Sofort einsatzbereite Phishing-Kits machen es unerfahrenen Kriminellen schnell und einfach, neue Phishing-Sites einzurichten und gestohlene Zugangsdaten zu erhalten.
Phishing-Kits sind in der Regel ZIP-Dateien, die Webseiten, PHP-Skripte und Bilder enthalten, die sich überzeugend als echte Websites ausgeben. In Verbindung mit einfachen Konfigurationsdateien, die es einfach machen, auszuwählen, wohin gestohlene Zugangsdaten gesendet werden, können Kriminelle eine Phishing-Site mit relativ wenig technischem Wissen hochladen und installieren. In den meisten Fällen werden die von diesen Phishing-Sites gestohlenen Anmeldeinformationen automatisch per E-Mail direkt an die Kriminellen gesendet, die die Kits einsetzen.
Die Kriminellen, die diese Kits ursprünglich erstellt haben, enthalten jedoch häufig einen zusätzlichen Code, der ihnen heimlich eine Kopie der gestohlenen Anmeldeinformationen per E-Mail zusendet. Dadurch kann der Autor eines Kits erhalten riesig Mengen an gestohlenen Zugangsdaten, während andere Kriminelle das Kit effektiv in ihrem Namen einsetzen. Diese unerwünschte Funktionalität wird oft durch Verschleierung des Quellcodes des Kits oder durch geschickte Tarnung des schändlichen Codes verborgen, um harmlos auszusehen. Einige Kits verstecken sogar Code in Bilddateien, wo es sehr unwahrscheinlich ist, dass sie von den Kriminellen bemerkt werden, die die Kits einsetzen.
Netcraft hat Tausende von Phishing-Kits im Detail analysiert und die häufigsten Techniken identifiziert, die Autoren von Phishing-Kits verwenden, um sicherzustellen, dass sie auch eine Kopie aller gestohlenen Zugangsdaten per E-Mail erhalten.
Die Motivation hinter der Erstellung betrügerischer Phishing-Kits
Wenn ein Phishing-Kit eingesetzt wird, gibt sich die resultierende Phishing-Site überzeugend als Finanzinstitut oder anderes Ziel aus, um Opfer dazu zu bringen, Passwörter, Kreditkartennummern, Adressen oder andere Anmeldeinformationen zu übermitteln. Diese Details werden gelegentlich auf dem Server protokolliert, aber meistens werden sie direkt per E-Mail an die Kriminellen gesendet, die diese Phishing-Kits installieren.
Verzeichnisstruktur eines Amazon-Phishing-Kits, das in einem ZIP-Dateiarchiv enthalten ist.
Phishing-Kits sind sehr einfach zu installieren und werden daher häufig von „Skript-Kiddies“ und anderen Kriminellen mit relativ geringen technischen Kenntnissen verwendet. Der Autor des Phishing-Kits wird sich auf diese Personen verlassen, um einen vollständigen Phishing-Angriff in ihrem Namen zu orchestrieren. Die Routinearbeit umfasst die Bereitstellung des Kits auf verschiedenen Webservern und das Versenden von Tausenden von speziell gestalteten Phishing-E-Mails, um die Opfer dazu zu bringen, die neuen Phishing-Sites zu besuchen und ihre Anmeldeinformationen preiszugeben.
Indem ein Kit benutzerfreundlicher gemacht wird, kann sein Autor von einer größeren Anzahl von Bereitstellungen profitieren, was wiederum zu einer größeren Menge gestohlener Anmeldeinformationen für den Autor führt. Ein typisches Kit wird mit Anweisungen und einer Konfigurationsdatei geliefert, in der die Kriminellen, die das Kit einsetzen, aufgefordert werden, ihre eigenen E-Mail-Adressen einzugeben, um gestohlene Anmeldeinformationen zu erhalten.
Wenn ein Krimineller ein Phishing-Kit einsetzt, testet er es wahrscheinlich, indem er einige gefälschte Anmeldeinformationen einreicht, um zu überprüfen, ob die Anmeldeinformationen korrekt per E-Mail empfangen werden. Wenn dies wie erwartet funktioniert, beginnt der Kriminelle damit, Tausende potenzieller Opfer mit Phishing-E-Mails zu spammen, wobei er höchstwahrscheinlich nicht merkt, dass die gestohlenen Anmeldeinformationen auch an jemand anderen gesendet werden.
Verstecken in Bilddateien
Das folgende Bildverzeichnis befindet sich in einem Phishing-Kit, das Online-Banking-Zugangsdaten stiehlt. Die meisten dieser Dateien sind Logos und Hintergrundbilder, die von der Phishing-Site angezeigt werden, aber die button.gif Die Datei enthält stattdessen den PHP-Quellcode. Der Name dieser Datei und ihre Platzierung im Bilderverzeichnis ist ein klarer Versuch, den Code und seine Funktionalität zu verbergen.
Der button.gif Datei in der images Verzeichnis.
Wenn ein Opfer sein Passwort auf der bereitgestellten Phishing-Site eingibt, wird es an ein Skript namens gesendet next2.php, das die gestohlenen Zugangsdaten per E-Mail an den Kriminellen sendet, der das Kit wie vorgesehen eingesetzt hat. Derzeit ist es so konfiguriert, dass die Anmeldeinformationen an gesendet werden [email protected] Und [email protected].
Das Skript, das die gestohlenen Anmeldeinformationen sendet, enthält die button.gif Skript.
Die hervorgehobene Codezeile oben enthält jedoch die button.gif Datei, wodurch das folgende „versteckte“ Skript ausgeführt wird:
Verschleierter PHP-Quellcode im Inneren button.gif.
Um den Zweck dieses Codes weiter zu verbergen, wurde er vom Autor des Kits verschleiert. Die Nutzlast ist in einer Base64-codierten Zeichenfolge versteckt, was sie für die meisten unverständlich macht. Durch Umkehren dieser Zeichenfolge, Anwenden einer ROT13-Substitutionscipherie und anschließendes Dekomprimieren des decodierten Inhalts ist ersichtlich, dass das Skript den folgenden PHP-Code generiert:
Der entschleierte PHP-Code.
Dieser Code wird dann ausgeführt, indem er an PHP übergeben wird eval Funktion, was dazu führt, dass eine Kopie der gestohlenen Zugangsdaten heimlich an drei weitere E-Mail-Adressen gesendet wird: [email protected], [email protected] Und [email protected].
Diese versteckten E-Mail-Adressen wurden wahrscheinlich vom Autor des Kits hinzugefügt oder unwissentlich von einem früheren Kit kopiert, das von einem anderen Kriminellen erstellt wurde. Der ursprüngliche Autor der versteckten Funktionalität kann davon profitieren, indem er eine Kopie der gestohlenen Anmeldeinformationen erhält alle Bereitstellungen des Kits, was die Notwendigkeit unterstreicht, diese versteckten E-Mail-Adressen zu identifizieren.
Wenn beispielsweise tausend einzelne Kriminelle dieses Kit jeweils 10 Mal einsetzen und jede Phishing-Site erfolgreich nur 100 Opfer anzieht, würde jeder Kriminelle tausend Sätze gestohlener Anmeldeinformationen erhalten. Der Autor des Kits hingegen würde mit minimalem Aufwand eine Million Sätze gestohlener Anmeldeinformationen erhalten und würde wahrscheinlich weiterhin viele weitere erhalten.
Verstecken in Zugriffskontrollskripten
Die meisten Phishing-Kits enthalten ein oder mehrere Skripte, die verhindern, dass Phishing-Inhalte für bestimmte IP-Adressen, Hostnamen und Browsertypen angezeigt werden. Die Motivation dafür ist, zu verhindern, dass die eingesetzten Phishing-Seiten von Suchmaschinen indiziert werden, und es Anti-Phishing-Organisationen zu erschweren, den Angriff zu erkennen.
Eine effektive Suite von Zugriffskontrollskripten wird daher wahrscheinlich von anderen Kriminellen kopiert und in neuen Kits verwendet, und daher sind diese Skripte oft ein guter Ort für Kit-Autoren, um versteckte Funktionen wie Hintertüren und zusätzliche E-Mail-Adressen hinzuzufügen, die ihnen den Empfang ermöglichen würden noch mehr gestohlene Zugangsdaten direkt aus den Kits anderer Krimineller.
Beispielsweise wurde die folgende Suite von Zugriffskontrollskripten in einem Kit gefunden, das auf Kunden eines Postdienstunternehmens abzielt:
Anti-Bot-Zugriffskontrollskripte in einem Phishing-Kit.
Der BOT7.php Das Zugriffskontrollskript enthält den folgenden verschleierten Code am Ende der Datei:
Verschleierter Code am Ende der Datei.
Dies hat den Effekt des Anhängens [email protected] an die Liste der E-Mail-Adressen, an die das Kit gestohlene Anmeldeinformationen sendet, sodass der Autor des Kits Anmeldeinformationen erhalten kann, die bei allen Bereitstellungen des Kits gestohlen wurden.
Obwohl die Art der Verschleierung, die in diesem Beispiel verwendet wird, ziemlich einfach ist, wird sie wahrscheinlich die Mehrheit der Kriminellen, die die Kits einsetzen, davon abhalten, den Code zu bemerken, zu entfernen oder anderweitig zu manipulieren, wodurch die verborgene unerwünschte Funktionalität erhalten bleibt. Viele versteckte Funktionen, die von Netcraft analysiert wurden, weisen viel umfangreichere Verschleierungsebenen auf, deren Entschlüsselung beträchtliches Fachwissen erfordert, was ihre Chancen weiter erhöht, in zukünftigen Bereitstellungen und Variationen desselben Phishing-Kits zu verbleiben.
Sich vor aller Augen verstecken
Das AES.php Das Skript ist in einem sehr großen Phishing-Kit enthalten, das sich zunächst als HMRC und dann als eine von mehreren britischen Banken ausgibt, je nachdem, bei welcher Bank das Opfer Kunde ist. Zu diesen Banken gehören HSBC, Tesco Bank, TSB, Metro Bank, Bank of Scotland, NatWest, Lloyds Bank, Halifax, Santander, Barclays und Cooperative Bank.
Der AES.php Skript im Phishing-Kit.
Das Kit ermöglicht die Verschlüsselung gestohlener Zugangsdaten, bevor sie auf der Phishing-Site angemeldet werden, und stellt so sicher, dass sie nur von dem Kriminellen gelesen werden können, der hinter dem Angriff steckt. Das Vorhandensein der AES.php script ist daher keine Überraschung, und tatsächlich scheint es auf den ersten Blick eine Reihe von AES-Eigenschaften und -Funktionen (Advanced Encryption Standard) bereitzustellen:
Eine PHP-Implementierung von AES.
Allerdings ist die get58V Die Funktion innerhalb der AES-Klasse enthält zwei fehlerhafte Codezeilen (unten hervorgehoben), die eine Kopie der gestohlenen Anmeldeinformationen an senden [email protected]. Dies geschieht unabhängig davon, ob die Verschlüsselungsfunktion des Kits tatsächlich aktiviert ist.
PHP-Code, der die gestohlenen Zugangsdaten per E-Mail an eine andere Adresse sendet.
Obwohl sich diese zusätzliche E-Mail-Adresse in aller Öffentlichkeit versteckt, ist es dennoch unwahrscheinlich, dass sie von den meisten Kriminellen bemerkt wird, die das Kit einsetzen. AES-Implementierungen sind ohne Expertenkenntnisse schwer zu verfolgen, und da die meisten Installationen dieser Kits die Verschlüsselungsfunktion nicht aktivieren, denkt vielleicht sogar ein verdächtiger Krimineller nicht daran, überhaupt in dieses Skript zu schauen. Der Mangel an Verschleierung könnte jedoch nach hinten losgehen, denn wenn ein anderer Krimineller diesen Code entdeckt, ist es trivial, die E-Mail-Adresse zu ändern, an die alle zukünftigen gestohlenen Anmeldeinformationen gesendet werden.
Abmilderungen
Das Vorhandensein verschleierter E-Mail-Adressen in Phishing-Kits unterstreicht die Bedeutung der Verwendung von Gegenmaßnahmen und Analysediensten für Phishing-Kits. Es ist zwingend erforderlich, sie zu identifizieren und abzuschalten alle E-Mail-Konten, an die eine Phishing-Site ihre gestohlenen Anmeldeinformationen sendet, da dies die Auswirkungen eines laufenden Phishing-Angriffs sofort begrenzt, insbesondere wenn die meisten Kits immer noch E-Mail als einziges Mittel zur Übertragung gestohlener Anmeldeinformationen verwenden.
Wie wir oben gezeigt haben, verwenden einige Kits jedoch hinterhältige Techniken, um gestohlene Zugangsdaten an andere E-Mail-Adressen zu senden, die von den Autoren der Kits betrieben werden. Diese „versteckten“ Adressen sind in der Regel viel schwerer zu finden und können praktisch nur mit der gründlichen Analyse von Netcraft entdeckt werden.
Diese versteckten E-Mail-Konten nicht zu identifizieren und zu entfernen, wäre ein kritischer Fehler, da sie sonst dem Autor eines Kits ermöglichen würden, eine erhebliche Menge gestohlener Anmeldeinformationen von allen bestehenden und zukünftigen Bereitstellungen desselben Kits zu erhalten.
Da die Autoren von Phishing-Kits häufig vorhandene Kits als Grundlage für die Erstellung neuer verwenden, wird eine geschickt versteckte E-Mail-Adresse wahrscheinlich an neue Kits weitergegeben, die von anderen Autoren erstellt wurden. Daher ist es umso wichtiger, sicherzustellen, dass diese versteckten Adressen identifiziert und identifiziert werden abgerissen.
Kriminelle daran zu hindern, gestohlene Zugangsdaten zu erhalten, kann tiefgreifende Auswirkungen haben. Eine Bank, die Phishing-Kit-Analysen und Gegenmaßnahmen von Netcraft erhält, hat in den letzten zwei Jahren einen bemerkenswerten Rückgang der Anzahl unterschiedlicher Phishing-Kits festgestellt, die auf ihre Kunden abzielen, was wahrscheinlich ein Beweis für die Wirksamkeit dieses Ansatzes ist, da Kriminelle es stattdessen vorziehen, einfacher und weniger zu finden frustrierende Ziele. Dies ist nicht der einzige Vorteil, den der Service bietet – er ist auch eine nützliche Möglichkeit, neue Angriffstrends und andere leistungsstarke Minderungsmöglichkeiten in den Kits zu identifizieren, die auf Ihr Unternehmen abzielen.
