Cyber-Kriminalität
Gefälschte Online-Zahlungsformulare sind im Trend
Der Beitrag zeigt die Verhaltensweisen und externen Indikatoren einiger Phishing-Kampagnen, die Trend Micro von der zweiten Dezemberhälfte 2020 bis zu den ersten Januarwochen 2021 verfolgt hatte.
Originalbeitrag von Paul Miguel Babon, Threats Analyst
Laut Trend Micros Prognose für dieses Jahr werden Cyberkriminelle auch weiterhin die mit Covid-19 zusammenhängenden Trends und Vorfälle für sich nutzen — etwa die Abhängigkeit der Menschen von Online-Einkäufen und E-Services und den erhöhten Bedarf an finanzieller Unterstützung – und entsprechende Köder für ihre Opfer auslegen, um kritische Informationen zu stehlen. Auch wenn regelmäßig neue Taktiken für den Informationsdiebstahl entstehen, nutzen die Cyberkriminellen weiterhin aktiv auch altbewährte Wege. Trend Micro hat bei den Recherchen zu neuen Kampagnen einen Trend zur Einbindung von gefälschten Online-Zahlungsformularen ausgemacht, mit deren Hilfe Kriminelle Finanzinformationen effizienter stehlen können.
Der Beitrag zeigt die Verhaltensweisen und externen Indikatoren einiger Phishing-Kampagnen, die Trend Micro von der zweiten Dezemberhälfte 2020 bis zu den ersten Januarwochen 2021 verfolgt hatte.
Betrügerische Gewinnspiele
Im Rahmen einer Kampagne köderten böswillige Akteure Opfer mit einem gefälschten Werbegewinnspiel (winneragent[.]com/usr/register). Ein Countdown-Timer auf der Seite soll mit der Behauptung, dass das Gewinnspiel aufgrund der „großen Medienaufmerksamkeit“ nach einer bestimmten Anzahl von Stunden endet, bei potenziellen Opfern ein falsches Gefühl der Dringlichkeit erzeugen.
Die gefälschte Landing Page weist auch darauf hin, dass kein Einkauf notwendig sei, doch werden die Opfer aufgefordert, ihre persönlichen Daten und Karteninformationen in ein (gefälschtes) Formular einzugeben, um „unbegrenzten Zugang zum Download von 100.000 E-Books“ zu erhalten. Interessanterweise unterscheidet sich der anfängliche Betrag von 19,99 Dollar von der angeblichen monatlichen Verlängerungsgebühr von 39,99 Dollar. Nach der Eingabe der Informationen durch den Benutzer erscheint eine Meldung, die auf eine nicht erfolgreiche Eingabe verweist.
Die Website behauptet auch, von mehreren Markennamen unterstützt und verifiziert zu werden, obwohl sie keine externen Links hat, die mit der Website verbunden sind. Bei näherer Betrachtung zeigt sich auch, dass die Domain relativ neu ist – tatsächlich noch kein Jahr alt. Dies ist ein starkes Indiz dafür, dass die Domain von Haus aus für Betrugszwecke verwendet wurde.
Die Seite mit den Allgemeinen Geschäftsbedingungen der gefälschten Website verweist auf ein Unternehmen namens Red Gem Media, das bekanntermaßen in betrügerische Aktivitäten involviert ist und mehrere Fake-Werbeaktionen durchführt.
Gefälschte Geldüberweisung
Eine weitere aktuelle Phishing-Masche versucht, Opfer dazu zu verleiten, ihre Kartendaten für eine große Geldsumme preiszugeben, die nach Zahlung einer Überweisungsgebühr auf das Konto des Opfers gehen soll. Die Cyberkriminellen senden Phishing-E-Mails an die Opfer, in denen sie angeben, dass ein Betrag von 127.280 russischen Rubeln (etwa 1.700 Dollar) genehmigt wurde, aber vom Benutzer bestätigt werden muss, damit die Überweisung durchgeführt werden kann.
Neben den eklatanten Grammatik- und Layoutfehlern enthält besagte E-Mail auch eine gefälschte Transaktionsnummer und eine gefälschte Kontonummer des Absenders. In der E-Mail fehlt natürlich der Name des Geldtransferdienstes. Beim Klick auf die Schaltfläche „Go to your personal account“ wird das Opfer auf eine Seite umgeleitet, die sich als Geldtransfer-Website für das persönliche Konto des Benutzers ausgibt (ckconsulting[.]host/landing4.html).
Auch diese Seite mit einer generischen Bank namens „Internet Bank“ befindet sich in einer relativ neuen Domain. Für die Überweisungsgebühr von 515 russische Rubel (etwa 6,95 Dollar) gibt es ein gefälschtes Kredit- oder Debitkartenformular.
Sobald die Anmeldedaten des Opfers im Formular codiert sind, wird die Seite an einen legitimen Transaktionsprüfungsdienst (cap.attempts.securecode.com) weitergeleitet, der überprüft, ob die angegebenen Kartendaten gültig sind. Sobald die Kartendaten verifiziert wurden, erscheint eine Fehlermeldung, die besagt, dass die Zahlung von der Bank abgelehnt wurde.
Gefälschte Sites für Online-Bezahldienste
Die Forscher fanden kürzlich fünf gefälschte Websites für Online-Bezahldienste, die Kreditkarteninformationen von Opfern abgreifen. Potenzielle Opfer erhalten E-Mails mit Links zu diesen Websites.
Zwei dieser Sites gosinpay[.]com und onepay[.]shop haben relativ junge Domains. Die anderen drei Fälschungen ay-ping[.]top, payink[.]top und aalbn[.]xyz sind noch keinen Monat alt.
Stimmt der Nutzer der Zahlung einer bestimmten Summe zu, wird er zu einem legitimen Transaktionsprüfungsdienst (cap.attempts.securecode.com) zur Überprüfung der Gültigkeit der Kartendaten weitergeleitet. Eine Meldung darüber, ob die Zahlung erfolgreich war, erhält er nicht.
Betrugsmaschen über Paketversanddienste
Auch fanden die Forscher drei Paketversand-Betrugsmaschen, wobei sich die Dienste als legitime Post- und Lieferunternehmen ausgeben, um finanzielle Informationen der Opfer abzuschöpfen. Die Akteure hinter diesen Kampagnen liefern über Phishing-E-Mails Links zu diesen bösartigen Websites. In allen drei Kampagnen kopierten die Cyberkriminellen Inhalte aus authentischen Unternehmens-Sites, um die Opfer dazu zu verleiten, ihre Finanzdaten anzugeben. Ein Beispiel dafür war eine Phishing-Mail, die angeblich von UPS Taiwan kam. Nähere Einzelheiten dazu sowie weitere Fälle wie eine gefälschte Site der Post in Singapur oder Chunghwa bietet der Originalbeitrag.
Weitere Phishing-Betrugsmaschen im Kommen
Die Zahl der Phishing-Websites hat während der Pandemie im ersten Quartal 2020 um 350% zugelegt, weil die Menschen immer mehr auf Online Shopping setzen.
Gefälschte Online-Zahlformulare erleichtern Kriminellen das Abgreifen der Finanzinformationen ihrer Opfer und könnten zu einer neuen Norm für Phishing-Websites werden, auch nach der Pandemie. Der Diebstahl von E-Mail- und Passwortdaten ist für Phishing-Autoren üblich, aber diese Vorgehensweise könnte sich als erfolglos erweisen, zumal viele beliebte Online-Marken mittlerweile Zweifaktor- und Multifaktor-Authentifizierung unterstützen oder gar Authentifizierungsprogramme von Drittanbietern einsetzen, um nicht erwünschte Kontoanmeldungen auf ihren Websites zu vermeiden. Für die Kriminellen ist es daher einfacher, Kredit- und Debitkarteninformationen zu stehlen.
Best Practices gegen Phishing-Betrug
Mithilfe der folgenden Best Practices können Nutzer sich vor Phishing-Bedrohungen schützen:
- Inspizieren des Namens der Website: Normalerweise enthalten Betrugs- und Phishing Domains eine Aneinanderreihung beliebiger Wörter, die nichts mit dem angebotenen Service zu haben.
- Inspizieren der Inhalte der Website: Klickt ein Nutzer auf eine unbekannte Website, sollte er den Markennamen oder den Namen des Services prüfen. Phishing Websites sind trickreich, denn sie kopieren oft Inhalte von bekannten Marken. Daher hilft es, externe Links zu prüfen, etwa die Geschäftsbedingungen-, Hilfe- oder Datenschutzseiten.
- Gegencheck aller Informationen. Beim Erhalt einer E-Mail, die angibt, der Empfänger sei der Adressat einer Lieferung, sollte die Legitimität der Mail geprüft werden, indem manuell auf der offiziellen Website des Paketdienstes das eigene Konto gesucht wird.
Trend Micro-Lösungen
Trend Micro™ Cloud App Security kann die Sicherheit von Microsoft 365- sowie weiteren Cloud-Services verbessern, weil die Lösung Sandbox-Analysen durchführt, um Ransomware, Business Email Compromise (BEC) und andere fortgeschrittene Bedrohungen zu erkennen. Auch schützt sie Dateifreigaben.
Deep Discovery™ Email Inspector kann Anwender vor Phishing- und Ransomware-Angriffen schützen, mithilfe von Scanning in Echtzeit und fortschrittlichen Analysetechniken für bekannte und neue Angriffe.