Amazon Prime Day: Viele Schnäppchen, viel Betrug

Originalartikel von Trend Micro Research

Dass Cyberkriminelle wichtige Ereignisse für ihren eigenen Profit nutzen, ist nicht neu. Für viele Menschen sind große Online-Shopping-Events wie der jährliche Amazon Prime Day – der dieses Jahr auf den 20./21. Juni fällt – die Gelegenheit, Waren zu stark reduzierten Preisen zu erstehen. Doch nicht nur Verbraucher profitieren davon, auch Cyberkriminelle versuchen, ahnungslose Opfer mithilfe von Social Engineering-Taktiken und anderen Arten von Betrug auszunehmen. Amazon Prime hat in den letzten zwei Jahren stark zugelegt. Schätzungen zufolge gab es am Ende des vierten Quartals 2019 150 Millionen Prime-Mitglieder, und deren Zahl wuchs bis zum ersten Quartal 2021 auf 200 Millionen (mit rund 105 Millionen Nutzern allein in den USA). Das macht Amazon Prime-Kunden zu einem besonders lukrativen Ziel für böswillige Akteure. Deshalb ist es wichtig, dass die Verbraucher für den Amazon Prime Day sensibilisiert werden. Wir zeigen einige der Betrugsversuche auf, die wir in den letzten Monaten beobachtet haben.

Amazon Prime-Betrügereien

2020 war der Amazon Prime-Tag wegen Covid-19 auf den Oktober verschoben worden. Im selben Monat gab die australische Kommunikations- und Medienbehörde (ACMA) eine Mitteilung heraus, in der sie die Öffentlichkeit vor Betrügern warnte, die sich als Amazon Prime-Mitarbeiter ausgaben, Leute anriefen und behaupteten, sie würden Amazon Geld schulden. Sie drohten den Opfern auch, Geld von ihrem Bankkonto abzubuchen, wenn sie nicht sofort handeln würden. Häufig ist das Ziel dieser Betrüger, Amazon-Kontodaten und persönliche Daten von ihren Opfern abzugreifen, indem sie sie auffordern, online zu gehen und die entsprechenden Informationen einzugeben.

In einer Abwandlung dieser Betrugsmasche spielen Betrüger ihren Ziele am Telefon eine aufgezeichnete Nachricht vor, die vorgeblich von Amazon stammt und die Angerufenen über ein Problem mit ihrer Bestellung informiert – wie z. B. ein verlorenes Paket oder eine nicht ausgeführte Bestellung. Die Opfer werden dann aufgefordert, entweder die Taste „1“ auf ihrem Telefon zu drücken oder eine bestimmte Nummer anzurufen. Auch hier ist das Ziel, an persönliche Informationen heranzukommen.

Darüber hinaus nutzen böswillige Akteure auch bewährte Phishing-Taktiken per E-Mail. Eine Taktik dabei greift auf gefälschte Rechnungen für Bestellungen mit entsprechenden falschen Bestellnummern und sogar einer gefälschten Hotline-Nummer zurück, wobei der Empfänger aufgefordert wird, seine persönlichen Daten einzugeben.

Eine weitere Masche besteht darin, einen Amazon Prime-Nutzer über vorgebliche Probleme mit seinem Konto zu benachrichtigen: Ein Beispiel dafür ist eine gefälschte Amazon Prime-Nachricht, die den Empfänger warnt, dass seine Prime-Vorteile angeblich aufgrund eines Problems mit der Zahlung ausgesetzt wurden. Die Nachricht enthält auch einen gefälschten Phishing-Link, den der Benutzer anklicken müsste, um das Problem zu lösen.

Bild 1. Beispiel eines Mail-Scams, der vorgibt, von „Amazon Prime“ zu kommen und eine gefälschte Bestellnummer sowie Hotline-Nummer enthält. Die Mailadresse ist verdächtig und enthält ein falsch geschriebenes „Amazon“.

Böswillige Akteure nutzen auch gefälschte Websites und Online-Formulare – viele davon sind sorgfältig gestaltet, um den offiziellen Sites so weit wie möglich zu entsprechen. Auf einer Phishing-Website werden Benutzer aufgefordert, Zahlungsdetails zu bestätigen, indem sie bestimmte Informationen eingeben. Die Seite sieht zwar authentisch aus, beinhaltet aber eine Menge Auffälligkeiten – zum Beispiel funktioniert keiner der ausgehenden Links tatsächlich, und die auf der Seite verwendeten Formulare fragen mehr Daten als üblich ab, darunter auch persönliche Informationen, die Unternehmen normalerweise nie von ihren Nutzern verlangen.

Eine vorausgehende Suche in VirusTotal mit den Stichwörtern „Amazon“ und „Prime“ brachte über hundert PDF-Dateien als Ergebnis, darunter viele Filmtitel (die Mitgliedschaft bei Amazon Prime berechtigt auch zum Bezug von Prime Videos). Diese PDF-Dateien werden auf verschiedenen Cloud-Diensten gehostet, wobei der Link zu diesen Dateien in der Regel über bösartige E-Mails verbreitet wird. Beim Öffnen einiger dieser Dateien erscheint eine Captcha-Schaltfläche, die beim Anklicken eine bösartige Weiterleitungskette aktiviert.

Es ist zwar davon auszugehen, dass es sich bei den meisten dieser Betrüger um Einzelpersonen oder kleine Gruppen handelt, die auf das schnelle Geld aus sind, aber es gibt auch bestimmte Gruppen von Bedrohungsakteuren, die ausgefeilte Social-Engineering-Techniken für ihre Kampagnen verwenden, die auch auf Amazon-Benutzer als Hauptziel gerichtet sind.

Die Heatstroke Phishing-Kampagne

Die Phishing-Kampagne Heatstroke entdeckten die Forscher 2019. Sie stellten fest, dass die Hintermänner komplexe Techniken sowohl für die Auskundschaftung als auch für die Köder der Opfer einsetzten. Die Ziele waren vor allem Amazon- und Paypal-Nutzer.

Heatstroke nutzt beispielsweise eine Phishing-Webseite mit mehreren Arbeitsbildschirmen und Unterseiten, um eine legitime Webseite so gut wie möglich zu imitieren. Darüber hinaus implementiert Heatstroke verschiedene Verschleierungstechniken, wie z. B. die Weiterleitung des Phishing-Kit-Inhalts von einem anderen Ort oder die Änderung der Landing Page, um Inhaltsfilter zu umgehen.

Bild 2. Der Infektionsweg von Heatstroke

Der Bedrohungsakteur hat in den letzten zwei Jahren einige Verbesserungen vorgenommen – wie z. B. erweiterte IP-Bereiche und Verbesserungen an den Benutzer-Agents und den „Selbstverteidigungsmechanismen“ des Kits (Scams, Anti-Bot- und IP-Schutz-Diensten) sowie das Hinzufügen einer API und eines Kill-Datums, nach dem das Kit nicht mehr funktioniert.

Heatstroke ist auch 2021 noch aktiv und verfügt über eine gut gepflegte Infrastruktur. Der Kriminelle verwendet weitgehend die gleichen Techniken wie in der Vergangenheit. Allerdings könnte dies ein Fall von „don’t touch a running system“ sein, wenn man bedenkt, als wie effektiv sich die vorherigen Kampagnen erwiesen haben.

Schutz vor den Betrügereien

Die folgenden Best Practices und Empfehlungen können Verbrauchern helfen, diese Betrugsmaschen zu vermeiden:

  • Die meisten seriösen Unternehmen fragen niemals am Telefon sensible Finanzdaten ab. Wenn ein Anrufer, der angeblich von Amazon oder einem anderen Unternehmen kommt, nach seltsam spezifischen Informationen wie Kreditkarten- oder Bankkontonummern fragt, ist dies automatisch ein Warnsignal.
  • Seien Sie vorsichtig bei E-Mails, die für Sie keinen Sinn ergeben. Wenn Sie eine E-Mail erhalten, in der auf einen Artikel verwiesen wird, den Sie nicht gekauft haben, ist es sehr wahrscheinlich, dass es sich um einen Phishing-Versuch handelt. Verzichten Sie auf das Herunterladen von Anhängen oder das Anklicken von Links in verdächtigen E-Mails, da dies zu Malware-Infektionen führen kann.
  • Suchen Sie in Mails nach Rechtschreib- oder Grammatikfehlern. Legitime E-Mails werden immer gründlich geprüft und bearbeitet, bevor sie versendet werden, daher sind selbst kleine Fehler mögliche Anzeichen für eine bösartige E-Mail.
  • Vergewissern Sie sich immer, ob die URL einer Website mit der echten übereinstimmt. Zum Beispiel haben Amazon-Websites und Unterseiten immer einen Punkt vor „amazon.com“. (z. B. „support.amazon.com“ im Gegensatz zu „support-amazon.com“). Selbst wenn eine Website das Design der legitimen Website kopiert, verrät eine zweifelhafte URL oft, dass es sich um eine bösartige Website handelt. In gleicher Weise sollten Mail-Adressen darauf untersucht werden, ob sie verdächtig aussehen oder ungewöhnliche Elemente aufweisen.

Unternehmen sollten auch regelmäßig, den Stand der Sicherheits-Awareness ihrer Mitarbeiter bezüglich der neuesten Bedrohungen überprüfen. Unterstützung dabei bietet Trend Micro Phish Insight, ein Cloud-basierter Security Awareness-Dienst, der darauf zugeschnitten ist, Mitarbeitern den Schutz vor Social-Engineering-Angriffen zu erleichtern.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.