Ich habe vor etwas mehr als 1 Jahr mal eine solche "Phishing"-SMS untersucht. Oder genauer das URL einer solchen SMS. Folgende Erkenntnisse:
Technisch sind Phisher mehrgleisig gefahren. Die Webseite versuchte, mein Handy mit einem Zero-Day anzugreifen, vermutlich um einen Banking-Trojaner zu droppen, während sie so tat, als ob ich den normalen Login meiner Bank sehen würde.
Danach habe ich den Browser-String mal gewechselt und die Webseite gab sich plötzlich komplett harmlos aus und hat nun wirklich zu meiner Bank redirectet. Zurückwechseln brachte dann wieder den Dropper.
Dann habe ich es von einem Server aus probiert und siehe da, die Webseite war wieder harmlos. Egal mit welchem Browser-String. Dabei kam es zu einem kurzen Scan vom Server auf dem ich das machte (leider läuft an meinem Anschluss zuhause der Router vom ISP, auf dem kann ich solche Scans nicht erkennen, da dieser dafür keine Möglichkeit des loggens anbietet). Ob der Scan (indirekt) von der Webseite kam oder nicht kann ich leider nicht sagen, der kam von einer anderen IP, und bei mir verzeichnen Server ja pro Stunde mehr als nur einen solchen Scan, ich habe deshalb schon im letzten Jahrtausend längst aufgegeben, so etwas zu zählen.
Als ich danach wieder zurück auf meinen heimischen Anschluss wechselte, kam plötzlich nur noch der harmlose Redirects.
Hä?
Ich vermute, die Webseite hat erkannt, dass ich kein "normaler unbedarfter User" bin, sondern rumprobiert habe, und hat mir dann mein Token aus der SMS entzogen.
Hinten am URL hing nämlich so etwas wie ein Token dran. Hat man die Webseite ohne das Token aufgerufen, war sie absolut harmlos. Nur wenn alles stimmte, also Token, IP und der Browser-String, dann kam der Dopper mit Phishing.
Nehme ich jedenfalls an. Ermangels einer 2. SMS konnte ich die Theorie jedenfalls nicht prüfen.
Allerdings gab es noch einen Fehler bei der Sache: Die Domain war immer noch im Whois als "brandneu" erkennbar, da sie erst einige wenige Tage vorher registriert worden war und auch das SSL-Cert brandneu war (und ein anderes CA meiner Bank verwendete. Interessanterweise nicht LetsEncrypt). Entsprechend schlecht sah auch der Score der Seite aus (ich weiß nicht mehr welchen Scoring-Service ich verwendet habe. Könnte Scamadvisor gewesen sein).
Aber das ist nicht immer so. Ein anderes Mal - da war das Phishing aber nicht so professionell, das sah da eher aus wie aus dem Baukasten - war die Domain schon über 1 Jahr alt und hatte interessanterweise einen brauchbaren Score, wurde also nicht sofort als gefährlich geflaggt.
Wenn man also diese beiden Techniken kombiniert, also eine Webseite registriert, der erst einmal ein besseres Scoring verpasst, und dann noch mit tokenisiertem Eingang versieht, dann denke ich, dass BigPhish keine Chance mehr hat.
Inzwischen ist das Ganze ja nicht mehr eine Sache von Kleinganoven, sondern gut durch Fließbandproduktion Bandenmäßig ausgearbeitet:
- Eine Gruppe registriert Domains und erhöht das Scoring der Domain, indem sie sie legitim aussehen lassen und über Suchmaschinen verbreiten und per Fake-Clicks hochraten.
- Eine weitere Gruppe erstellt dann die Phishing-Plattform, die zielgerichtete Services erstellt, die man nicht mehr durch einfaches Crawlen entdecken kann.
- Die dritte Gruppe inifiltriert fremde Server und hält sie für die Aufschaltung bereit, so dass auch weitere Statistiken, die auf die Reputation der verwendeten IP gehen, diese nicht mehr als neu oder vage erkennen können, sondern sie seit Jahren im Betrieb sehen.
- Ein Vermittler bietet das dann alles als Paket für den Phisher an. Dieser erhält also einen geklauten Server mit guter IP, eine Domain mit perfekter Reputation sowie ein nicht-Probebares Phishing-Konzept.
Dann muss er nur noch SMS aussenden die ein entsprechendes Token enthalten und voilla:
Dinge wie BigPhish haben 0 Chance das vorher zu entdecken. Sie müssen an eine entsprechende SMS herankommen, das Token extrahieren und sich dann als verwundbarer Target ausgeben.
Das funktioniert natürlich rein theoretisch. Nur muss man eben dann Teil der Phishing-Kampangne werden.
Mit gut per KI vorsortierten Daten dürfte es aber schwierig werden, Teil des angegriffenen Datensets zu werden, da die KI dann das Muster von BigPhish erkennen kann und so mit hoher Wahrscheinlichkeit entsprechende Emüfänger ausschließt, die an BigPhish hängen.
Gut, mag noch ein paar Jahre dauern, bis sich das etabliert. Aber die Phisher dürften weit schneller aufrüsten als die Forschung da nachkommt. Denn die Forschung ist - im Gegensatz zu den Diensten die die Phisher verwenden - vermutlich hoffnungslos unterfinanziert und kann das schlicht nicht leisten.
Und ja, BigPhish wird sicher ein "Erfolg". Sprich, es kann unbedarfte Phishing-Kampagnen verhindern.
Was wiederum bedeutet, dass die nicht-unbedarften Phishing-Kampagnen dann einen weitaus besseren Erfolg beschieden wird. Was für genau die Entwicklung sorgen wird, die ich oben skizziert habe.
Sprich: Das ganze sorgt nicht dafür, dass es weniger Phishing gibt oder man denen besser habhaft wird, sondern dass die Phishing-Kampagnen in Zukunft wesentlich ausgefeilter werden.
Die Idee hinter BigPhish ist ja eigentlich intelligent:
Man beobachted die von CAs ausgegebenen Zertifikate. Und Crawlt dann. Und kann vielleicht mit KI die Sache erkennen.
Nur schläft die andere Seite halt leider auch nicht und kann entsprechende Gegenmaßnahmen dagegen entwickeln.
Deshalb ist das IMHO der falsche Ansatz.
Der richtige wäre gewesen, wenn so etwas wie der ePerso sinnvoll implementiert worden wäre, so dass man diesen z.B. zum Online-Banking verwenden könnte. Und nicht nur dafür, also für das BigBusiness, sondern dass jeder diesen für sein heimisches VPS nutzen kann. Einfach so. Open Source.
Dann bekommt der Phisher auch als MitM nichts in die Finger, weil die Kommunikation nicht über so ein dämliches System wie SSL-Zertifikate abgesichert wäre, sondern durch E2E zwischen Bank und Perso.
Und ja, das geht auch anonym (wäre soger die Voraussetzung dass man das nutzen kann) in dem Sinne, dass nur die beiden Beteiligten sich sehen und der Staat komplett außen vor ist und lediglich die (trusted) PKI beisteuert. Man also sicher sein kann: Das ist die Bank mit der man spricht (während die Bank weiß: Das ist der Kontoinhaber).
Aber alles geht ja inzwischen in genau die umgekehrte Richtung, es laufen - JA, GERADE IN DIESEN TAGEN - Bestrebungen in der EU, dass E2E verboten wird.
Tja, dumm gelaufen. Idiocracy, wir erschaffen Dich gerade. Mit Nachbrenner und auf Überlicht!
-Tino