Pünktlich zum Black Friday nimmt die Zahl der Phishing- und Betrugs-Websites zu. Menschen, die auf der Suche nach einem Schnäppchen sind, laufen Gefahr, dass ihre Zahlungsdaten und persönlichen Informationen gestohlen werden.
Ein deutsches Sprichwort sagt: "Ein gutes Pferd springt nur so hoch, wie es muss". Das trifft heute sicherlich auf viele Phishing-Kampagnen zu. Viele der Versuche, die Nutzer zu eingeschüchtern oder anderweitig dazu zu bringen, persönliche Daten preiszugeben, halten selbst einer leichten Prüfung nicht stand. In anderen Fällen ist ein wenig Aufwand erforderlich, um diese Versuche zu entlarven.
Social Media Werbekampagnen
Wir haben eine aktuelle Kampagne entdeckt, die auf Social-Media-Plattformen wie Facebook aktiv ist. Die Kampagne zielt auf Deichmann, ein bekanntes deutsches Schuhhandelsunternehmen. Auf Facebook sind Anzeigen aufgetaucht, die auf eine nahezu 1:1-Kopie der Original-Website verweisen und offenbar darauf abzielen, Zahlungsdaten von Kunden zu stehlen, die auf dieser Website bestellen. Unter der Haube wird schnell klar, dass die Website nicht das ist, was sie vorgibt zu sein. Die Lokalisierung ist unvollständig und vermischt Spanisch mit Deutsch. Ein weiterer ziemlich offensichtlicher Fehler ist, dass es auf der Website immer noch Platzhaltertext gibt, den die Betrüger nie ersetzt haben. Abgesehen davon sieht der Text überzeugend genug aus, um einen ersten "Geruchstest" zu bestehen. Wir haben in diesem Fall den Domänennamen unkenntlich gemacht, da die Website zum Zeitpunkt der Erstellung dieses Artikels noch online ist.
Ein Blick in den WHOIS-Eintrag der Domain zeigt außerdem, dass die gefälschte Domain vor etwa einer Woche registriert wurde.
Um die Nutzer zu Bestellungen zu verleiten, wird in den Anzeigen behauptet, dass kommende Filialen geschlossen werden, und die Schuhe werden zu einem stark reduzierten Preis angeboten. Um den Druck zu erhöhen, werden auf der Website gefälschte Informationen eingeblendet, die suggerieren, dass auch andere Personen dieses vermeintliche Schnäppchen gefunden haben und kurz davor sind, den verbilligten Artikel zu ergattern. Diese Informationen werden natürlich nicht auf der ursprünglichen Website angezeigt.
Die angezeigten Anzeigen werden höchstwahrscheinlich von unwissenden Opfern bezahlt, deren Facebook-Konten gekapert und gestohlen wurden. Allein die Anzeigen können Hunderte von Euro kosten und lassen die Opfer ohne Geld und ohne Facebook-Konto zurück, wie wir in einem früheren Artikel beschrieben haben.
Hinweise unter der Oberfläche
Bei der Untersuchung des Quellcodes der Website wird schnell deutlich, dass einige der angezeigten Bilder von der Adresse eines Content Delivery Network heruntergeladen werden, das sich höchstwahrscheinlich in Asien befindet. Darüber hinaus haben die Betrüger offenbar einige Vorlagen für die Website verwendet, um ihre eigenen Inhalte einzufügen. Sie haben sich nicht die Mühe gemacht, einen Beispieltext zu löschen, der Teil der genannten Vorlage ist. Er ist auf der Webseite selbst nicht sichtbar, befindet sich aber im Quellcode. Dies zeigt, wie ausgeklügelt diese Websites sind - sie sind nur Kopien der Originale mit einem kleinen Extra. In diesem Fall ist das "Extra" ein Einkaufswagensystem, das chinesischen Ursprungs zu sein scheint.
Die Website ist ansonsten nicht sonderlich bemerkenswert und scheint keine Malware zu beherbergen oder zu verbreiten - was aber nicht heißen soll, dass es keine Websites gibt, die dies ebenfalls tun. Schließlich setzen viele Kriminelle meistens nicht alles auf eine Karte und versuchen, so viel Geld wie möglich aus ihren Opfern zu holen.
Das SSL-Zertifikat der gefälschten Website ist gültig. Dies bedeutet jedoch nicht viel. In diesem Fall bedeutet ein gültiges SSL-Zertifikat nur, dass die Website die Daten bei der Übertragung verschlüsselt. Dies ist heute so ziemlich die Norm, und einige Browser zeigen sogar eine Warnung an, wenn eine Website keine Verschlüsselung hat. Dies dürfte die meisten Menschen abschrecken, da mindestens drei Klicks erforderlich sind, um die Website aufzurufen. Es gibt verschiedene Arten von SSL-Zertifikaten. Das einfachste kann von jedermann für sehr wenig Geld erworben werden. Alles, was jemand braucht, um dieses einfachste SSL-Zertifikat zu erhalten, ist die Angabe einer gültigen E-Mail-Adresse oder zumindest einer Verwaltungsadresse aus der WHOIS-Datenbank. Diese Art von Zertifikat reicht in der Regel für Dinge wie Diskussionsforen oder nicht-kommerzielle Websites aus. Es stellte sich heraus, dass in der WHOIS-Datenbank tatsächlich eine Postanschrift vorhanden ist. Diese Adresse verweist jedoch auf ein Gewerbegebiet im US-Bundesstaat Arizona, in der Nähe von Phoenix. An oder in der Nähe dieser Adresse befinden sich ein Restaurant, ein Best Buy, ein Petsmart, ein Friseursalon und ein Fitnessstudio. Aber nichts, was auch nur im Entferntesten mit Schuheinzelhandel zu tun hat, geschweige denn mit Deichmann.
Webshops haben in der Regel ein erweitertes Zertifikat, für das einige offizielle Dokumente (wie etwa ein Handelsregister-Auszug) erforderlich sind. Dieser angebliche Webshop hat das nicht.
Lockvögel
In einer Zeit, in der die Preise steigen und die Menschen versuchen, Geld zu sparen, wo sie können, fällt dieser Ansatz auf fruchtbaren Boden. Und da Deichmann ein vertrauenswürdiger Name ist, ist es unwahrscheinlich, dass die Leute die Angebote genau prüfen. Der Schuheinzelhändler ist jedoch nicht das einzige Ziel solcher betrügerischen Kampagnen. Auch andere bekannte Marken locken Nachahmer an, die von ihrem Ruf und ihrer Bekanntheit profitieren wollen. Dies gilt nicht nur für Schuhe, sondern im Grunde für jede Marke, die in der Regel hochpreisig ist und die sich viele Menschen nicht leisten können. Das macht diese Fake-Shops noch attraktiver.
Hochpreisige Modemarken, Make-up, Unterhaltungselektronik - was auch immer es ist, es gibt wahrscheinlich einen Fake-Shop dafür, der darauf wartet, dass die Kunden ihre persönlichen Daten und Zahlungsinformationen eingeben.
Vor diesem Hintergrund müssen Nutzer immer dann auf der Hut sein, wenn ein Angebot buchstäblich "zu schön ist, um wahr zu sein". Wenn Sie bei einem dieser gefälschten Shops eine Bestellung aufgeben, übermitteln Sie Ihre persönlichen Daten sowie alle Zahlungsinformationen direkt an Kriminelle, die Ihre Daten missbrauchen oder zu Geld machen wollen. Dies kann zu Identitätsdiebstahl sowie zu erheblichen finanziellen Verlusten führen. Daher ist es ratsam, besonders vorsichtig zu sein, wenn Sie in Ihren sozialen Medien Anzeigen sehen, die hohe Rabatte auf (insbesondere Luxus-)Artikel versprechen.
Tim Berghoff
Security Evangelist
Banu Ramakrishnan
Malware Analyst
