Das Jahresendgeschäft für den Handel steht in den Startlöchern und spätestens zum berühmten Black Friday (25.11.2016) klingelt es mächtig in den Kassen der lokalen Einzelhändler und Online-Shops *Ka-Ching* Online-Betrüger bereiten sich ebenfalls auf das Weihnachts-Geschäft vor und intensivieren die Betrugs- und Malware-Maschen in diesem Bereich schon jetzt!
Die allermeisten Angriffe basieren auf Social Engineering und machen sich die Unwissenheit und Neugier von Online-Käufern zunutze. Mit den passenden Vorbereitungsmaßnahmen und dem Wissen über mögliche Angriff-Szenarien sind die auf der sicheren Seite und können weiterhin unbeschwert vom Sofa oder Schreibtisch aus einkaufen. Die Experten von G DATA stellen nachfolgend acht aktuelle Angriffe vor, die Ihre Alarmglocken schrillen lassen sollten.
Wir haben vier aktuelle Beispiele ausgesucht, die die guten Namen drei verschiedener Marken missbrauchen und für ihre Zwecke nutzen. Selbstverständlich stehen die renommierten Firmen in keinerlei Zusammenhang mit den hier aufgeführten Betrügereien! Wenn Sie sich ganz allgemein darüber informieren möchten, wie sie Phishing-Angriffe erkennen können, besuchen Sie den G DATA Ratgeber für mehr Informationen zum Thema. Viele der dort erklärten Hinweise können Sie in den unten genannten Beispielen wiederentdecken und so den Betrugsversuch entlarven!
Alle von uns aktuell untersuchten Fälle stehen im weitesten Sinne im Zusammenhang mit Shopping. Und wir beobachten dabei, dass momentan die ausgelieferte Malware vorwiegend Ransomware ist.
Die Infektion:
In Wahrheit wird jedoch eine URL zu einem ZIP-Archiv aufgerufen, hinterlegt auf derselben Domain, die auch als Mail-Absender angezeigt wird.
Innerhalb des ZIP-Archivs liegt eine Datei namens DOC-INV374U.wsf, ein bösartiges JScript. Führt es der Benutzer aus, weil er fälschlicherweise denkt er öffnet die zugesendete Quittung, geht es los: Das stark verschleierte Skript ruft zunächst eine URL auf, von der es die Datei InvReader.exe herunterlädt und ausführt. Diese ausführbare Datei ist der finale Schadcode und in unserem Fall handelt es sich um Cerber-Ransomware.
Die Infektion:
Die angehängte .zip-Datei enthält ebenfalls eine .wsf-Datei, wie im vorherigen Beispiel.
Nach der Ausführung des Skripts, wird eine Vielzahl von URLs aufgerufen, von der weiterer Schadcode auf den Opfer-Rechner nachgeladen werden soll. Zum Zeitpunkt der Analyse war keine der URLs mehr erreichbar und somit bestand keine Möglichkeit zur Analyse der Payload. Es liegt jedoch die Vermutung nahe, dass auch in diesem Fall letztendlich Ransomware an den PC ausgespielt worden wäre, da dies die aktuell gängige Masche der Angreifer ist.
Die Infektion:
Das vermeintliche Versandetikett tarnt sich im Inneren der Archivdatei als .doc Datei – zumindest für die Benutzer, die die Dateiendungen nicht anzeigen lassen: FedEx_ID_00248299.doc.wsf heißt die eingepackte Datei. Ohne die Anzeige der Dateiendungen wir daraus FedEx_ID_00248299.doc in der Anzeige.
Das bösartige Skript hat die Aufgabe, weiteren Code auf den PC herunterzuladen und ihn dort auszuführen. Zum Zeitpunkt der Untersuchung war der nachzuladende Schadcode nicht mehr verfügbar. So bleibt uns jedoch auch in diesem Fall der begründete Verdacht, dass die Angreifer Ransomware-Angriffe fahren wollten.
Neben Phishing- und Malware-Attacken beobachten wir ganz aktuell auch weitere betrügerische Vorgehensweisen, gegen die Benutzer besonders in der umsatzreichen Vorweihnachtszeit gewappnet sein sollten:
Angebliche 5-Sterne-Rezensionen von Mitgliedern der Community prangen auf der Webseite und berichten von Gewinnen von „170.000€ in [den] ersten vier Monaten“ und auch „25.000€ pro Monat in den letzten drei Monaten“. Bilder von möglichen Gütesiegeln und Pop-Ups mit Infos über angeblich gerade getätigte Einzahlungen von anderen Mitgliedern sollen die Seriosität noch erhöhen. Die Eingabe der Daten resultiert möglicherweise im Verlust des überwiesenen Betrags und ziemlich sicher in weiteren Spam-Mails.
Die Betrüger spielen mit der angeblichen Aussicht auf das schnelle Geld, das jeder zur Weihnachtszeit sicher haben wollen würde, und versuchen so an persönliche Daten, Finanzdaten und natürlich auch an Geld zu gelangen.
Die hinterlegte Webseite preist plötzlich, statt Geldinformationen zu liefern, eine Software zum Download an. Angeblich ist das Angebot auf nur noch zehn Stück begrenzt. Die geheime Broker Software soll dabei helfen, schnell und unkompliziert Geld zu verdienen. In Wahrheit gibt es jedoch gar keine Software. Abgefragt werden Name und E-Mail Adresse des Besuchers.
Über eine Werbung erhält der Benutzer dann eine weitere Chance, die angeblich benötigte Software zu bekommen. Doch dieses Mal, auf einer anderen Webseite, müssen deutlich mehr Angaben gemacht werden und zusätzlich auch eine Einzahlung per Kreditkarte getätigt werden, um die eigenen Brokergeschäfte anzukurbeln. Angebliche 5-Sterne-Rezensionen von Mitgliedern der Community prangen auf der Webseite und berichten von Gewinnen von „170.000€ in [den] ersten vier Monaten“ und auch „25.000€ pro Monat in den letzten drei Monaten“. Bilder von möglichen Gütesiegeln und Pop-Ups mit Infos über angeblich gerade getätigte Einzahlungen von anderen Mitgliedern sollen die Seriosität noch erhöhen. Die Eingabe der Daten resultiert möglicherweise im Verlust des überwiesenen Betrags und ziemlich sicher in weiteren Spam-Mails.
Die Betrüger spielen mit der angeblichen Aussicht auf das schnelle Geld, das jeder zur Weihnachtszeit sicher haben wollen würde, und versuchen so an persönliche Daten, Finanzdaten und natürlich auch an Geld zu gelangen.
Es ist aus der Sicht der Sicherheits-Experten nicht verwunderlich, dass Cyber-Angreifer die Weihnachtszeit verstärkt nutzen, um Shopping-Aktivitäten zu attackieren. Umso wichtiger ist die gute Vorbereitung der Einkäufer, das Know-How um die Gefahren und die richtigen Reaktionen im Falle eines Falles.