Phishing-Angreifer setzen zunehmend auf russische ‚bullet-proof‘ Domains

Betrieben werden diese Domains von ‚bullet-proof‘ Domain-Hosts. Sie sind dafür bekannt, gemeldete bösartige Webseiten, die für Phishing-Angriffe missbraucht werden, weiterlaufen zu lassen und Missbrauchsmeldungen zu ignorieren. Für 2025 rechnen die Forscher mit einem weiteren Anstieg der Nutzung solcher Domains für Phishing-Angriffe.

Hauptziel der Angreifer scheint das Sammeln von Microsoft-Credentials zu sein. Per E-Mail werden Links und QR-Codes versendet, um Opfer auf eine Fake-Microsoft-Landingpage zu locken, auf der sie dann ihre Anmeldedaten eingeben sollen. Um einer raschen Entdeckung zu entgehen, versenden die Angreifer die Links und QR-Codes über E-Mail-Anhänge. Umleitungslinks, oftmals eingebettet in mehrschichtige HTML-Anhänge, sowie polymorphe und dynamisch generierte URLs erschweren eine frühzeitige Aufspürung zusätzlich.

Takedown weitgehend ausgeschlossen

Doch selbst wenn es gelingt, einen Angriff zu erkennen, so ist ein rascher Takedown doch weitgehend ausgeschlossen, da die Fake-Webseiten und -Emails über ‚bullet-proof‘ Domains betrieben werden. Missbrauchsmeldungen werden hier von den Anbietern oft absichtlich ignoriert. Ihre Heimat haben sie in aller Regel in Staaten, in denen die Gesetze zur Cyberkriminalität nur schwach entwickelt oder einfach nicht durchgesetzt werden. Die Folge: Angreifer können von hier aus groß angelegte Angriffskampagnen initiieren und bei allenfalls minimalen Störungen zu einem erfolgreichen Abschluss bringen.

Rund 1.500 .ru-Domains konnten die Forscher von KnowBe4 im Rahmen ihrer knapp zweimonatigen Ermittlungen den Kampagnen zuordnen. 377 dieser Domains waren allein bei der ‚bullet-proof‘ Registrierungsstelle R01-RU angemeldet.  Mehr als 13.000 bösartige E-Mails wurden von hier versandt. 2,2 Prozent der beobachteten E-Mails von .ru-Domänen waren Phishing-E-Mails. Das Erschreckende: Viele der identifizierten und analysierten Phishing-E-Mails hatten professionelle E-Mail-Sicherheitslösungen, wie die Exchange Online Protection, den Barracuda Email Security Gateway, Mimecast und Cisco Ironport, erfolgreich überwinden können.

Risikofaktor Mensch

Die Untersuchung des KnowBe4 Threat Labs zeigt: Einfache Anti-Phishing-Tools und -Schulungen reichen längst nicht mehr aus, um Angriffe, die den Menschen als Risikofaktor ins Visier nehmen, rechtzeitig zu erkennen und erfolgreich abzuwehren. Unternehmen müssen die Risiken, denen die Unternehmens-IT durch die eigenen Mitarbeiter ausgesetzt ist, umfassend in den Blick nehmen. Längst lassen sich Phishing-Trainings, -Schulungen und -Tests mit KI personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert zum Einsatz bringen.