Die wachsende Gefahr von URL-Phishing-Angriffen

Fühlen Sie sich nicht viel sicherer, wenn Sie wissen, dass das Vorhängeschloss-Symbol auf der Website vorhanden ist, auf der Sie gerade surfen? Im Moment mögen Sie vielleicht so denken, aber Cyberkriminelle werden immer einen Weg finden, diese Dinge zu umgehen.

Tatsächlich haben Phisher das HTTPS-Protokoll erfolgreich in ihre Kampagnen übernommen, das immer beliebter wird, und es ihnen ermöglicht, Benutzer vorzutäuschen, dass die bösartigen Links oder E-Mails, die sie senden, von legitimen Entitäten stammen. Hier kommt URL-basiertes HTTPS-Phishing ins Spiel.

Was ist URL-basiertes HTTPS-Phishing?

Wenn wir von HTTPS-Phishing sprechen, meinen wir Landing Pages oder Websites, die eine Person normalerweise besucht. Viele Leute können mit Phishing verwechselt werden, weil oft angenommen wird, dass es nur E-Mails verseucht, aber in Wirklichkeit ist die E-Mail nur die erste Stufe . Meistens fordert der Täter Sie auf, einen Anhang herunterzuladen oder führt Sie sogar auf eine bösartige Website.

Die Herausforderung für Phisher besteht darin, dass durch Aufklärung der Benutzer dem Standard-Phishing entgegengewirkt werden kann . Zahlreiche Studien belegen, dass Phishing-Simulationen, die im Laufe der Zeit und in kurzen Abständen durchgeführt werden, eine deutliche Verbesserung bei der Identifizierung dieser Probleme zeigen. Und eine der Hauptregeln bei solchen Simulationen ist, nicht auf verdächtige Links oder Anhänge hereinzufallen.

Damit begannen sich die Cyberkriminellen von heute zu entwickeln.

Das beliebte Cybersicherheitsunternehmen FireEye erwähnt einige neue Varianten für URL-basierte Angriffe. Die Idee hier ist, immer noch eine E-Mail ohne Inhalt zu senden, mit Ausnahme eines Links in ihrem Text. Dies mag jetzt einfach zu ignorieren erscheinen, aber FireEye hat allein in den ersten Monaten des Jahres 2019 einen Anstieg der Nutzung um 26 % beobachtet – ein Beweis dafür, dass es effektiv sein kann.

Für diejenigen, die sorgfältig genug sind, können Sie die Adresse überprüfen lassen oder den E-Mail-Header überprüfen . Das Problem dabei ist, dass nicht viele Benutzer diese Dinge tun. Es ist daher leicht zu verstehen, warum jemand auf diese Taktik hereinfällt.

Da die erste Variante eine E-Mail ohne Inhalt außer einem Link zum Anklicken ist, hat die zweite Variante überhaupt keinen Link. Es handelt sich um dieselbe inhaltslose E-Mail ohne anklickbare URL, die es für Filter schwieriger macht, sie zu erkennen, da kein aktiver Link verfügbar ist. In diesem Fall wird der Link erst aktiv, wenn das Ziel dies in seinem Browser eingibt.

Die meisten dieser E-Mails werden ohne die HTTPS-Komponente gesendet, aber es ist keine SSL-Zertifizierung der Täter erforderlich. Die Möglichkeit, HTTPS am Anfang einer URL hinzuzufügen, fügt jedoch eine ganz neue Ebene des falschen Vertrauens hinzu, die einige Leute dazu bringen kann, das zu tun, was der Phisher verlangt.

Am Ende besteht die wahre Verteidigung für diese Situationen einfach darin, sich selbst zu erziehen.

Immer mehr Phishing-Websites verwenden jetzt HTTPS

HTTPS-Phishing-Techniken haben sich in den letzten Jahren langsam ausgebreitet, aber in jüngsten Berichten werden jeden Monat 1,4 Millionen neue Phishing-Sites erstellt. Diese Zahl soll in den kommenden Jahren weiter steigen. Noch alarmierender ist, dass HTTPS-Phishing-Sites im Jahr 2018 auf 49 % angewachsen sind, gegenüber 25 % im Jahr 2017.

Das ist eine enorme Steigerung. Wir können nicht sagen, dass HTTPS-Phishing weiterhin ein Problem sein wird, da dies bereits jetzt der Fall ist. Und es gibt auch keine Anzeichen dafür, dass es in absehbarer Zeit nachlassen wird, insbesondere mit dem branchenweiten Vorstoß, HTTPS als Standard zu haben.

Wie sind wir hierher gekommen?

Heutzutage verwenden die meisten Websites das HTTPS-Protokoll, was eine große Änderung im Vergleich zu vor einigen Jahren darstellte, als es nur für Websites verwendet wurde, die eine Passwortanmeldung erlaubten. Was die Verwendung von SSL/TLS-Zertifikaten zusammen mit HTTPS eskalierte, war das Beharren von Google im Jahr 2015, dass sich dies positiv auf Suchmaschinenalgorithmen auswirken würde.

Plötzlich zeigten Websites, die kein HTTPS hatten, negative Auswirkungen. Bis 2018 begann Google Chrome zusammen mit vielen gängigen Browsern wie Firefox und Edge, Websites ohne HTTPS als „nicht sicher“ zu markieren. Websites und Benutzer nahmen den Ansatz auf und so wurde HTTPS als eine gute Sache angesehen, während das Fehlen davon einfach eine schlechte Erfahrung war.

Cyberkriminelle kamen auch auf die Idee, die zeigt, wie der Anstieg von Phishing-Websites mit HTTPS in ihren Domänen um das Jahr 2017 herum zugenommen hat.

Viele Benutzer wissen nicht, was HTTPS tut

Es kann überraschend sein zu wissen, wie wenig die Leute darüber wissen, was sie tun und was online passiert. In der Vergangenheit mussten Internetnutzer im Umgang mit Computern geübt sein, da das Internet bisher nur über diese Geräte zugänglich war. Doch jetzt kann fast jeder, der ein Smartphone mit Internetverbindung besitzt, online gehen, wodurch die Wissensbarriere für den Zugang effektiv beseitigt wird.

Und im Vergleich zu Smartphones haben sich die traditionellen Desktop-Browser zumindest einige Mühe gegeben, den Benutzern die Bedienung beizubringen. Dies ist heute nicht mehr der Fall. Der Einzelne bleibt in der Regel tun, was er will und sich Dinge auf dem Weg zurechtfinden. Heutzutage gibt es beim Surfen zahlreiche visuelle Indikatoren, die als eine Art Leitfaden dienen sollten, um den Benutzern mitzuteilen, was beim Surfen im Internet passiert.

Dies ist leider nicht der Fall. Symbole wie das Vorhängeschloss-Symbol, das gleichbedeutend mit HTTPS ist, haben nicht das erreicht, was sie sollen. Wir können damit beginnen, dass diese Vorhängeschlösser im Wesentlichen bedeuten, dass die Verbindung, die Sie mit dem Server herstellen, der die Site oder App hostet, verschlüsselt und sicher ist. Alle Daten, die zwischen den beiden Parteien ausgetauscht werden, sind vor externen Angreifern sicher, die versuchen könnten, diese Verbindung abzufangen.

Aber ohne eine Art Authentifizierung für eine Organisation gibt es einfach keine Garantie für den Ruf der Partei auf der Gegenseite. Sie sehen, Hacker können auch HTTPS verwenden. Obwohl das Vorhängeschloss möglicherweise bedeutet, dass die Verbindung sicher ist, gibt es keine Garantie dafür, was der Host mit den Daten macht, die Sie ihm senden.

Es ist wichtig zu bedenken, dass HTTPS immer noch ein sehr positiver Aspekt ist, den Websites haben müssen, um neugierige Blicke abzuwehren. Der Punkt hier ist, dass die Verbindung mit verschlüsselten Verbindungen nicht automatisch bedeutet, dass den Site-Besitzern selbst vertraut werden muss.

Wie kann ich diese Phisher besiegen?

Abgesehen davon, dass Sie Domains nicht einfach mit HTTPS vertrauen, wird von Experten empfohlen, dass Sie die Domainnamen selbst auf Rechtschreibfehler überprüfen . Es ist auch wichtig, dass Sie bei Links, die per E-Mail eingehen, vorsichtig bleiben und gleichzeitig ihre Anmeldeinformationen schützen, indem Sie nach Möglichkeit Multi-Faktor-Authentifizierung aktivieren .

Es ist auch eine gute Idee, einen Passwort-Manager zu haben, da diese Apps häufig Domänen validieren, bevor sie automatisch mit Ihren Anmeldeinformationen ausgefüllt werden. Wenn Ihre Software die Anmeldeinformationen nicht automatisch bereitstellt, kann dies ein Hinweis darauf sein, dass etwas mit der besagten Website nicht stimmt.