Bayern setzt auf BigPhish im Kampf gegen Betrüger-Domains
Bayern setzt die Software "BigPhish" gegen Cybercrime ein. Sie soll Phishing-Domains schon kurz nach ihrer Registrierung entdecken und Ermittlern melden.
Bayerns Strafverfolger wollen mit BigPhish verdächtige Domains identifizieren, überwachen und sichern.
(Bild: Philip Steury Photography/Shutterstock.com)
Phishing gehört zu den häufigsten Delikten im Internet und damit zusammenhängende betrügerische Domains sind manchmal schneller verschwunden, als Ermittler gucken können. Die bayrische Justiz will mit dem Tool "BigPhish" Phishing-Domains nun schneller identifizieren und überwachen. So sollen nicht nur Opfer effektiver geschützt, sondern auch Spuren für die Ermittlungen rechtzeitig gesichert und Zusammenhänge zwischen Fällen erkannt werden.
Am 19. Juni unterzeichnete Bayerns Justizminister Georg Eisenreich dazu eine Kooperationsvereinbarung mit der niederländischen Forschungsgesellschaft TNO (Netherlands Organization for Applied Scientific Research), die BigPhish zusammen mit niederländischen Ermittlungsbehörden entwickelt hat. Die Zentralstelle Cybercrime Bayern (ZCB) ist die erste Dienststelle für den Test des Open-Source-Tools in Deutschland.
BigPhish als Baustein im Kampf gegen Cybercrime
Phishing-Kampagnen zielen oft auf einen großen Empfängerkreis, erst diese Woche kam es zu einer Betrugswelle von Fake-SMS und -Mails an Bankkunden. Die betrügerischen Phishing-Webseiten sind in den meisten Fällen weniger als einen Tag online und bereits wieder verschwunden, wenn die Anzeige bei den Ermittlern auf dem Tisch landet. Die zeitnahe Sicherung solcher flüchtigen Tatorte ist ein Problem, das BigPhish bereits beim Auftauchen der Domain lösen soll.
Um mittels einer betrügerischen Webseite die Anmeldedaten der Opfer zu ergaunern, muss der Täter ein paar Vorarbeiten machen. Dank Cybercrime-as-a-service braucht er dafür kein eigenes IT-Fachwissen, sondern kann auf Tools und Dienstleistungen anderer technisch versierterer Krimineller zurückgreifen. Für eine Kampagne besorgt sich der Täter ein Phishing-Kit, einen Webspace zum Hosten der Webseite und eine Domain. Um die Webseite vertrauenswürdiger erscheinen zu lassen, holt er sich außerdem ein TLS-Zertifikat für die Domain. Wenn die Webseite bereit für ihren Einsatz ist, fängt der Täter an, die Opfer per Ködernachricht mittels E-Mail, SMS oder Chat auf die betrügerische Webseite zu locken.
Auf der Suche nach dem Phishing-Muster
BigPhish überwacht fortlaufend die Certificate Transparency (CT) Logs, um aus dem Strom der neu registrierten Domain-Zertifikate potenzielle Phishing-Domains herauszufiltern. Verdächtige Domains bekommen Besuch von dem BigPhish-Crawler. Die Seiten werden auf Spuren von Phishing-Kits untersucht. Im Vorfeld wurden dazu verschiedene Phishing-Kits analysiert und ihre "Fingerprints" (basierend auf Dateipfaden im Quellcode) identifiziert. Zusätzlich können weitere Verdachts-Indikatoren für Phishing-Webseiten in BigPhish hinterlegt werden. Ist die Domain als Phishing-Domain enttarnt worden, wird sie weiter überwacht. Die gesammelten Daten der Phishing-Domains werden in einer Datenbank für die Ermittler gespeichert. Zu den Informationen gehören neben der Domain auch die IP-Adresse und der Provider des Servers, auf dem die Phishing-Webseite registriert ist.
Laut Eisenreich sollen mit dem neuen Tool nicht nur die Ermittler schnell über neue Phishing-Webseiten informiert werden, sondern auch "künftig automatisierte Warnungen für mögliche Opfer gleich beim ersten Aufruf der Webseite schneller möglich werden". Das Tool speichert in seiner Datenbank auch Informationen zu älteren Phishing-Webseiten. Mithilfe der Daten sollen sich neue Ermittlungsansätze zu bereits abgeschalteten Seiten und Zusammenhänge zwischen verschiedenen Fällen finden lassen.
Kooperation für Cybercrime-Bekämpfung nötig
Nicht nur bei Phishing gibt es das Problem, Zusammenhänge zwischen Fällen rechtzeitig zu entdecken. Im Phänomenbereich Cybertrading soll die Zusammenarbeit zwischen den Strafverfolgungsbehörden ebenfalls verbessert werden – dies haben die Justizminister bei ihrer letzten Frühjahrskonferenz im Juni auf Initiative von Bayern hin beschlossen. Beim BKA soll dazu eine zentrale bundesweite Cybertrading-Informationsplattform (PDF) eingeführt werden.
Um mithilfe von Software die Ermittlungen im Internet voranzutreiben, arbeiten Bayerns Ermittler schon seit mehreren Jahren international mit Forschern zusammen. So kommt seit dem Jahr 2020 ein Dark Web Monitor von TNO zum Einsatz, um Licht ins Darknet zu bringen. Mit dem Complexity Science Hub Vienna (CSH) wurde 2022 die Blockchain-Analyse-Technologie "GraphSense" für die Echtzeitanalyse virtueller Währungstransaktionen bei der ZCB eingeführt. Seit August 2023 ist ein KI-"Fake-Shop Detector" vom AIT Austrian Institute of Technology in Wien in Bayern im Einsatz. Dieser Detector überprüft unbekannte Online-Shops mithilfe Künstlicher Intelligenz in Echtzeit auf mehr als 21.000 Merkmale. Ist ein Shop verdächtig, warnt der Detector die Ermittler, die so frühzeitiger Maßnahmen ergreifen können. Erst diese Woche warnte die Verbraucherzentrale vor Fakeshops mit Fußball-EM-Fanartikeln.
(mack)
