Warum gibt es eigentlich so viel Spam? Diese Frage wird sich jeder schon einmal voller Frustration gestellt haben. Immerhin ist der größte Anteil von E-Mail-Spam relativ harmlos und verschwendet meist nur die Zeit des E-Mail-Nutzers. Ein kleiner Teil des täglichen persönlichen Spam-Aufkommens ist allerdings besonders gefährlich: Phishing-Mails. Leider nimmt auch diese Art des Spams immer mehr zu, nicht zuletzt im Zuge der pandemiebedingten Digitalisierungs-Welle bei Unternehmen und Verwaltung. Wir regeln immer mehr Dinge in unserem Alltag über E-Mails und das wollen sich Verbrecher ebenfalls zunutze machen. Microsoft hat nun eine großangelegte Phishing-Kampagne aufgedeckt, die interessante Einblicke in die Frage bietet, warum es immer mehr Phishing-Spam gibt.

Unter Phishing versteht man das Versenden von E-Mails durch Kriminelle, die legitimen E-Mails echter Firmen täuschend ähnlich sehen. Die Mails enthalten Links auf ebenfalls, mehr oder weniger, gut gemachte Fakes der jeweiligen Unternehmens-Webseite, die das Opfer auffordern, seine Anmeldedaten einzugeben – die werden dann prompt an die Kriminellen weitergeleitet. So erlangen Hacker Zugang zu allen möglichen Online-Konten. Dieser Zugang lässt sich für kriminelle Machenschaften ausnutzen oder die Zugangsdaten werden verkauft.

300.000 Subdomains in kürzester Zeit

In einer am Dienstag veröffentlichten Untersuchung beschreiben Sicherheitsforscher von Microsoft, wie sie eine Phishing-Mail-Kampagne aufs Korn nahmen, die in kurzer Zeit über 300.000 verschiedene Subdomains einrichtete, um potenzielle Opfer zu ködern. Dabei verwenden die Drahtzieher hinter den Betrugsmails mehr als 100 E-Mail-Templates, die echte Mails von Firmen und Marken zum Teil täuschend echt nachbilden. Microsoft enttarnte eine Phishing-as-a-Service-Infrastruktur, die von ihren kriminellen Betreibern an andere Kriminelle vermietet wird – für den einmaligen Einsatz mit einer Mail-Kampagne oder im monatlichen Abo-Modell.

Die Drahtzieher bewerben und verkaufen ihren schlüsselfertigen Phishing-Dienst unter den Namen BulletProofLink und Anthrax. Laut Microsoft ist der Dienst für viele der Phishing-Kampagnen verantwortlich, mit denen große Firmen in der letzten Zeit zu kämpfen hatten. Die Betreiber sahnen oft doppelt ab: Zum einen erhalten sie die Nutzungsgebühren ihrer kriminellen Kunden, zum anderen bekommen sie oft ebenfalls Zugang zu den abgephischten Zugangsdaten. Microsoft nennt diese Taktik, bei der die Online-Konten der Opfer gleich doppelt geplündert werden "Double Theft" (zu deutsch: Doppel-Diebstahl).

E-Mail-Phishing leicht gemacht

In seiner Untersuchung beschreibt Microsoft eine ganze Untergrund-Industrie der Phisher. Kriminelle, die ohne jegliche Erfahrung in diesem Bereich zum ersten Mal Zugangsdaten abgreifen wollen, können entweder einen Full-Service-Dienst wie BulletProofLink nutzen, bei denen ihnen alles vom E-Mail-Versand bis hin zum Aufsetzen täuschend echter Phishing-Webseiten in passenden Firmen-Templates abgenommen wird, oder sie können einfache Phishing Kits herunterladen, bei denen sie nur die Mail- und Webseiten-Templates bekommen und die weitere Arbeit selbst übernehmen müssen.

Die Szene hat ihre eigenen Marketing-Begriffe, wie etwa "FUD", also "Fully Undetected Links" (zu deutsch: gänzlich unentdeckte Links). Damit soll Käufern des Dienstes versichert werden, dass die Mails auch wirklich die Spamfilter beim Opfer passieren und deren etwaig vorhandene Schutzsoftware die Links nicht als bösartig blockt und somit einen erfolgreichen Phishing-Angriff behindert. Das Ganze erinnert an große Ransomware-Gruppen, die ihre kriminellen Machenschaften ähnlich professionalisiert haben.

BulletProofLink wird auf YouTube beworben und die Drahtzieher betreiben einen komfortablen Online Store, in dem interessierte Kriminelle den Spam-Dienst schnell und einfach buchen und bezahlen können. Neukunden bekommen 10 Prozent Rabatt. Der Dienst wird meist in Bitcoin bezahlt und ein monatliches Abo für Full-Service-Phishing-Spam kostet bis zu 800 US-Dollar. Einzelne Spam-Templates mit Hosting einer Phishing-Webseite sind ab 50 Dollar zu haben. Kundensupport ist meist inklusive und findet über Chat-Messenger, VoIP-Anrufe und Foren statt. Sogar Hilfestellung über ICQ ist möglich. Wenn man Microsoft glauben mag, funktioniert dieser Support wohl besser als bei den meisten Internet- oder Mobilfunkanbietern.

Die Kriminellen sind nicht zu stoppen

Die Betreiber der Phishing-Infrastruktur gerieten ins Visier von Microsoft, da sie im Rahmen einer Kampagne hunderttausende Subdomains für eine legitime Firmen-Domain erstellten, die – vermutlich über eine DNS-Fehlkonfiguration – von den Angreifern wenigstens zum Teil gekapert werden konnte. Die Angreifer können so jedem Opfer einen eigenständigen Link schicken, was es E-Mail-Diensten wie Microsoft erschwert, den Spam alleine auf der Basis einer Link-Blacklist abzufangen. Die Angreifer bedienen sich einer Reihe von Tricks wie unsichtbarer Zeichen im Text, kodierte Daten und subtiler Manipulationen von Firmen-Logos und Branding-Elementen, um ebenfalls automatisierter Entdeckung zu entgehen.

Die Betreiber von BulletProofLink sind nach wie vor im Geschäft, Microsoft hat es im Rahmen seiner Untersuchung also offensichtlich nicht geschafft, die Infrastruktur der Kriminellen zu stören oder gar ganz lahmzulegen.

Der Microsoft-Bericht ist durchaus im Detail lesenswert, legt er doch einige Tricks der Phishing-Gauner ganz genau in einzelnen Punkten offen. Es ist allerdings auch erschreckend zu lesen, wie einfach es doch anscheinend ist, ins offensichtlich durchaus lukrative Phishing-Geschäft einzusteigen. Über Phishing-as-a-Service-Plattformen wie die von Microsoft beschriebene BulletProofLink-Operation können selbst komplette Neulinge ohne Vorkenntnisse schnell in das Geschäft mit den geklauten Nutzerdaten einsteigen. Kein Wunder, dass der Phishing-Spam in unseren Inboxen kein Ende nimmt!

