Überaus praktisch für solche Phishing-Kampagnen ist ein neues Tool namens LogoKit, das sowohl die angezeigten Logos als auch die Texte auf einer Phishing-Seite automatisch in Echtzeit anpassen kann, um diese genau auf das ahnungslose Opfer anzupassen. Entdeckt wurde es von Sicherheitsforschern von RiskIQ, die LogoKit im vergangenen Monat auf mehr als 700 Webseiten entdeckt haben. Demnach werden massenhaft Phishing-Mails verschickt, die für jedes Opfer einen spezifischen Link enthalten, in dem dessen E-Mail-Adresse integriert ist. Klickt es dann auf den Link, passt LogoKit zuerst die Logos an. Die notwendigen Daten besorgt sich das Programm aus öffentlich zugänglichen Datenbanken wie der Google Favicon Database. Dies geschieht über verschiedene JavaScript-Funktionen, die in ganz normalen Log-In-Formularen integriert werden können. Das unterscheidet LogoKit auch von herkömmlichen Phishing-Tools, denn die benötigen normalerweise perfekte Templates, um die Log-In-Seite eines Unternehmens nachzubauen. Diesen Aufwand sparen sich Nutzer von LogoKit nun. Sie können damit fast jedes Unternehmen mit minimalem Aufwand nachbilden und hunderte Phishing-Kampagnen gegen eine Vielzahl von Unternehmen gleichzeitig ausrollen.
Eine weitere Besonderheit des neuen Tools ist die Tatsache, dass jeder verschickte Link direkt die E-Mail-Adresse des Opfers enthält. Diese wird von LogoKit dazu genutzt, direkt einen Benutzernamen im Log-In-Formular einzutragen. Beim Opfer entsteht so der Eindruck, das Feld wäre direkt von der Auto-Fill-Funktion des Browsers ausgefüllt worden, weil man sich bereits früher einmal auf der Webseite eingeloggt hat. Funktioniert dieser Psychotrick und das Opfer gibt seine Daten ein, werden diese zuerst an eine unbekannte externe Quelle geschickt, bevor das Opfer dann auf die tatsächliche Webseite des Unternehmens weitergeleitet wird, damit es keinen Verdacht schöpft.
Die Sicherheitsforscher von RiskIQ haben LogoKit im vergangenen Monat genau beobachtet und dabei festgestellt, dass es sowohl für generische Log-In-Portale und falsche SharePoint-Portale genutzt wird als auch für die Adobe Document Cloud, OneDrive, Office 365 sowie für mehrere Kryptowährungsbörsen. Da das Tool mit nur wenigen JavaScript-Befehlen auskommt, benötigt es im Gegensatz zu den herkömmlichen Phishing-Tools nur sehr wenig Platz und damit auch kein eigenes Server-Set-up. Stattdessen kann es auf gehackten Seiten oder sogar auf den echten Webseiten der imitierten Unternehmen gehostet werden. Seine Ressourcen, also die Texte und Bilddateien, können auf Diensten wie Firebase, GitHub oder der Oracle Cloud liegen, die allesamt bei den meisten Unternehmen nicht blockiert werden und auch keinen Alarm der Sicherheitssoftware auslösen dürften. Es empfiehlt sich daher genau zu überlegen, ob eine E-Mail das ist, was sie zu sein vorgibt. Denn der beste Schutz vor Phishing-Kampagnen ist Vorsicht beim Öffnen und Klicken von Links oder Dateien.
Für Unternehmen empfiehlt es sich, die Mitarbeitenden in diesem Bereich regelmäßig zu schulen. Neben der klassischen Wissensvermittlung per Workshop oder in Textform, bietet sich ein Phishing-Test, ein sogenanntes Social E-Mail Audit, an. Dabei werden klassische Maschen von Cyberkriminellen nachgestellt und Phishing-Mails an die Mitarbeitenden gesendet. Jeder falsche Klick wird dann anonymisiert gezählt und später erfahren die Angestellten dann, woran sie die Phishing-Attacke hätten erkennen können. Hier geht es in keinem Fall darum, jemanden bloßzustellen. Durch ein Social E-Mail Audit wird erreicht, dass die „Mir kann das nicht passieren“-Mentalität überdacht wird und die Mitarbeitenden in der Praxis lernen, dass sie wichtig für die Sicherheit des Unternehmens sind.