Phishing-as-a-Service wächst weiter

Bei der Untersuchung von Phishing-Angriffen entdeckte Mandiant (inzwischen Teil von Google Cloud) im Oktober 2022 eine neue Phishing-as-a-Service-Plattform namens Caffeine. Der Dienst zielte zum Zeitpunkt der Entdeckung auf den Diebstahl von Microsoft 365-Anmeldeinformationen ab — mit der technischen Infrastruktur, schnell auf weitere Dienste zu skalieren.

Was Caffeine von anderen PhaaS-Plattformen unterschied

Phishing-as-a-Service war 2022 kein neues Phänomen. Plattformen wie EvilProxy boten bereits ähnliche Dienste an. Caffeine unterschied sich jedoch in mehreren Punkten:

• Offene Registrierung: Während EvilProxy ein Einladungssystem nutzte, war die Registrierung bei Caffeine kostenlos und ohne Zugangsbeschränkung möglich. Das senkte die Einstiegshürde auf praktisch null
• Fertige Angriffs-Templates: Caffeine bot vorkonfigurierte Phishing-Vorlagen — zum Zeitpunkt der Entdeckung mit Fokus auf chinesische und russische Organisationen, aber technisch erweiterbar
• Intuitive Benutzeroberfläche: Dashboard zur Kampagnenverwaltung, Echtzeit-Statistiken und automatisierte E-Mail-Versendung — nutzbar ohne technische Vorkenntnisse
• Legitime Infrastruktur als Tarnung: Die Bewerbung des Dienstes erfolgte über zuvor kompromittierte WordPress-Websites, was die Identifikation und Abschaltung erschwerte

Caffeine als Symptom eines größeren Trends

Caffeine war ein frühes Beispiel für die Industrialisierung von Phishing. Seit 2022 hat sich der PhaaS-Markt massiv weiterentwickelt. Plattformen wie Tycoon 2FA, Sneaky2FA, FlowerStorm und Greatness bieten inzwischen ausgereiftere Dienste an — inklusive Adversary-in-the-Middle-Funktionalität, die selbst MFA-geschützte Accounts kompromittiert.

Microsoft warnte bereits im September 2022 vor der zunehmenden Kommerzialisierung von Cyberangriffen als Dienstleistung. Der Microsoft Digital Defense Report 2022 dokumentierte einen Anstieg von Phishing-Angriffen um 61 Prozent im Vergleich zum Vorjahr — ein Trend, der sich seitdem beschleunigt hat.

Die Logik dahinter ist einfach: PhaaS-Plattformen demokratisieren Cyberkriminalität. Jeder mit einer Kreditkarte und grundlegenden Computerkenntnissen kann innerhalb von Minuten eine professionelle Phishing-Kampagne starten. Die Plattformen übernehmen Hosting, E-Mail-Versand, Credential-Harvesting und sogar die Umgehung von Sicherheitsmaßnahmen.

Warum klassische Schutzmaßnahmen versagen

Die Standardempfehlungen — verdächtige Links nicht anklicken, Absender prüfen, auf Tippfehler achten — verlieren gegen PhaaS-generierte Kampagnen zunehmend an Wirksamkeit. Die Gründe:

• Professionelle Qualität: PhaaS-Templates sind sprachlich und visuell kaum von legitimen E-Mails zu unterscheiden
• Legitime Infrastruktur: Phishing-Seiten laufen auf kompromittierten Domains mit gültigen SSL-Zertifikaten
• MFA-Umgehung: Neuere PhaaS-Plattformen setzen Reverse-Proxy-Techniken ein, die Session-Cookies in Echtzeit abfangen — MFA wird nicht gebrochen, sondern umgangen

Handlungsempfehlungen

• FIDO2/Passkeys für kritische Accounts: Der einzige MFA-Mechanismus, der gegen Reverse-Proxy-Phishing strukturell resistent ist
• Conditional Access mit Device Compliance: Gestohlene Session-Cookies von nicht-verwalteten Geräten werden blockiert
• E-Mail-Security jenseits von Spam-Filtern: Link-Detonation, Sandbox-Analyse und Echtzeit-URL-Reputation prüfen Links zum Zeitpunkt des Klicks — nicht nur beim Empfang
• Security Awareness aktualisieren: Mitarbeiter trainieren, Login-Seiten direkt über Bookmarks aufzurufen, statt Links in E-Mails zu folgen
• SIEM-basiertes Monitoring: Post-Authentication-Anomalien erkennen — Impossible Travel, ungewöhnliche Inbox-Regeln, MFA-Neuregistrierungen