Sicherheitsexperten des US-amerikanischen Cloud-Sicherheitsanbieters Zscaler haben Ergebnisse einer Analyse zu akuten Cyber-Bedrohungen veröffentlicht und warnen vor einer weiteren Zunahme von Phishing-Angriffen und den Auswirkungen der Nutzung von KI-Tools wie ChatGPT durch Cyber-Kriminelle. Für ihre Studie, die aktuelle Cyber-Crime-Trends, neuartige Betrugsmaschen und die am stärksten von Angriffen betroffenen Branchen und Regionen aufdeckt, werteten die Experten globale Bedrohungsdaten der letzten 12 Monate aus, die im Zuge der Abschirmprozesse für eine der weltweit größten Inline-Sicherheits-Clouds angefallen sind.
Weltweit stieg danach die Anzahl der Phishing-Angriffe im Vergleich zum Vorjahr in 2022 um fast 50 Prozent. „Phishing ist nach wie vor eine der häufigsten Bedrohungsarten, die Cyberkriminelle für das Eindringen in die Infrastrukturen globaler Unternehmen nutzen. Von Jahr zu Jahr steigt die Zahl der Phishing-Angriffe, die immer raffinierter ablaufen,“ so Deepen Desai, Global CISO und Head of Security bei Zscaler. Zu diesem Wachstum haben laut Zscaler KI-Tools wie ChatGPT und im Dark Net zum Verkauf angebotene „fertige Phishing-Kits“ erheblich beigetragen, da sie die technischen Einstiegshürden für Kriminelle senken und die Betrüger so Entwicklungszeit und Ressourcen sparen.
Dass neue KI-Technologien wie ChatGPT inzwischen frei zugänglich sind, erleichtert es Cyberkriminellen, bösartigen Code zu generieren, Angriffe mit Business-E-mail-Compromise-Betrugsmaschen durchzuführen und dabei polymorphe Malware einzusetzen, die es für Zielpersonen und angegriffene Systeme immer schwerer macht, das Phishing als solches zu erkennen. Unter den am häufigsten für Phishing-Kampagnen genutzten Marken finden sich große, omnipräsente Namen wie Microsoft, Binance, Netflix, Facebook und Adobe. Phishing-Seiten werden zudem auch zunehmend auf dem InterPlanetary File System (IPFS) gehostet. Bei IPFS handelt es sich um ein Peer-to-Peer-Dateisystem, mit dem User Dateien in einem dezentralen Computernetzwerk speichern und gemeinsam nutzen können. Aufgrund des Peer-to-Peer-Netzwerkmodels ist es sehr viel schwieriger, eine von Bedrohungsakteuren im IPFS platzierte Phishing-Seite zu entfernen.
Auch das Vishing – sprich Phishing-Kampagnen, die auf Sprachnachrichten basieren – hat sich weiterentwickelt. Die Angreifer verschicken inzwischen Voicemails mit Ausschnitten aus echten aufgezeichneten Nachrichten und setzen die Empfänger unter Druck, damit sie sich zu bestimmten Aktionen verleiten lassen oder Anmeldedaten übermitteln. „Bedrohungsakteure nutzen Phishing-Kits und KI-Tools, um hocheffektive E-Mail-, SMiShing- und Vishing-Kampagnen in großem Umfang zu starten“, so Zscaler Global CISO Desai. Vor allem US-Organisationen seien im letzten Jahr verstärkt Ziel von Vishing-Angriffen gewesen, verschont bleibe jedoch keine Weltregion von dem neuen Trend.
Weiteres Bedrohungspotential ergibt sich laut den Zscaler-Experten dadurch, dass Cyber-Kriminelle inzwischen vermehrt Erfolge gegenüber ausgeklügelten Authentifizierungsmodellen verbuchen konnten, vor allem mittels sogenannter Adversary-in-the-Middle-Angriffe. Bei AiTM-Attacken schalten Angreifer einen Proxy-Server zwischen einen Zielbenutzer und die Website, die der Benutzer eigentlich besuchen möchte. Die Betrüger verschicken dann in einer Kampagne Phishing-E-Mails, die den Zielbenutzer auf die betreffende Proxy-Seite leiten. Dort werden sowohl die Anmeldedaten als auch die Sitzungs-Cookies der echten Zielseite gestohlen. Über solch einen Sitzungs-Cookie kann der Angreifer sich für eine Sitzung im Namen des Benutzers authentifizieren. Sind Betrüger einmal dazu in der Lage, ist das AiTM-Phishing erfolgreich – unabhängig davon, welche Anmeldemethode der Benutzer verwendet. „AitM-Angriffe … ermöglichen es Angreifern traditionelle Sicherheitsmodelle, einschließlich der Multi-Faktor-Authentifizierung, zu umgehen,“ warnt Zscaler-Sicherheitsexperte Desai. Und empfiehlt Organisationen und Unternehmen, ihre IT-Umgebung mittels einer Zero-Trust-Architektur zu schützen, um die Angriffsfläche für Cyber-Kriminelle deutlich zu minimieren und die möglichen Auswirkungen im Falle eines erfolgreichen Angriffs einzuhegen. Zumindest sollten Unternehmen, die weiter auf Multi-Faktor-Authentifizierung setzen wollen, MFA durch restriktive Zugriffsrichtlinien ergänzen, sodass Anmeldeanfragen anhand zusätzlicher identitätsbezogener Signale wie Benutzer- oder Gruppenzugehörigkeit, IP-Standortinformationen, Gerätestatus etc. beurteilt werden.
