Push Security beziffert das Ausmaß konkret: Anfang März habe man in diesem Jahr eine Verfünfzehnfachung der von der Forschungsabteilung erfassten Device-Code-Phishing-Seiten festgestellt, wobei mehrere Baukästen und Kampagnen verfolgt würden – der als EvilTokens identifizierte Baukasten sei dabei der auffälligste. Inzwischen sei diese Zahl auf das 37,5-Fache gestiegen.
Das auf Bedrohungserkennung und -abwehr spezialisierte Unternehmen Sekoia veröffentlichte kürzlich eine Untersuchung zur Phishing-as-a-Service-Operation EvilTokens. Die Forscher heben hervor, dass es sich um ein markantes Beispiel für einen Phishing-Baukasten handle, der Device-Code-Phishing „demokratisiere“ und damit auch wenig versierten Cyberkriminellen zugänglich mache.
Push Security teilt die Einschätzung, dass EvilTokens ein wesentlicher Treiber für die breite Verbreitung der Technik ist, weist aber darauf hin, dass mehrere weitere Plattformen auf demselben Markt konkurrieren. Diese könnten an Bedeutung gewinnen, falls Strafverfolgungsbehörden EvilTokens stören sollten.
Zusätzlich veröffentlichte Push Security ein Video, das die Funktionsweise des Baukastens DOCUPOLL zeigt. Dabei nutzt der Täter das Erscheinungsbild von DocuSign und einen Köder zu einem angeblichen Vertrag, der das Opfer auffordert, sich bei der Microsoft-Office-Anwendung anzumelden.
Insgesamt gibt es laut den Angaben mindestens elf Phishing-Baukästen, die Cyberkriminellen diese Angriffsform anbieten. Alle setzen auf realistische, an SaaS-Diensten orientierte Köder, auf Schutzmechanismen gegen Bots und auf den Missbrauch von Cloud-Plattformen als Hosting.
Um Device-Code-Phishing zu unterbinden, empfiehlt Push Security, den Ablauf bei Nichtgebrauch über bedingte Zugriffsrichtlinien für die Konten zu deaktivieren. Ratsam sei zudem, Protokolle auf unerwartete Geräte-Code-Authentifizierungen, ungewöhnliche IP-Adressen und auffällige Sitzungen zu überwachen.
