Phishing gehört zu den meistgenutzten Angriffsarten von Cyberkriminellen und auch zu den erfolgreichsten. Betrügerische Domain ploppen dann im Internet auf – manchmal nur für die EINE Phishingwelle und sind kurz darauf unauffindbar. Ermittler haben keine Chance, Zusammenhänge rechtzeitig zu erkennen und die Nutzer zu warnen oder zu schützen. Ein globales Problem, das aber sozusagen im Kleinen angegangen werden muss.

Der Freistaat Bayern setzt im Kampf gegen Cyberkriminalität seit 2020 auf Kooperation mit internationalen Experten und Produkten. Seit vier Jahren wird ein Dark Web Monitor von der niederländischen Forschungsgesellschaft TNO eingesetzt, seit 2022 in Zusammenarbeit mit Complexity Science Hub Vienna (CSH) das Blockchain Analyse Tool „Graph Sense“ und seit letztem Jahr ein KI-„Fake-Shop Detector“ vom AIT Austrian Institute of Technology. Doch auch die Hacker entwickeln ihre Software weiter, also wurde es Zeit für weitere Kooperationen.

Am 19.Juni 2024 schloss Bayerns Justizminister Georg Eisenreich eine weitere Kooperation mit TNO. Die niederländische Forschungsgesellschaft hat gemeinsam Ermittlungsbehörden das Open Source Tool „ Big Phish“ entwickelt. Als erste Dienststelle in Deutschland wird die Zentralstelle Cybercrime Bayern (ZCB) das Tool im Kampf gegen Phishing testen.

„Big Phish“ gegen Cyberkriminalität

Das neue Tool soll die anderen Tool effektiv unterstützen. Die Entwickler wollen so erreichen, dass die Domains, die oft nur 24 Stunden online sind, bereits „gesichert“ werden, sobald sie online gehen.

Cyberkriminelle benötigen nicht viel, um betrügerische Kampagnen zu starten. Im Darknet erwerben sie ein „Phishing Kit“, dazu kommen Webspace zum Hosten der Webseite und eine Domain mit TLS Zertifikat. Nachdem die Domain online ist versenden die Täter die Phishingnachrichten als E-Mail, SMS oder Chat, um die Opfer auf die Domain zu locken.

„BigPhish“ liest die CT Logs rund um die Uhr aus, um potenzielle betrügerische Domains zu finden. Liegt ein Ergebnis vor, wird der „Bigphish“ Crawler eingesetzt um Spuren von den Phishing Kits zu finden. Bestätigt sich der Verdacht, wird die Domain überwacht.

In einer Datenbank werden alle relevanten Informationen der Domains , u.a. IP-Adresse und der Provider des Servers, sowie Aktivitäten für Ermittler dokumentiert.

Laut Georg Eisenreich soll das Tool später auch automatisierte Warnungen für Nutzer beim Aufrufen dieser Domains einblenden und so das Abfischen sensibler Daten verhindern. Die Ermittler hoffen auf schneller Erfolge und bessere Möglichkeiten , Zusammenhänge zwischen den Hacks herzustellen.