Mit einer Mischung aus kompromittierten Social-Media-Konten, Social Engineering, Call-Center-Agenten und einigen überzeugend echt wirkenden Fake-Websites versucht diese neueste Betrugsmasche, die Opfer dazu zu bringen, wiederholt in scheinbar seriöse Angebote zu investieren.
Es gibt heutzutage sehr viele gefälschte Websites und Marken, die dem Original sehr gut nachempfunden sind und eine Reihe von Webseiten enthalten auch raffinierte Phishing-Kits. Ein solches Ausmaß an Fake Seiten eines Typus stellt jedoch ein neues Phänomen in der Bedrohungslandschaft dar. Dieser groß angelegte Betrug, der zuerst vom Sicherheitsteam der Group-IB entdeckt wurde, zielt auf potenzielle Investoren in Großbritannien, Belgien, Deutschland, den Niederlanden, Portugal, Polen, Norwegen, Schweden und der Tschechischen Republik ab.
Die Basis dieser perfiden Methode bilden erfundene Empfehlungen von Prominenten in gefälschten Artikeln, in denen behauptet wird, dass der Investor in nur drei Tagen aus 250 Euro 700 Euro generieren konnte. Zudem kommen kompromittierte Facebook- und YouTube-Konten zum Einsatz, um die Glaubwürdigkeit zu erhöhen. So werden die Opfer auf gefälschte Investitionsseiten geleitet, wo sie mit angeblichen Erfolgsgeschichten bombardiert werden, um sie dazu zu bringen, die 250 Euro Startgebühr nicht nur einmal, sondern immer wieder zu zahlen.
Sobald sich die Opfer registriert haben, werden sie von einem Callcenter kontaktiert, das sie durch den Prozess der Zahlung ihrer ersten „Investition“ führt. Wenn sie investiert haben, erhalten die Opfer Zugang zu einem gefälschten Investitions-Dashboard, wo sie über den großartigen Erfolg ihrer Fake-Investition, auf dem Laufenden gehalten werden, um sie dazu zu bringen, ständig weitere Einzahlungen vorzunehmen.
Regelmäßige Security Awareness Trainings unterstützen IT-Abteilungen bei der Abwehr von Cybergefahren. Jelle Wieringa, Security Awareness Advocate bei KnowBe4 äußert sich zur Bedeutung solcher Sicherheitsschulungen wie folgt: „Die weltweite Cyber-Bedrohungslage entwickelt sich rasant und verheerend, doch die Anzahl der erfolgreichen Phishing-Angriffe auf ein Unternehmen kann durch ein umfassendes Security Awareness Training sehr stark reduziert werden. Hierbei ist elementar, dass eine regelmäßige und interaktive Schulung durchgeführt wird, damit die Botschaft wirklich verinnerlicht wird. Das Ergebnis der Trainings ist eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken. Neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.“
Fazit
Der Aufwand an Zeit und Energie, der in die über 10.000 gefälschten Websites investiert werden muss, scheint immens – und doch profitieren die Bedrohungsakteure von der hohen Rentabilität und optimieren die Betrugstechniken immer weiter. Das ist der Grund, warum jedes Unternehmen und jeder Privatperson adäquate Schutzmaßnahmen gegen Phishing-Angriffe aufbauen und in Stand halten muss. Die Empfehlung der Sicherheitsexperten lautet, bei jeder Interaktion in den sozialen Medien, im Internet und in E-Mails die Absichten des digitalen Gegenübers sehr kritisch zu hinterfragen und mit einem Gefühl des Misstrauens zu interagieren.
