Amazon Prime Day: Wie Kriminelle sich den Ansturm zunutze machen

phishing-g0dfb7c114_1280

Check Point warnt anlässlich des Amazon Prime Days vor gehäuften Phishing Attacken.

In diesem Jahr verzeichnete Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), schon während der ersten Tage im Juli einen Anstieg der täglichen Amazon-Phishing-Attacken um 37 Prozent im Vergleich zum Tagesdurchschnitt im Juni. Letztes Jahr im Monat des Amazon Prime Days (Juni 2021) konnte CPR einen Anstieg um 86 Prozent der Phishing-E-Mails im Zusammenhang mit diesem Anlass beobachten, und einen 16-prozentigen Anstieg der Phishing-URLs im Vergleich zum Vormonat. Im Juni 2022 gab es fast 1900 neue Domains im Zusammenhang mit dem Begriff „Amazon“, von denen 9,5 Prozent als riskant befunden wurden, also entweder bösartig oder verdächtig waren.

Das jährliche Shopping-Spektakel von Amazon, das am 12. Juli beginnt, verspricht wie immer größer und besser zu werden, mit mehr Sparmöglichkeiten und Angeboten. Online-Käufer sind bereits auf der Jagd nach einmaligen Angeboten oder einmaligen Deals und beobachten das Internet genau auf bevorstehende Überraschungen. Cyberkriminelle haben diesen Trend erkannt und bereiten sich auf ihre eigenen Überraschungen vor, um die Begeisterung der Kunden auszunutzen. Natürlich kommt Phishing im Zusammenhang mit Amazon das ganze Jahr über vor, und das Unternehmen gehört oft zu den am häufigsten nachgeahmten Marken, doch um den Prime Day herum nehmen die Aktivitäten immer zu. CPR überwacht die Cyber-Bedrohungen im Zusammenhang mit dem Prime Day sowohl in den Wochen davor als auch während der Veranstaltung selbst genau und hat bereits alarmierende Anzeichen für bösartige Phishing-Kampagnen und gefälschte Websites gefunden.

Phishing durch E-Mails und gefälschte URLs

Phishing-URLs sind Webseiten, die sich als legitime Amazon-Seiten ausgeben. Sie sehen genauso aus wie die echte Seite und fordern die Benutzer auf, Informationen, in der Regel Anmeldedaten, anzugeben. In den Wochen vor dem Prime Day 2021 entdeckte CPR 2303 neue Amazon-Domains, von denen die meisten (78 Prozent) als riskant eingestuft wurden. Dieser Rückgang könnte zum Teil dadurch erklärt werden, dass Cyberkriminelle nicht immer den vollständigen Begriff „Amazon” in der zu Phishing-Zwecken registrierten Domain enthalten, um eine Entdeckung zu vermeiden. Außerdem könnten die Cyberkriminellen diese Domains für eine spätere Verwendung nutzen und wollen nicht, dass sie Inhalte enthalten, die als bösartig angesehen werden könnten.

E-Mails sind aber immer noch das häufigste Medium, das Phisher nutzen, um Malware zu verbreiten oder private Informationen zu stehlen.

Beispiel 1:

In einer E-Mail wird der Kunde angeblich über eine stornierte Bestellung aufgrund von Zahlungsproblemen informiert. Sie enthielt jedoch einen ISO-Dateianhang, der beim Öffnen eine ausführbare Dropper-Malware auf dem Computer des Empfängers hinterlassen hätte.

Von: “Amazon Customer Support” <mail@amazonsupportlink.com>

Betreff: Unbezahlte Bestellung storniert INV #XXXXXXXXX

Beispiel 2:

In einer anderen E-Mail, die sich an Kunden von Amazon Japan richtet, wird der Empfänger aufgefordert, auf einen Link zu klicken, um eine Zahlungsmethode zu genehmigen. Dieser Link führt das Opfer tatsächlich zu einer gefälschten Anmeldeseite (michaelcarunchiodmd[.]com/jp), die die echte Website imitiert. Die Seite ist derzeit inaktiv.

Von: Amazon (xg@jkhhwbfa.com)

Betreff: Amazon.co.jp: Ihre Zahlungsmethode ist nicht zugelassen # XXX-XXXXXXX-XXXXXXX

Wie Sie Phishing-E-Mails erkennen können

Phisher verwenden eine Vielzahl von Techniken, um ihre bösartigen E-Mails legitim aussehen zu lassen. Wenn Sie diese Techniken kennen, können Sie einen Phishing-Angriff erkennen und vermeiden. Dies sind einige der am häufigsten verwendeten Techniken:

  • Gefälschte Domains: Eine der häufigsten Techniken, die in Phishing-E-Mails verwendet werden, sind gefälschte Domains, die auf den ersten Blick wie eine legitime oder vertrauenswürdige Domain aussehen. Zum Beispiel kann eine Phishing-E-Mail statt der E-Mail-Adresse boss@company.com die Adresse boss@cornpany.com oder boss@compаny.com In der ersten E-Mail wird „rn“ durch m ersetzt, in der zweiten das kyrillische „а“ anstelle des lateinischen „a“. Diese E-Mails sehen zwar aus wie echte, gehören aber zu einer völlig anderen Domain, die möglicherweise vom Angreifer kontrolliert wird. Phisher können bei ihren Angriffen auch gefälschte, aber plausible Domains verwenden. Eine E-Mail, die vorgibt, von Netflix zu stammen, kann zum Beispiel von help@netflix-support.com stammen. Obwohl diese E-Mail-Adresse legitim erscheint, gehört sie nicht unbedingt zu Netflix oder ist mit Netflix verbunden.
  • Falsche Grammatik oder falscher Tonfall: Phishing-E-Mails werden häufig nicht von Personen verfasst, die die jeweilige Sprache fließend beherrschen. Das bedeutet, dass diese E-Mails grammatikalische Fehler enthalten können oder anderweitig falsch klingen. Echte E-Mails von einem seriösen Unternehmen dürften diese Fehler nicht enthalten, so dass sie ein Warnzeichen für einen möglichen Phishing-Angriff sein sollten.Eine weitere Sache, auf die Sie achten sollten, sind E-Mails mit einem falschen Tonfall oder einer falschen Stimme. Unternehmen, Kollegen usw. sprechen und schreiben auf eine bestimmte Art und Weise. Wenn eine E-Mail zu förmlich oder zu informell, gestelzt oder auf andere Weise seltsam für den Absender klingt, könnte es sich um eine Phishing-E-Mail handeln.
  • Ungewöhnliche Anhänge: Ein häufiges Ziel von Phishing-E-Mails ist es, den Empfänger dazu zu verleiten, die angehängte Malware herunterzuladen und auf seinem Computer auszuführen. Damit dies funktioniert, muss die E-Mail eine Datei enthalten, die in der Lage ist, ausführbaren Code auszuführen. Phishing-E-Mails können daher ungewöhnliche oder verdächtige Anhänge enthalten. Eine vermeintliche Rechnung kann zum Beispiel eine ZIP-Datei sein, oder ein angehängtes Microsoft Office-Dokument erfordert die Aktivierung von Makros, um den Inhalt anzuzeigen. Wenn dies der Fall ist, ist es wahrscheinlich, dass die E-Mail und ihre Anhänge bösartig sind.

Psychologische Tricks

Phishing-E-Mails zielen darauf ab, den Empfänger zu etwas zu bewegen, das nicht in seinem Interesse liegt. Dabei handelt es sich zum Beispiel um die Weitergabe vertraulicher Informationen oder Installation von Malware. Um dies zu erreichen, verwenden Phisher in ihren Kampagnen häufig psychologische Tricks, wie beispielsweise das Gefühl der Dringlichkeit. In Phishing-E-Mails wird den Empfängern häufig suggeriert, dass etwas sofort erledigt werden muss. Das liegt daran, dass jemand, der es eilig hat, seltener darüber nachdenkt, ob die E-Mail verdächtig aussieht oder legitim ist. Um mehr Druck zu erzeugen, werden außerdem gerne Autoritäten missbraucht. BEC-Betrügereien (Business E-Mail Compromise) und andere Spear-Phishing-E-Mails geben häufig vor, vom CEO oder einer anderen autorisierten Person zu stammen. Diese Betrügereien machen sich die Tatsache zunutze, dass der Empfänger geneigt ist, die Anweisungen seines Chefs zu befolgen.

Was ist zu tun, wenn Sie einen Phishing-Angriff vermuten?

Die Auswirkungen und Kosten eines Phishing-Angriffs auf ein Unternehmen hängen von der Schnelligkeit und Korrektheit der Reaktion ab. Wenn Sie den Verdacht haben, dass es sich bei einer E-Mail um eine Phishing-E-Mail handelt, gehen Sie wie folgt vor:

  1. Antworten Sie nicht, klicken Sie nicht auf Links und öffnen Sie keine Anhänge: Tun Sie niemals, was ein Phisher will. Wenn Sie einen verdächtigen Link, einen Anhang oder eine Aufforderung zu einer Antwort erhalten, klicken Sie nicht darauf, öffnen Sie sie nicht und senden Sie sie nicht ab.
  2. Melden Sie die E-Mail der IT-Abteilung oder dem Sicherheitsteam: Phishing-Angriffe sind in der Regel Teil verteilter Kampagnen, und nur weil Sie den Betrug bemerkt haben, heißt das nicht, dass alle anderen ihn auch bemerkt haben. Melden Sie die E-Mail dem IT- oder Sicherheitsteam, damit dieses eine Untersuchung einleiten und so schnell wie möglich Schadensbegrenzung betreiben kann.
  3. Löschen Sie die verdächtige E-Mail: Löschen Sie nach der Meldung die verdächtige E-Mail aus Ihrem Posteingang. Dadurch verringert sich die Wahrscheinlichkeit, dass Sie versehentlich darauf klicken, ohne es später zu bemerken.