Geschenke zum Fest der Liebe online kaufen?! Mit Sicherheit!

24.11.2016

G DATA Blog

Das Jahresendgeschäft für den Handel steht in den Startlöchern und spätestens zum berühmten Black Friday (25.11.2016) klingelt es mächtig in den Kassen der lokalen Einzelhändler und Online-Shops *Ka-Ching* Online-Betrüger bereiten sich ebenfalls auf das Weihnachts-Geschäft vor und intensivieren die Betrugs- und Malware-Maschen in diesem Bereich schon jetzt!

Die allermeisten Angriffe basieren auf Social Engineering und machen sich die Unwissenheit und Neugier von Online-Käufern zunutze. Mit den passenden Vorbereitungsmaßnahmen und dem Wissen über mögliche Angriff-Szenarien sind die auf der sicheren Seite und können weiterhin unbeschwert vom Sofa oder Schreibtisch aus einkaufen. Die Experten von G DATA stellen nachfolgend acht aktuelle Angriffe vor, die Ihre Alarmglocken schrillen lassen sollten.

Aktuelle Phishing-Angriffe

Wir haben vier aktuelle Beispiele ausgesucht, die die guten Namen drei verschiedener Marken missbrauchen und für ihre Zwecke nutzen. Selbstverständlich stehen die renommierten Firmen in keinerlei Zusammenhang mit den hier aufgeführten Betrügereien! Wenn Sie sich ganz allgemein darüber informieren möchten, wie sie Phishing-Angriffe erkennen können, besuchen Sie den G DATA Ratgeber für mehr Informationen zum Thema. Viele der dort erklärten Hinweise können Sie in den unten genannten Beispielen wiederentdecken und so den Betrugsversuch entlarven!

PayPal-Phishing

Screenshot einer Phishing-Mail im PayPal Look

Betreff: "Kontoeinschränkung - Bitte bestätigen Sie Ihre Angaben"

Die Betrüger machen es sich recht einfach und haben in die E-Mail ein komplettes Bild im Design des populären Bezahldienstleisters eingefügt. Ein Klick auf das Bild leitet den Nutzer auf eine URL, die durch den Google URL-Kürzungsdienst verschleiert wurde. Die hinterlegte Webseite wurde als Phishing-Seite eingestuft und ist inzwischen auch nicht mehr aktiv.

Betrüger könnten mit den Zugangsdaten zu einem PayPal-Konto zum Beispiel unerlaubt Einkäufe tätigen und dem eigentlichen Besitzer so erheblichen finanziellen Schaden zufügen.

Postbank-Phishing

Screenshot einer Phishing E-Mail im Design der Postbank - Zum Vergrößern klicken

Betreff 1: "Ihre Postbank - Wichtiges Sicherheitsupdate" und Betreff 2: "Kundenmitteilung - Bestätigen Sie Ihre Daten"

Zwei der untersuchten E-Mails haben es auf Kunden des renommierten deutschen Bankenhauses abgesehen. Die E-Mail Templates ähneln sich stark und in beiden Fällen werden die Opfer beim Klick auf die aktive Schaltfläche zu Webseiten mit russischen Top-Level Domains geleitet, die selbstverständlich nicht von der Postbank betrieben werden. Beide Webseiten wurden als Phishing-Versuche deklariert.
Die erbeuteten Zugangsdaten sind ein gern gehandeltes Gut in Untergrundforen. Je mehr Daten zu einem Account bekannt sind, desto wertvoller ist er für die Kriminellen.

UBS-Phishing

Screenshot einer Phishing E-Mail im Design der UBS Bank - Zum Vergrößern klicken

Betreff: "Ihr neues SecureCode."

Unter den deutschsprachigen Lock-Mails befand sich auch eine Variante, die es auf die Kunden des eidgenössischen Unternehmens abgesehen hat. Optisch erinnert die E-Mail nicht einmal entfernt an eine seriöse Zusendung eines Unternehmens. Unter dem Vorwand, der Kunde habe neue Zugangsdaten erhalten, wird er auf eine Webseite gelockt, die scheinbar zur UBS gehört. Hinter dem blau hinterlegten Hyperlink verbirgt sich jedoch der Zugang zu einer Webseite mit der Top-Level-Domain .net, die inzwischen ebenfalls inaktiv ist, ihren Zweck aber deutlich verrät: hxxp://ubs.ch.password.check.[gelöscht].net

Tipps gegen Phishing-Attacken

Seien Sie in jedem Fall misstrauisch, wenn jemand von Ihnen persönliche Daten oder Bankdaten haben möchte. Überlegen Sie ganz genau, ob Sie diese an dieser Stelle herausgeben möchten und sollten.
Die Verarbeitung der URLs durch den Computer erfolgt entgegen der Leserichtung. Wenn Sie URLs überprüfen, fangen sie ebenfalls rechts an. Viele Browser markieren die eigentliche Zieladresse grün.
Lesen Sie in unserem G DATA Ratgeber im Detail, wie Sie Phishing-Mails erkennen.

Malware-Angriffe im Umlauf

Alle von uns aktuell untersuchten Fälle stehen im weitesten Sinne im Zusammenhang mit Shopping. Und wir beobachten dabei, dass momentan die ausgelieferte Malware vorwiegend Ransomware ist.

Falsche Kreditkartenabrechnung

Betreff: "Alert - Ihre Kreditkarte wurde Belastet"

Die E-Mail kommt ohne graphische Elemente und sehr schlicht daher. Auch die eingefügten Leerzeichen nach jedem Umlaut und Eszett sind unter anderem ein Indiz dafür, dass sich eine genauere Untersuchung lohnt. Hinter den Hyperlinks soll sich angeblich eine Quittung, ein Belegexemplar oder auch eine Rechnung befinden.

Die Infektion:

In Wahrheit wird jedoch eine URL zu einem ZIP-Archiv aufgerufen, hinterlegt auf derselben Domain, die auch als Mail-Absender angezeigt wird.

.zip SHA256: 8151a9ec9dcfe8dcc54440f9d1616e33fac42d595981ac6d4cf87b3dc93fe3aa
G DATA Erkennung: Trojan.JS.Agent.OKM

Innerhalb des ZIP-Archivs liegt eine Datei namens DOC-INV374U.wsf, ein bösartiges JScript. Führt es der Benutzer aus, weil er fälschlicherweise denkt er öffnet die zugesendete Quittung, geht es los: Das stark verschleierte Skript ruft zunächst eine URL auf, von der es die Datei InvReader.exe herunterlädt und ausführt. Diese ausführbare Datei ist der finale Schadcode und in unserem Fall handelt es sich um Cerber-Ransomware.

.exe SHA256: 894111a30616f771b3bc60461c68ce5bc7cb31bac8f477991b563251b224ab66
G DATA Erkennung: Trojan.GenericKD.3707786 und Win32.Trojan-Ransom.Cerber.10NH4Z

Probleme mit der Sendungszustellung

Betreff: "Shipment delivery problem #0000347003"

Diese E-Mail hat keinen HTML-Code, was ihr Erscheinungsbild sehr schlicht macht. So gibt es keine versteckten Links oder gar Nachahmungen der bekannten Firma FedEx, die hier als Lockvogel missbraucht wird. Die E-Mail liefert den Schadcode gleich in einem ZIP-Archiv als Anhang mit.

Die Infektion:

Die angehängte .zip-Datei enthält ebenfalls eine .wsf-Datei, wie im vorherigen Beispiel.

.wsf SHA256: 9316232d882a6a834fac962c68ca34408969753b792fb9aea07721c6816fce1e
G DATA Erkennung: JS:Trojan.JS.Agent.OKL

Nach der Ausführung des Skripts, wird eine Vielzahl von URLs aufgerufen, von der weiterer Schadcode auf den Opfer-Rechner nachgeladen werden soll. Zum Zeitpunkt der Analyse war keine der URLs mehr erreichbar und somit bestand keine Möglichkeit zur Analyse der Payload. Es liegt jedoch die Vermutung nahe, dass auch in diesem Fall letztendlich Ransomware an den PC ausgespielt worden wäre, da dies die aktuell gängige Masche der Angreifer ist.

Paket konnte nicht zugestellt werden

Betreff: "Unable to deliver your item, #00248299 [1 Attachment]"

Auch in dieser E-Mail dreht sich alles um bestellte Waren, bei deren Zustellung es Probleme gegeben haben soll. Erneut wurde die Firma FedEx als populäre Firma zum Lockvogel der Betrüger auserkoren und auch in diesem Fall wird der Schadcode als Anhang mitgeliefert.

Die Infektion:

Das vermeintliche Versandetikett tarnt sich im Inneren der Archivdatei als .doc Datei – zumindest für die Benutzer, die die Dateiendungen nicht anzeigen lassen: FedEx_ID_00248299.doc.wsf heißt die eingepackte Datei. Ohne die Anzeige der Dateiendungen wir daraus FedEx_ID_00248299.doc in der Anzeige.

.wsf SHA256: 427672324bce57051ffbd9dfcde7bf3797ea3d7f767833d98b8529580ca17031
G DATA Erkennung: JS:Trojan.JS.Agent.OKL

Das bösartige Skript hat die Aufgabe, weiteren Code auf den PC herunterzuladen und ihn dort auszuführen. Zum Zeitpunkt der Untersuchung war der nachzuladende Schadcode nicht mehr verfügbar. So bleibt uns jedoch auch in diesem Fall der begründete Verdacht, dass die Angreifer Ransomware-Angriffe fahren wollten.

Tipps gegen Malware-Attacken aus E-Mails

Überlegen Sie zunächst immer: Kann es sein, dass dieser Anbieter mit eine Mail sendet? Erwarten Sie überhaupt ein Paket mit dem jeweiligen Paketdienst? Haben Sie in dem angegebenen Shop etwas bestellt, weswegen Sie eine Rechnung/Mahnung erwarten könnten? Kontaktieren Sie den Service im Zweifel per Telefon und fragen, ob sie Ihnen tatsächlich eine E-Mail gesendet haben.
Widerstehen Sie der Neugier, öffnen Sie keine E-Mail Anhänge unbekannter Absender. Auch bei vermeintlich bekannten Absendern sollten Sie auf der Hut sein und Dateien durch einen Virenscanner überprüfen.
Öffnen Sie keine Hyperlinks aus einer E-Mail. Loggen Sie sich von Hand oder per Favorit auf der Seite ein. Möglicherweise lösen sich so viele Probleme von selbst.

Weitere moderne Betrugsmaschen

Neben Phishing- und Malware-Attacken beobachten wir ganz aktuell auch weitere betrügerische Vorgehensweisen, gegen die Benutzer besonders in der umsatzreichen Vorweihnachtszeit gewappnet sein sollten:

Pharming: Eine plötzlich aufgeladene Bankkarte?!

Betreff: "DEINE Bankkarte 51 ** 1295 wurde aufgeladen"

Die E-Mail suggeriert, der Empfänger habe Guthaben auf einer Bankkarte erhalten, auch wenn der Betrag nicht explizit genannt wird. Das schürt natürlich die Neugier. Das erste Ziel der Betrüger ist es, den Mail-Empfänger durch einen Klick auf die Links auf eine Webseite zu locken.

Die hinterlegte Webseite preist plötzlich, statt Geldinformationen zu liefern, eine Software zum Download an. Angeblich ist das Angebot auf nur noch zehn Stück begrenzt. Die geheime Broker Software soll dabei helfen, schnell und unkompliziert Geld zu verdienen. In Wahrheit gibt es jedoch gar keine Software. Abgefragt werden Name und E-Mail Adresse des Besuchers.

Angebliche 5-Sterne-Rezensionen von Mitgliedern der Community prangen auf der Webseite und berichten von Gewinnen von „170.000€ in [den] ersten vier Monaten“ und auch „25.000€ pro Monat in den letzten drei Monaten“. Bilder von möglichen Gütesiegeln und Pop-Ups mit Infos über angeblich gerade getätigte Einzahlungen von anderen Mitgliedern sollen die Seriosität noch erhöhen. Die Eingabe der Daten resultiert möglicherweise im Verlust des überwiesenen Betrags und ziemlich sicher in weiteren Spam-Mails.

Die Betrüger spielen mit der angeblichen Aussicht auf das schnelle Geld, das jeder zur Weihnachtszeit sicher haben wollen würde, und versuchen so an persönliche Daten, Finanzdaten und natürlich auch an Geld zu gelangen.

Über eine Werbung erhält der Benutzer dann eine weitere Chance, die angeblich benötigte Software zu bekommen. Doch dieses Mal, auf einer anderen Webseite, müssen deutlich mehr Angaben gemacht werden und zusätzlich auch eine Einzahlung per Kreditkarte getätigt werden, um die eigenen Brokergeschäfte anzukurbeln. Angebliche 5-Sterne-Rezensionen von Mitgliedern der Community prangen auf der Webseite und berichten von Gewinnen von „170.000€ in [den] ersten vier Monaten“ und auch „25.000€ pro Monat in den letzten drei Monaten“. Bilder von möglichen Gütesiegeln und Pop-Ups mit Infos über angeblich gerade getätigte Einzahlungen von anderen Mitgliedern sollen die Seriosität noch erhöhen. Die Eingabe der Daten resultiert möglicherweise im Verlust des überwiesenen Betrags und ziemlich sicher in weiteren Spam-Mails.

Tipps gegen falsche Geldregen-Versprechen

Bei Angeboten, die das große Geld versprechen, ist immer ein gesundes Misstrauen angesagt. Niemand hat etwas zu verschenken und wenn es das Geheimrezept für Geldregen gäbe, dann würde es sicher nicht über unseriöse Spam E-Mails an Millionen von Nutzern verbreitet werden.
Seien Sie immer vorsichtig bei Software-Angeboten unbekannter Hersteller! Laden Sie sich Software immer nur von den Seiten der Hersteller und nicht von Drittanbietern.

Falsche Online-Verkäufer, bzw. manipulierte echte Shops

Einige Betrüger registrieren sich in etablierten Plattformen wie beispielsweise Amazon Marketplace oder bei ebay und anderen Shopping-Portalen als private und auch gewerbliche Verkäufer. Sie bewerben Produkte zu extrem niedrigen Preisen, damit potentielle Käufer aufmerksam werden, denn wer spart nicht gerne beim Einkauf?

Wenn es dann um die Abwicklung und vor allem an die Bezahlung geht, sollen die Kunden dies jedoch nicht etwa regulär über die Shopping-Plattform realisieren. Die Betrüger wünschen Kommunikation mit privaten E-Mail Accounts und auch Zahlungen unabhängig vom System, oft an ausländische Konten. Dann schnappt die Falle zu: Kunden, die sich auf Kommunikation, Absprachen und vor allem Zahlungen außerhalb des Systems einlassen, verlieren jeglichen Käuferschutz und verlieren in aller Regel ihr Geld, ohne die gewünschte Ware dafür zu erhalten. Viele Betrüger geben sich sogar extra viel Mühe und verpassen ihren Profilen gefälschte positive Rezensionen, um einen vertrauensvollen Umgang zu suggerieren. Außerdem werden die Angebots-Mails der Betrüger denen der Originalplattform täuschend echt nachempfunden.

Besonders perfide ist es, wenn tatsächlich echte Konten/Shops mit tatsächlich positiven Bewertungen, Stammkunden und guter Reputation plötzlich in die Betrügereien mit hereingezogen werden. So ist es schon passiert, dass Konten von Verkäufern gehackt wurden, von den Betrügern dann fiktive Produkte zu niedrigen Preisen ins Angebot gespielt wurden und auch hier Zahlungen an ausländische Bankkonten gefordert wurden – alles ohne Wissen der eigentlichen Besitzer.

Tipps zum Erkennen von falschen Online-Shops

Achten Sie bei den Shops auf Bewertungen und Form der Angebote.

Wie viele Bewertungen sind in welchem Zeitraum geschrieben worden? Sind negative Bewertungen dabei und was wurde bemängelt?
Ist der Shop-Auftritt sprachlich außergewöhnlich und enthält viele Fehler?
Welche Produkte wurden zu welchem Preis gehandelt? Gibt es da in der jüngeren Vergangenheit einen thematischen Bruch?

Überprüfen Sie das Impressum und die AGB des Shops. Wenn Sie Zweifel hegen, versuchen Sie den Betreiber vor dem Kauf zu kontaktieren oder holen Sie zunächst weitere Informationen an anderen Stellen ein.
Überlegen Sie, wie realistisch die zu-schön-um-wahr-zu-sein-Preise einiger Anbieter sein können. Handelt es sich um tatsächlich vorhandene Ware oder nur um Lockmittel? Sind es vielleicht Hehler-Waren? Bleiben sie misstrauisch.
Brechen Sie Käufe ab, bei denen die Verkäufer außerhalb der eigentlichen Plattform Geschäfte machen wollen! Nebenabreden per E-Mail und Zahlungen abseits des Services, vor allem auf ausländische Konten, sollte der Käufer ablehnen. Lassen Sie sich nicht davon täuschen, dass angebliche Probleme mit z.B. Kreditkartenzahlungen über die Plattform an den Verkäufer bestehen und sie deshalb eine direkte Überweisung tätigen sollen.
Sichern Sie Beweise zu dem Betrug (E-Mail Konversationen, Screenshots der Angebote, etc.) und erstatten Sie Anzeige bei der Polizei, wenn Sie Opfer eines solchen Betruges geworden sind. Informieren Sie selbstverständlich auch das betroffene Portal.

Fazit

Es ist aus der Sicht der Sicherheits-Experten nicht verwunderlich, dass Cyber-Angreifer die Weihnachtszeit verstärkt nutzen, um Shopping-Aktivitäten zu attackieren. Umso wichtiger ist die gute Vorbereitung der Einkäufer, das Know-How um die Gefahren und die richtigen Reaktionen im Falle eines Falles.