Aktuelle Studien zeigen, dass über 90% aller Cyberangriffe mit Phishing beginnen. Und bei schätzungsweise 3,4 Milliarden Phishing-E-Mails, die jeden Tag weltweit verschickt werden, bleibt Phishing für Cyberkriminelle ein einträgliches Geschäft.
Dem gegenüber stehen Sicherheitssysteme, die kontinuierlich das Internet durchforsten auf der Suche nach Phishing-Websites. Durch Analyse von URLs und Inhalten, werden diese manipulierten Seiten erkannt und Internetnutzer durch Programme wie zum Beispiel Microsoft Defender gewarnt, wenn sie diese Seiten besuchen.
Damit die von den Angreifern erstellten Phishing-Seiten von den Sicherheitssystemen nicht gefunden und erkannt werden, setzen die Kriminellen auf eine Tarntechnik namens Cloaking (zu deutsch Verhüllung) um die Erkennung auszuhebeln.
Wie Cloaking funktioniert
Sicherheitstechnologien entwickeln sich stetig weiter, doch Angreifern gelingt es immer wieder Schritt zu halten, und stellenweise die Nase vorn zu haben. Eine der neuesten Entwicklungen beim Phishing ist, Cloaking oder Verhülllungs-Strategien einzusetzen. Ziel ist es dabei, dass nur die eigentlichen Opfer eine manipulierte Website sehen.
Je nach Besucher, passt eine von den Angreifern erstellte Phishing-Website ihr Verhalten oder ihren Inhalt selbstständig, dynamisch an. So werden bösartige Inhalte vor Forschern und den Scannern der Sicherheitssysteme getarnt, während die manipulierte Version einer Website nur den eigentlichen Opfern dieser Masche angezeigt wird. Diese manipulierte Website ist oft eine 1 zu 1 Kopie der Originalseite, die allerdings darauf ausgelegt ist, dass potenzielle Opfer vertrauliche Daten preisgeben, wie Passwörter, Mailadressen, Benutzernamen, Bank- oder Adressdaten.
Angreifer nutzen dazu verschiedene Techniken, um ihr Ziel zu erreichen. So filtern sie den Datenverkehr auf Grundlage von Faktoren wie IP-Adresse (Geolocation), Browser-Fingerprint und User-Agent-Filtern oder anderen Mechanismen.
IP-basierte Umleitung
Bei der IP-basierten Umleitung, wird die IP-Adresse des Website-Besuchers analysiert und auf Basis dieser Analyse entschieden, ob der Besucher eine sicherheitsrelevante Quelle wie ein Sicherheitstool, oder aber ein potenzielles Opfer ist.
Dazu nutzen die Kriminellen spezielle „schwarze Listen“. Auf diesen umfangreichen Listen sind Cybersicherheitsfirmen oder automatisierte Scanner (Bots) mit den dazugehörigen IP-Bereichen vermerkt. Wird ein Zugriff aus einer dieser Quellen erkannt, erfolgt eine direkte Umleitung auf eine harmlose Standardseite oder auf eine Fehlerseite wie zum Beispiel “404 (Seite) nicht gefunden”. So soll verhindert werden, dass die Phishing-Seite durch eine Analyse entdeckt wird.
Neben den schwarzen Listen setzen die Kriminellen aber auch gezieltes “Whitelisting” ein, um nur den Nutzern bösartige Inhalte anzuzeigen, die zu bestimmten Organisationen gehören, oder deren IP-Adressen den zuvor festgelegten geografischen Bereichen entsprechen.
Die Domain amelinotresante.info die sich zum Zwecke der Datensammlung als offizielles Portal des französischen Krankenversicherungssystems als ameli.fr ausgab und Ende 2024 beobachtet wurde, war so ein Beispiel für eine IP-basierte Umleitung. Website Besucher mit einem IP-Bereich außerhalb von Frankreich, sahen eine Fehlerseite “404 Not Found”, während Besucher deren IP-Bereich auf Frankreich hindeutete, die von den Angreifern präparierte Phishing-Website zu sehen bekamen.
Browser-Fingerprinting und User-Agent-Filter
Mit User-Agent-Filtern lassen sich Inhalte gezielt an ein jeweiliges Gerät oder an den verwendeten Browser anpassen. So sehen Nutzer, die weit verbreitete Browser wie Chrome, Safari oder Edge verwenden, die manipulierten Seiten. Zugriffe von Headless-Browsern (Webbrowsern ohne grafische Benutzeroberfläche), die häufig bei der automatisierten Erkennung von Phishing-Websites Verwendung finden, werden hingegen blockiert.
Angreifer können mit User-Agent-Filtern auch sicherstellen, dass die von ihnen erstellten Phishing Seiten unentdeckt bleiben und nicht von Sicherheits-Crawlern, die sich auf leicht identifizierbare oder veraltete User-Agent-Zeichenfolgen verlassen, gefunden werden.
Diese Technik wird oft verwendet beim Paketversand-Betrug in Form von Phishing SMS. So kann durch die Analyse des User-Agents erkannt werden, welches Endgerät verwendet wird, um gezielt nur Smartphone-Nutzer auf die gefälschten Seiten zu locken. Nutzer anderer Geräte wie Laptops, werden hingegen auf harmlose Inhalte oder Fehlerseiten umgeleitet.
CAPTCHA-Mechanismen
Eine weitere Möglichkeit, um zwischen menschlichen Besuchern und automatisierten Scannern zu unterscheiden, ist die Einbindung von sogenannten CAPTCHA-Tests.
So lassen sich durch den vorgeschalteten Test automatisierte Systeme erkennen, da diese oft nicht in der Lage sind, CAPTCHAs zu lösen. Der eigentliche Inhalt bleibt diesen Systemen somit verborgen und eine Entdeckung der gefälschten Seite wird verhindert.
CAPTCHA-Tests dienen auch der Verifikation menschlicher Interaktion, da das Lösen eines CAPTCHAs als Hinweis auf einen echten Nutzer gewertet werden kann. So kann leicht bösartiger Inhalt ausgespielt werden, während der automatisierte Scanner eine harmlose Seite zu sehen bekommt.
Da CAPTCHAs mittlerweile relativ verbreitet und auf vielen legitimen Websites zu finden sind, gehören sie für viele Internetnutzer dazu und wecken wenig Misstrauen. Das steigert die Glaubwürdigkeit und somit die Erfolgswahrscheinlichkeit einer Phishing-Website, die zusätzlich auf CAPTCHAs setzt.
Die gängigsten CAPTCHA-Dienste lassen sich zudem unkompliziert integrieren, was es für Angreifer kostengünstig und leicht umsetzbar macht. So hat sich die Zahl der getarnten Phishing-Websites die CAPTCHAs verwenden, zwischen Januar und Juni 2023 nahezu verzehnfacht.
JavaScript-basierte Mechanismen
Bevor einige Phishing-Seiten schädliche Inhalte anzeigen, analysieren sie die Browserumgebung des Users mit JavaScript-basierten Prüfmechanismen. So wird der Gerätetyp, die Bildschirmauflösung oder die Interaktion des Benutzers (User Interactions) überprüft. Wird zum Beispiel eine fehlende Benutzeraktivität festgestellt, da es keine Mausbewegungen und kein Klickverhalten gibt, muss davon ausgegangen werden, dass es sich um einen Bot (automatisierten Sicherheitsscanner) handelt. In diesem Fall bleibt die Phishing-Website leer oder es wird ein harmloser Inhalt angezeigt, um nicht entdeckt zu werden.
Mit diesen Prüfmechanismen lassen sich auch Zeitzonen und Spracheinstellungen auslesen und Inhalte gezielt anpassen, um Zugriffe aus unrelevanten Regionen zu blockieren.
Wie lassen sich Cloaking-basierte Phishing-Angriffe vermeiden?
Wie in den vorherigen Abschnitten zu lesen, nutzen Cyberkriminelle eine ganze Palette an Techniken, um einer Entdeckung zu entgehen. Und auch herkömmliche Erkennungsmethoden stoßen bei getarnten Phishing-Angriffen an ihre Grenzen. Unternehmen sollten deshalb auf mehrschichtige und adaptive Sicherheitsstrategien setzen, da Angreifer mit Cloaking klassische Schutzmechanismen gezielt umgehen.
Um getarnte Phishing-Angriffe abzuwehren, ist es hilfreich, auf eine Kombination zu setzen, die aus KI-gestützter Analyse und fortschrittlicher Threat Intelligence besteht. Dabei geht es um die Identifizierung und Analyse von Cyberbedrohungen, der Betrachtung des Gesamtbildes, der Identifizierung von Problemen und der Entwicklung von spezifischen Lösungen.
So können moderne Sicherheitsplattformen, die auf verhaltensbasierte Erkennung und maschinelles Lernen setzen, Domains und Inhalte über einen längeren Zeitraum betrachten. Abweichungen oder inkonsistente Muster, die auf potenziell bösartige Websites hindeuten, lassen sich somit identifizieren. Auch ungewöhnliche Weiterleitungen oder dynamische Inhaltsveränderungen die typisch sind bei getarnten Phishing-Seiten, können diese Plattformen erkennen. Darüber hinaus stehen verdächtige oder neu registrierte Domains häufig im Zusammenhang mit Phishing-Websites. Unternehmen sollten als weitere Maßnahme deshalb DNS-Filter implementieren, um diese Domains proaktiv zu blocken.
Neben den technischen Schutzmaßnahmen sollte auch die Sensibilisierung und Schulung der Mitarbeitenden eine zentrale Rolle spielen. Denn am Ende ist es der Mensch, der seine Daten auf einer Phishing-Seite preisgibt oder durch den Klick auf einen verdächtigen Link, die Angreifer in das System lässt. Und da niemand unfehlbar ist, ist die konsequente Einführung der Multi-Faktor-Authentifizierung (MFA) ein weiterer wichtiger Schritt hin zu einer robusten Verteidigung. So kann das Risiko eines erfolgreichen Datendiebstahls erheblich reduziert werden, falls doch ein Mitarbeiter auf eine Phishing-Attacke hereinfällt.
Weitere Variante: Cloaking als SEO-Technik
Cloaking, also das Verhüllen ist eine Technik, die bereits seit langer Zeit (weit vor Cloaking bei Phishing) in der Suchmaschinenoptimierung (SEO) eingesetzt wird. Mit dem Ziel, dass Webseiten in den Suchergebnissen besser ranken. Den Suchmaschinen-Crawlern (wie Googlebot, Bingbot usw.) und Nutzern werden bei dieser manipulativen Technik unter derselben URL unterschiedliche Inhalte angezeigt. Der Crawler sieht während der Indexierung hochwertigen Text und der Nutzer etwas völlig anderes.
Für Nutzer stellt diese Technik ein hohes Risiko dar, da sie irreführende und täuschende Erlebnisse schafft. Zudem verstößt diese Praktik gegen die Qualitätsrichtlinien von Suchmaschinenbetreibern und sollte ein Crawler einen Cloaking-Verstoß feststellen, wird die betroffene Website aus dem Suchindex entfernt.
Zusammenfassung: Cloaking & Phishing
Cloaking bei Phishing ist eine raffinierte Methode von Cyberkriminellen, um möglichst unbemerkt an vertrauliche und persönliche Daten zu gelangen. Dabei setzen die Angreifer verschiedene Techniken ein, um ihre Phishing-Websites vor Sicherheitstools und Forschenden zu verbergen – und sie nur den Personen anzuzeigen, die als potenzielle Opfer ausgewählt wurden.
Unternehmen sollten dieser Art von Angriff mit einer Kombination aus technischen Schutzmaßnahmen – etwa durch Sicherheitsplattformen oder DNS-Filter – begegnen. Ebenso wichtig ist es, gezielt in Schulungsprogramme zu investieren, um Mitarbeitende für solche Bedrohungen zu sensibilisieren.
Wie bei vielen anderen Cyberangriffen gilt auch hier: Eine wirksame Sicherheitsstrategie beruht auf dem Zusammenspiel von Technologie und menschlicher Wachsamkeit. Dieser ganzheitliche Ansatz stellt sicher, dass selbst geschickt getarnte Phishing-Attacken frühzeitig erkannt und abgewehrt werden, bevor sie Schaden anrichten können.