Cyber-Shopping Schnäppchen: Trojaner, Phishing und gefälschte Webseiten im Angebot

sectank_artikelbilder_05

Der amerikanische Brauch, die Thanksgiving-Feiertage zum (Online-) Einkaufen zu nutzen ist mittlerweile über den großen Teich nach Europa geschwappt. Sonderangebote zum Black Friday oder Cyber-Monday-Wochen, unter anderem bei den großen Elektronik-Ketten und Möbelhäusern, buhlen um die Aufmerksamkeit der Schnäppchenjäger auf allen Kanälen, egal ob TV, Radio oder im Internet und geben den Startschuss für die Weihnachtseinkäufe. Allerdings ruft der Auftakt in die Shopping-Saison auch Malware-Autoren auf den Plan, die ebenfalls mit ihren Internet-Angeboten aufwarten. Mit der Einkaufsflut erhöht sich somit auch das Gefahrenpotenzial.

Mit unterschiedlichsten Angriffsmethoden versuchen Hacker unvorsichtige Schnäppchenjäger auszubeuten. Das Anklicken Schadcode-verseuchter Links oder Öffnen infizierter Dateien führt nicht nur zum Verlust von Zugangsdaten, sondern kann im schlimmsten Fall auch finanziellen Schaden bedeuten. Denn auf gefälschten Webseiten, die allzu verlockende Schnäppchen versprechen, wird der Einkäufer schnell sein Geld los, ohne jemals Ware zu erhalten. Angesichts der Gefahrenlage weist das Zscaler-ThreatLabs-Team auf einige der gängigen Angriffsmethoden hin und gibt dem Online-Einkäufer eine Checkliste mit Vorsichtsmaßnahmen an die Hand.

Phishing-Angriffe auf dem Vormarsch

Das Gefahrenpotenzial unterscheidet sich heute bei mobilem Online-Shopping und Einkäufen vom PC aus. Wie die Grafik verdeutlicht steigt das Risiko von Phishing-Angriffen am PC. Grund dafür ist, dass die mobilen Geräte öfter für den Einkauf bei bevorzugten und bekanten Anbietern genutzt wird im Unterschied zum PC, der aufgrund des größeren Displays zum allgemeinen Surfen im Internet verleitet und dadurch auch zu unbekannten Anbietern und deren Webseiten führt.

Online-Shopping Transaktionen per PC steigen an, je näher Black Friday rückt und Phishing-Versuche nehmen parallel dazu zu.

Vorsicht walten lassen bei Domain-Namen

“Domain squatting”ist der Begriff, der für Domain-Namen verwendet wird, die legitimen Webseitennamen sehr ähnlich sehen. Solche Domains werden von Hackern mit Betrugsabsichten gewählt, um Tippfehler bei der Eingabe auszunutzen oder den Anschein vertrauenswürdiger Seiten zu erwecken. Gerade die neuen Top-Level Domains (TLD) von ICANN bieten Kriminellen unzählige Möglichkeiten, täuschend echte Seiten vorzugaukeln, die sich lediglich durch die Endung von den echten Seiten unterscheiden. In diesen Tagen hat die neue TLD-Domain „.blackfriday“ Hochkonjunktur. Diese Domain wurde speziell für Shopping-Angebote aufgenommen und wird von Unternehmen gerne zum Bewerben ihrer Schnäppchen gewählt.

Online-Shopper sollten hier besondere Vorsicht walten lassen, denn hinter den Namen wie „gooogle[.]blackfriday“ oder „guugle[.]blackfriday“ hat das Zscaler-Team kriminelle Aktivitäten aufgedeckt. Hinter der ersten dieser Domänen verbirgt sich Schadcode, der zu Phishing-Zwecken eingesetzt wird, sowie der Trojaner Fareit. Farait zählt zur Kategorie der Infostealer, und wird zum Abfischen von Passwörtern über Web-Browsern eingesetzt. Die zweite Domain diente als Command & Control-Server für Anwender, deren Geräte mit Loki infiziert sind. Loki ist ebenfalls ein Infostealer, der zum Abfangen von Passwörtern ebenso eingesetzt wird, wie zum Sammeln von Kryptowährungsinformationen.

Bitcoin-Schürfen hat Saison

Durch BitcoinMining haben sich Angreifer neue Einnahmequellen aufgetan. Dabei verlassen sie sich nicht mehr nur auf Werbung als Umsatzbringer, sondern setzen auf Scripts, die in die Browser der Anwender injiziert werden, um Bitcoins zu schürfen. Dieser Vorgang läuft ohne Wissen oder Zustimmung des Anwenders im Hintergrund auf den Rechnern ab und ist sehr CPU-Ressourcen-intensiv.

Gefälschte Web-Shops

Die Angebote auf gefälschten Web-Shops sind eigentlich zu verlockend, um wahr zu sein. Das folgende Beispiel eines gefälschten Ray-Ban Sales zeigt, worauf Schnäppchenjäger achten sollten, wenn Web-Shops mit zu guten Angeboten aufwarten. Täuschend echt im Aufbau präsentiert sich folgende Seite nach der Google-Suche nach Ray-Ban Sonnenbrillen auf der ersten Seite der Suchergebnisse.

Angebote, die zu gut sind, um wahr zu sein…

Die Darstellung ist gelungen und auch der Domain-Name lässt noch keine Betrugsabsicht erkennen. Bei genauerer Untersuchung der Angaben, die sich hinter der Domain verbergen, zeigt sich allerdings folgendes Bild:

  • Domain Name: rayban-outlet.us
  • Registrant Name: Jiang Yongxin
  • Registrant Street: Shanghai 1
  • Registrant City: Shanghai
  • Registrant State/Province: Shanghai
  • Registrant Country: CN
  • Registrant Email: jyt.832104@gmail.com

Eine Überprüfung der Email des Registrierenden über eine Threat Intelligence Organisation ergab, dass 18 weitere Webseiten mit der gleichen Email-Adresse angelegt wurden. Der sorglose Käufer wird also vergeblich auf den Erhalt seines vermeintlichen Schnäppchens warten, wenn er dort bestellt.

Checkliste: Worauf Online-Einkäufer achten sollten

Gerade beim Online-Einkauf sollten Anwender besondere Vorsicht walten lassen. Die folgende Checkliste an Vorsichtsmaßnahmen kann dabei helfen, unliebsame Überraschungen beim Einkaufen zu vermeiden.

1) Von welchem Absender kommen Emails mit Shopping-Angeboten? Das Anklicken von Dateianhängen von unbekanntem Absender sollte vermieden werden

2) Inoffizielle Stores für mobile Applikationen gilt es ebenso zu meiden, da dort oftmals Anwendungen mit Schadcode vertrieben wird

3) Für Transaktionen mit Online-Händlern und Bankseiten empfiehlt sich eine gesicherte HTTPS-Verbindung

4) Gerade bei zu verlockenden Angeboten sollte die Authentizität der URL oder Webseiten-Adresse überprüft werden

5) Per Email verschickte Rechnungen sind eine beliebte Social Engineering Technik, die von Cyberkriminellen zum Einschleusen von Trojanern, wie Win32 oder Emotet verwendet werden.

6) Ungesicherte, öffentliche WiFi-Anbindungen empfehlen sich nicht für das Online-Shopping, da sie zum Abgreifen vertraulicher Information durch Hacker benutzt werden

7) Zwei-Faktor Authentifizierung empfiehlt sich für alle Banktransaktionen

8) Alle Betriebssysteme und Web-Browser sollten hinsichtlich der Sicherheits-Patches immer auf dem aktuellsten Stand gehalten werden

9) Browser Add-ons, wie Adblock Plus oder No Coin blockieren Pop-Ups von potenziellen Malvertisements oder Bitcoin-Mining-Versuche

10) Für alle Fälle empfiehlt sich das regelmäßige Back-up aller Daten.