenshots würde eine gefälschte Login-Seite für Office365 etwa 100 US-Dollar kosten.

Zugangsdaten landen wahrscheinlich auch auf dem Schwarzmarkt

Bei den Phishing-Kampagnen könnten die erlangten Login-Daten nicht nur an die Endkunden gehen. Die Betreiber "maximieren ihre Gewinne, indem sie sicherstellen, dass gestohlene Daten, Zugangsdaten und Zugangsberechtigungen auf möglichst viele Arten genutzt werden. Darüber hinaus landen die Zugangsdaten der Opfer wahrscheinlich auch auf dem Schwarzmarkt", heißt es bei Microsoft.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    28.-30.11.2022, Virtuell
Weitere IT-Trainings

BulletProofLink nutze für die Phishing-Kampagnen eine Technik namens Infinite Subdomain Abuse. Dabei können die Angreifer für jeden Empfänger eine eindeutige Subdomain nutzen, die dann auf die gewünschte Seite umleitet. Die eindeutigen URLs seien schwerer automatisiert herauszufiltern, so Microsoft.

Mit der Veröffentlichung wolle Microsoft erreichen, dass auch andere etwa E-Mail-Filterregeln verbessern können, um Phishingversuche besser zu erkennen und abzuwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Potential Motors
Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt

Potential Motors hat mit dem Adventure 1 ein kleines Offroad-Wohnmobil mit E-Motoren vorgestellt, die insgesamt 450 kW Leistung erbringen.

Potential Motors: Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt
Artikel
  1. Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
    Minority Report wird 20 Jahre alt
    Die Zukunft wird immer gegenwärtiger

    Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
    Von Peter Osteried

  2. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  3. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /