Skip to main content
  1. Home
  2. Blog
  3. Imitieren von bekannten Marken...
  • Brand Impersonation – ein neues Researchmodel von cyan

  • Verbesserte Cybersecurity durch neue Erkennungsmethode

  • Aktive Identifizierung innerhalb von Sekunden nach Veröffentlichung

Im Zuge eines Forschungsprojektes, gefördert durch FFG (Forschungsförderungsgesellschaft Österreich) und in Kooperation mit SBA (Secure Business Austria), haben wir ein neues Verfahren zur Erkennung von Missbrauch bekannter Marken entwickelt. Dieses Verfahren ermöglicht uns die zielgerichtete Erkennung von Phishing und Scam innerhalb von Sekunden nach Veröffentlichung des bedrohlichen Inhaltes.

Wie funktioniert Phishing?
Phishing hat zum Ziel, einen unbedarften Benutzer dazu zu bringen, private Informationen preiszugeben. Üblicherweise sind das Informationen wie Benutzernamen und Passwörter, Kreditkarteninformationen oder persönliche Daten wie Wohnort oder Geburtsdatum. Diese erlauben es einem Angreifer Schaden anzurichten, wie z.B. Zahlungen durchzuführen, Bestellungen zu tätigen oder Vertragsänderungen zum eigenen Nutzen durchzuführen.

 

 

Wie identifiziert cyan solche Phishing-Attacken?
Die Erkennung solcher Phishing-Attacken wurde bis dato über generische Methoden durchgeführt. Darunter fallen zum Beispiel die Erkennung von auffälligen Domainnamen (Tippfehler, Zeichenketten), erhöhter Webtraffic auf neue/unbekannte Domains oder die Verwendung von Honeypots, welche Phishing Emails und Nachrichten erhalten und die darin enthaltenen Domains automatisch extrahieren. All diese Methoden sind bei cyan im Einsatz und liefern gute Ergebnisse.

 

 

Wie optimiert die neue Methode die Identifizierung von Phishing-Attacken?
Die neu entwickelte Methode erlaubt es uns nun aktiv nach Phishinginhalten zu suchen die bekannte Marken imitieren sowie die Identifizierung der veröffentlichten Inhalte innerhalb von nur wenigen Sekunden nach Inbetriebnahme. Wir haben diese Methode “Brand Impersonation” getauft.

Phishing hat einige markante Merkmale, welche wir hier gesamtheitlich betrachten:
• Das Ziel von Phishing sind immer private Daten – Benutzername/Passwort, Kreditkarte, Bankdaten, Ausweisdaten, Anschrift
• Es werden bekannte Marken imitiert – Logo, Look & Feel, Farbwelt
• Um Vertrauen zu schaffen sind die meisten Phishing-Seiten heute via https verschlüsselt – Schloss-Symbol im Browser
• Die verwendeten Domainnamen sind unauffällig und auf den ersten Blick vertrauenswürdig – bekannte Marken und Begriffe

Neben unseren gewohnten Eingangsdaten wie Web Crawling und unserer Research Feedback Loop aus der bestehenden Kundenbasis, dient uns nun der Globale Certificate Transparency Stream als neue Quelle. Dieses System macht alle neu ausgestellten oder verlängerten SSL Zertifikate im Sinne der Transparenz publik. Browserhersteller aber auch Firmen, spezialisiert auf Transparenzinformationen, nutzen diesen Stream, um Ungereimtheiten im Zertifikationssystem zu identifizieren, wie z.B. die (Neu)ausstellung eines Zertifikates einer bekannten Domain wie google.com. Dies ermöglicht eine zeitnahe Reaktion im Sicherheitsumfeld und schützt Kunden vor Eingriffen in das Verschlüsselungssystem. Wir verwenden diesen Stream um neue und unbekannte Domains nahezu in Echtzeit zu erhalten und diese unseren Analysen zuzuführen.

 

 

Wie sieht der Schrittweise Ablauf dieser Methode aus?
Im ersten Schritt wird die Domain betrachtet und auffälligen Begriffen wie “login”, “verify”, “payment” in Zusammenhang mit dem Namen von Brands, werden gesucht. Solche Begriffe sind ein deutliches Zeichen für eine Domain welche näher betrachtet werden muss. Besonders auffällige Domains werden in diesem Schritt vorsorglich in die Signaturendatenbank aufgenommen und Kunden werden sofort über diese Ungereimtheiten informiert.

Als zweiten Schritt verbinden wir uns zum Webserver und laden das Favicon, ein kleines Bild welches im Browser oder Messenger als Vorschaubild für die Webseite benutzt wird. Im Sinne der Wiedererkennung und um Vertrauen zu schaffen ist dies üblicherweise das Logo der Marke. Kriminelle Akteure nutzen dies, um ihren Opfern eine vertraute Umgebung vorzugaukeln. Unsere Systeme sind mit den bekannten Logos trainiert und können diesen Missbrauch erkennen.

Der dritte Schritt dieser Methode prüft den Inhalt der Webseite, insbesondere spezifische Schlüsselwörter im Text, Copyright Informationen oder Impressum. Phishing-Seiten wollen so nahe am Original sein wie möglich und kopieren genau diese Elemente. Unsere Analysesysteme werden mit den Daten der bekannten Marken bestückt und können somit die Verwendung auf fremden Seiten erkennen.

Im vierten Schritt sind Ähnlichkeiten in Struktur so Bilder und Farbgebung zur Originalseite des Brands von Interesse. Diese Merkmale werden Machine Learning Algorithmen zugeführt, um Ähnlichkeiten auf potenziell gefährlichen Seiten zu erkennen.

Im letzten Schritt prüfen wir, ob eine vertiefende Analyse über unser patentiertes Sandboxing Verfahren notwendig ist. Da dieses Verfahren zeit- und kostenintensiv ist, werden nur Seiten, welche gewisse Merkmale in HTML oder Scriptcode aufweisen und vorab nicht über die Brand Impersonation Algorithmen identifiziert werden konnten, diesem Verfahren zugeführt.

Mit Hilfe dieser Methodiken konnten wir bis dato über 3 Milliarden Zertifikate prüfen, wobei wir 1 Milliarde Domains für nähere Betrachtung oder eine spätere (Wieder)prüfung gespeichert haben. Täglich analysieren wir hiermit über 200.000 Webseiten im Detail, können hunderte Bedrohungen nahezu in Echtzeit identifizieren und so unsere Kunden zeitnah vor diesen Attacken schützen.

 

 

Bleiben Sie am Laufenden :

Folgen Sie uns auf Linkedin
Besuchen Sie unseren Youtube Channel

Find Out More
Our wide portfolio of digital security solutions is powered by our unique threat intelligence technology