Microsoft deckt riesigen Phishing-as-a-Service-Betrieb auf

Nadine Juliana Dressler am 22.09.2021 20:21 Uhr
1 Kommentare
Microsoft hat einen riesigen Phishing-as-a-Service-Betrieb aufgedeckt. Dahinter stecken Cyberkriminelle, die mehr als 120 Vorlagen anbieten, mit denen sich Informationen von Internetnutzern stehlen lassen. Ein solcher Dienst in dem Ausmaß war bisher komplett unbekannt.

Das Sicherheitsteam von Microsoft informiert in einem Blog-Beitrag über den Phishing-Anbieter BulletProofLink jetzt ganz ausführlich. Man hat demnach eine riesige laufende Operation aufgedeckt, die Phishing-Dienste für Cyberkriminelle bereitstellt und dabei eine Hosting-ähnliche Infrastruktur nutzt, die Microsoft zur besseren Veranschaulichung mit einem Phishing-as-a-Service-Modell (PHaaS) vergleicht.

Ungewohnt enormes Ausmaß der Bedrohung

"Bei der Untersuchung von Phishing-Angriffen sind wir auf eine Kampagne gestoßen, bei der eine ziemlich hohe Anzahl neu erstellter und eindeutiger Subdomains verwendet wurde - über 300.000 in einem einzigen Durchlauf", so Microsoft heute, was das enorme Ausmaß des PHaaS in die richtige Perspektive rückt.

Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing

Der als BulletProofLink, BulletProftLink oder Anthrax bekannte Dienst wird vor allem im Darknet beworben. Der Dienst ist laut Microsoft eine Weiterentwicklung von "Phishing-Kits", bei denen es sich um Sammlungen von Phishing-Seiten und -Vorlagen handelt, die die Anmeldeformulare bekannter Unternehmen nachahmen. Beliebt sind dabei Banken, Versanddienstleister und Ähnliche. Bei BulletProofLink kann man demnach passende Vorlagen mieten: Gegen eine Gebühr von 800 Dollar erledigen die Kriminellen dann alles Weitere für ihre Kunden.

Zu diesen Diensten gehören die Einrichtung einer Webseite, auf der die Phishing-Site gehostet wird, die Installation der Phishing-Vorlage selbst, die Konfiguration der Domänen für die Phishing-Sites, der Versand der eigentlichen Phishing-E-Mails an die gewünschten Opfer, das Sammeln der Anmeldedaten von Angriffen und die anschließende Auslieferung der gestohlenen Logins an die "zahlenden Kunden".

Doppelte Gefahr

Microsoft-Forscher haben jedoch auch herausgefunden, dass der Dienst seine eigenen Kunden bestiehlt, indem er Kopien aller gesammelten Anmeldedaten aufbewahrt, die die Gruppe vermutlich zu einem späteren Zeitpunkt zu Geld machen will, indem sie die Anmeldedaten auf Untergrundmärkten verkauft. Das ist eine doppelte Gefahr für die ausgespähten Betroffenen. Microsoft 365 Defender blockt die jetzt entdeckten Seiten.

Download So laufen Windows Defender und andere Antivirus-App nicht parallel
Siehe auch:
1 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Folge WinFuture auf Google News
Verwandte Themen
Microsoft Defender
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies