Das alljährliche Wintergeschäft: Shopping und Phishing

21 Nov 2018

Der November gilt als der erste Monat der geschäftigsten Einkaufssaison des Jahres. Die Saison beginnt am 11. November, in China auch als „Singles‘ Day“ bekannt, der sich seitdem zu einem der größten Onlineshopping-Tage der Welt entwickelt hat, dicht gefolgt vom Black Friday, der dieses Jahr auf den 23. November fällt. Sind diese beiden Tage erst einmal vorbei, sind auch schon die nächsten Festlichkeiten, Weihnachten und Neujahr, in Sicht. Für leidenschaftliche Shopper ist diese Zeit ein rückhaltloser Höhenflug; denn an jeder Ecke warten Rabatt- und Werbeaktionen. Der Nachteil all dieser schmackhaften Angebote? Viele Menschen lassen ihre Wachsamkeit fallen und verwandeln sich in leichte Beute für Cyberkriminelle.

Phishing-Statistiken

In den vergangenen Jahren machte Finanz-Phishing mindestens ein Viertel aller jährlichen Phishing-Angriffe aus. Im Jahr 2017 übertraf diese Art des Phishings bereits die Hälfte aller Angriffe.

Increase in the share of financial phishing in the last years

Die Zahl finanzieller Phishing-Angriffe ist in den letzten Jahren deutlich gestiegen

Die Grafik zeigt ab 2014 einen kontinuierlichen Quotenanstieg finanzieller Phishing-Angriffe. Wir können mit absoluter Sicherheit davon ausgehen, dass sich dieser Aufwärtstrend für das restliche Jahr 2018 auch weiterhin fortsetzen wird.

Während der weihnachtlichen Verkaufssaison steigt die Anzahl der Angriffe auf Onlineshopping- und  und Zahlungssystemkunden erheblich an. Unsere Statistiken zeigen, dass in diesem Zeitraum zusätzlich 10 % aller Angriffe auf finanzielles Phishing zurückzuführen sind. Außerhalb der Verkaufssaison bevorzugen Betrüger vor allem Bankkunden.

Am Singles‘ Day konnte eine klare Steigerung der Anzahl der von Kasperskys Sicherheitslösungen blockierten Versuche, Nutzer auf schädliche Ressourcen umzuleiten, vermerkt werden.

Number of blocked attempts to redirect users to phishing sites

Anzahl der blockierten Versuche, Nutzer auf Phishing-Seiten umzuleiten

Am 9. November wurde ein deutlicher Aufschwung der Phishing-Angriffe verzeichnet, was an sich nicht weiter verwunderlich ist; denn auch Cyberkriminelle beginnen frühzeitig mit den notwendigen Vorbereitungen. Massenangriffe werden für gewöhnlich kurz vor dem tatsächlichen Ausverkaufstermin ausgeführt.

Wirft man lediglich ein Auge auf die Phishing-Angriffe auf Kunden der Alibaba Group, Hauptakteur am Singles‘ Day, kann ein klares Muster erkannt werden: im Vergleich zum restlichen November kann hier ein extrem starker Anstieg nach oben beobachtet werden.

Number of blocked attempts to redirect users to phishing resources mimicking Alibaba Group services

Anzahl der blockierten Versuche, Benutzer auf Phishing-Ressourcen umzuleiten, die Dienste der Alibaba Group nachahmen

11.November: Phishing am Singles‘ Day

Cyberkriminelle waren mit zahlreichen zuvor präparierten Phishing-Seiten bestens für den Singles‘ Day – unoffiziell auch „Weltshoppingtag“ – vorbereitet.

Phishing aimed at the Alibaba marketplace and the major 11.11 news hook

Phishing-Seite, die sich auf den Marktplatz Alibaba spezialisiert hat

Dieser Screenshot zeigt beispielsweise eine Website, die sich standardmäßige Social-Engineering-Techniken zunutze macht: zahlreiche Erwähnungen von „Alibaba“ in der URL, um unaufmerksame oder naive Nutzer zu verwirren, eine Kopie des Firmenlogos, um Authentizität zu vermitteln, und ein förmlich nach Aufmerksamkeit schreiendes Bild, um den Fokus zu verlagern. Im Anschluss finden Sie ein weiteres Beispiel einer ähnlichen Phishing-Seite.

A phishing website attempting to obtain Alibaba user account dataEine Phishing-Seite, die versucht, an die Kontodaten von Alibaba-Nutzern zu gelangen

Der US-Onlineriese Amazon kommt Alibaba Schritt für Schritt gleich; sowohl was den Verkauf und die Angebote als auch die Gefahr der Cyberkriminellen angeht, die gefälschte Versionen von Unternehmensseiten erstellen möchten.

Graph of blocked attempts to redirect Kaspersky users to Amazon-themed phishing sites

Grafik blockierter Versuche, Kaspersky-Nutzer auf Amazon Phishing-Seiten umzuleiten

Cyberkriminelle tendieren dazu, bei Phishing-Angriffen ähnliche Methoden zu verwenden. Lukrative Angebote werden zunächst als Köder verwendet. Bevor die Nutzer jedoch auf das verlockende Angebot zugreifen können, müssen sie ein Formular ausfüllen, in dem sie all ihre persönlichen Daten angeben müssen: Adresse, Telefonnummer, usw. Sobald das Formular ausgefüllt ist, werden die Benutzer aufgefordert, den Link mit ihren Freunden zu teilen. Ich denke, es ist nicht nötig zu erwähnen, dass der Nutzer das scheinbare Angebot niemals zu sehen bekommt: Das Opfer wird einfach durch unzählige, sinnlose Umfragen von Seite zu Seite weitergeleitet.

Fraudulent site supposedly offering Amazon sell-offs

Betrügerische Seite, die angeblich Amazon-Angebote anbietet

Black-Friday-Phishing

Offiziell beginnt der Black Friday erst am 23. November. Viele Geschäfte beginnen jedoch bereits einige Tage vorher mit ihren Rabattaktionen. Statistiken zufolge können wir bereits in der Zeit vor dem eigentlichen Black Friday eine Zunahme der Phishing-Angriffe erwarten. Darüber hinaus gibt es zahlreiche registrierte (und bislang inaktive) Seiten wie blackfri-dayscom.tld und black-fridaywalmart.tld. Diese Webseiten werden im Vorfeld des Black Friday von Cyberkriminellen mit Inhalten gefüllt, die darauf aus sind, persönliche und Bankdaten ahnungsloser Käufer abzuernten.

Tatsächlich haben wir bereits die einen oder anderen Phishing-Aktivitäten bezüglich des Black Friday 2018 zu Gesicht bekommen. So haben Betrüger beispielsweise damit begonnen, Phishing-Massenmails zu verschicken, die Nutzer auf gefälschte Websites umleiten, die Geschäfte nachahmen, die derzeit besondere Black Friday-Angebote präsentieren.

Phishing attack on users of Mercado Livre — a popular marketplace in Latin America

Phishing-Angriff auf Mercado-Livre-Nutzer – ein beliebter Onlinemartkplatz in Lateinamerika

Die Domain des gefälschten Shops, der sich als Walmart ausgibt, spricht Bände über den Zweck, für den das Double ins Leben gerufen wurde. Auch diese Seite folgt der typischen Phishing-Methode. Sie lockt Verbraucher mit einem unwiderstehlichen Preis für einen brandneuen Fernseher. Sobald sich der „Kunde“ im Checkout-Prozess befindet, wird er logischerweise dazu aufgefordert ein Formular mit seinen vertraulichen Informationen auszufüllen und sendet die Zahlung dann unwissentlich an ein privates Online-Wallet.

Phishing page imitating Walmart's website

Phishing-Seite, die Walmart’s Website nachahmt

Im Zusammenhang mit Phishing-E-Mails haben wir ebenfalls eine gefälschte Black Friday-Aktion gefunden, die ein kostenloses Zwei-Monatsabo für Netflix anbietet. Nutzer, die an dieser Aktion teilnehmen möchten, werden auf eine betrügerische Netflix-Website umgeleitet, auf der sie aufgefordert werden, ihre Kreditkartendaten und andere persönliche Informationen einzugeben. Diese Daten werden dann an die Kriminellen weitergeleitet, während die Opfer ahnungslos vor dem Bildschirm sitzen. Anstelle eines kostenlosen Netflix-Abos erhält der Benutzer dann ein gehacktes Bankkonto.

Phishing resource posing as Netflix: request for banking and other confidential information

Netflix-Phishing-Seite, die Bankdaten sowie persönliche Informationen einfordert

Ebenfalls vor dem eigentlichen Black Friday, werden zahlreiche gefälschte Onlineshops eingerichtet, die mit verlockenden Angeboten globaler Marken locken.

Phishing offer for a warm winter jacket from a popular brand at a crazy discount

Phishing-Angebot für eine warme Winterjacke einer bekannten Marke zum Spottpreis

Wenn Onlineangebote zu gut klingen, um wahr zu sein, ist es sehr wahrscheinlich, dass es sich hierbei um Betrug handelt. Nachdem wir die Artikel in unseren Warenkorb gelegt haben, wollten wir den Kauf natürlich auch abschließen. Und eines steht fest:  An Validierungssymbolen haben die Website-Entwickler definitiv nicht gespart.

Tatsächlich handelt es sich bei diesen Symbolen allerdings um nicht anklickbare Bilder. In einem solchen Fall sollten bei jedem aufmerksamen Nutzer die Alarmglocken klingeln. Weniger wachsame Besucher würden vermutlich das darauf folgende Standard-Lieferformular ausfüllen und ihre Zahlungsinformationen preisgeben, um den Kauf abzuschließen. All diese Informationen geraten dann allerdings in die Hände der Betrüger und die warme Winterjacke bekommen Sie nie zu Gesicht.

Scam page for stealing bank card data on the site of a fake store. The numerous validation icons are just picturesBetrugsseite, um Bankkartendetails auf der Seite eine Fake-Shops zu stehlen. Die zahlreichen Validierungssymbole sind lediglich Bilder.

So unterscheiden Sie echte und Fake-Shops voneinander

  • Vermeiden Sie Shops, die bei kostenlosen Hosting-Diensten registriert sind.
  • Werfen Sie einen genauen Blick auf die URL-Adresse der Seite, die Sie dazu auffordert, Formulare mit vertraulichen Daten auszufüllen. Wenn die Adresse aus einer Reihe sinnloser Zeichen und Charaktere besteht oder Ihnen verdächtig erscheint, sollten Sie die Zahlung auf keinen Fall fortsetzen.
  • Wenn Ihnen die Shop-Website spanisch vorkommt, suchen Sie auf WHOIS nach weiteren Informationen über die Seite, wie zum Beispiel Existenzdauer und Inhaber. Wenn die Domain erst kürzlich bei einer mysteriösen Entität registriert wurde, sollten Sie schleunigst das Weite suchen.

Für weitere nützliche Tipps zum sicheren Onlineshopping, werfen Sie einen Blick auf unseren Beitrag „Warum Phishing funktioniert und wie man sich schützen kann„.

Tipps für sicheres Onlineshopping

  • Legen Sie sich eine separate Kreditkarte für Onlinekäufe zu.
  • Besuchen Sie keine Shopping-Seiten über Links in E-Mails, Social-Media-Nachrichten und Chatrooms oder durch das Anklicken von Werbebannern auf verdächtigen Websites.
  • Machen Sie einen großen Bogen um öffentliche WLAN-Hotspots zu Shoppingzwecken; wenn Ihnen keine andere Wahl bleiben sollte, verwenden Sie wenigstens einen VPN wie Kaspersky Secure Connection.
  • Vergewissern Sie sich, dass Sie sich auch tatsächlich auf der authentischen Website befinden, bevor Sie irgendwelche persönlichen Informationen preisgeben. Die Adressleiste sollte die richtige URL enthalten (sehr sorgfältig prüfen), der die Buchstaben „https“ und / oder ein grünes Vorhängeschloss vorausgehen.
  • Verwenden Sie eine zuverlässige Anti-Phishing Sicherheitslösung – wie zum Beispiel Kaspersky Internet Security.