In den letzten Monaten haben Amerikaner E-Mails erhalten, in denen ihnen eine kostenlose Yeti-Rucksack-Kühlbox von Dick’s Sporting Goods versprochen wurde – im Wert von 325 $.
Nein, Sie haben keine neue Kühlbox gewonnen.
Diese E-Mails haben viel Aufmerksamkeit erregt, weil sie manchmal in der Lage sind, ausgeklügelte Spam-Filter zu umgehen, wie die in Google
Gmail eingebaut sind, aber es sind Spam-E-Mails. Sie sollen die Opfer dazu bringen, ihre Kreditkartennummern anzugeben, die dann gestohlen werden.
Die Spam-Kampagne ist ein Beispiel dafür, wie Betrüger immer raffinierter werden, um Verbraucher zur Preisgabe ihrer privaten Daten zu bewegen, so Or Katz, leitender Sicherheitsforscher bei Akamai
der vor kurzem einen Einblick in die Funktionsweise der jüngsten Spam-Kampagne veröffentlicht hat.
Es ist zwar unklar, wie genau die E-Mails an den Spam-Filtern vorbeikommen, so Katz, aber diese Phishing-Kampagne nutzt mehrere ausgeklügelte Techniken, darunter IP-Filter, Weiterleitungen und personalisierte Links, um Sicherheitssoftware zu umgehen, die Phishing-E-Mails als schädlich einstufen und verhindern soll, dass sie an die Nutzer zugestellt werden.
Die Kampagne verwendet auch eine neuartige Technik, bei der ein Hashtag oder ein Pfund-Symbol in Links eingebettet wird, um deren schädliche Natur zu verschleiern, so Katz.
„Diese Forschung zeigt, dass Angreifer Techniken entwickeln, die es ihnen ermöglichen, ihre Kampagnen viel effektiver zu gestalten oder sogar einige Erkennungen zu umgehen“, so Katz. „Gleichzeitig entwickeln sie Kampagnen, die viel ansprechender sind, viel vertrauenswürdiger aussehen und mehr Aufwand in die Details stecken.
Ein Vertreter von Google bezeichnete die Phishing-Kampagne als „weit verbreitet“ und „besonders aggressiv“.
Die Spam-Kampagne, die in den Posteingängen der Nutzer landet, ist eine weitere Erinnerung daran, dass Online-Betrug eine große Industrie ist, die von Geld angetrieben wird und sich ständig weiterentwickelt. Auch wenn viele Benutzer glauben, dass sie einen Betrug, bei dem wertvolle Produkte kostenlos angeboten werden, durchschauen würden, fallen doch einige Leute darauf herein, sonst würden die Angreifer es nicht weiter versuchen.
Nach Angaben der Federal Trade Commission haben Verbraucher in den USA im Jahr 2021 mehr als 5,8 Milliarden Dollar durch Betrug verloren. Ältere Amerikaner gaben an, mehr Geld zu verlieren als jüngere Menschen, so die FTC.
Während Phishing-E-Mails wie die Cooler-Kampagne nur einen Bruchteil dieser Summe ausmachen, gehören Online-Einkaufsbetrug und Gewinnspielbetrug zu den am häufigsten an die FTC gemeldeten Betrugsarten.
Wie es funktioniert
Hinter jeder gefälschten Yeti-Kühlbox-E-Mail steht eine ganze Industrie von Betrügern, die Software entwickeln, um es Dieben zu erleichtern, persönliche Daten zu stehlen.
Zur Spam-Industrie gehören Leute, die Spamming-Software schreiben und betreiben, sowie Schwarzmärkte für gestohlene Zugangsdaten wie Kreditkarten.
„Die Angreifer sind sehr geldgierig. Und sie haben ihre eigenen, wie wir es nennen, Fabriken und Wirtschaften. Die Fabriken sind diejenigen, die diese Phishing-Toolkits erstellen und einsetzen, und die Wirtschaft sind diejenigen, die sie verkaufen oder weiterverkaufen und sie in der freien Wildbahn einsetzen und damit Geld verdienen“, so Katz.
Phishing-Toolkits sind Software, die die Verwaltung von Spam-Servern und den Versand von E-Mails erleichtern. Das Toolkit, das hinter den jüngsten Angriffen stand, war ziemlich ausgeklügelt, und seine Entwickler wussten offenbar, wie Sicherheitsforscher versuchen, Spam zu bekämpfen, und haben darauf reagiert, so Akamai.
Das Kit nutzt Social Engineering und verschiedene Techniken, um Erkennungstools wie URL-Scanner oder Sicherheits-Crawler zu umgehen.
Der Link in der E-Mail, der oft mit einem URL-Verkürzungsdienst versteckt ist, überprüft, ob der Benutzer in Nordamerika ansässig ist. Dann leitet er den Benutzer durch eine Reihe verworrener URLs, die den Benutzer automatisch auf die endgültige Betrugsseite umleiten, so dass automatische URL-Prüfprogramme sie nicht als schädlichen Link erkennen können.
Die verschachtelten Weiterleitungslinks ermöglichen es dem Angreifer außerdem, die Infrastruktur im Handumdrehen zu ändern, wenn Teile davon entdeckt oder deaktiviert werden. Manchmal laufen die Weiterleitungen über einen vertrauenswürdigen Cloud-Anbieter, der den Ruf eines seriösen Webdienstleisters nutzt, um den Betrug zu verschleiern.
Außerdem sind die mit dem Kit verwendeten E-Mails und Websites im Vergleich zu anderen Phishing-Kampagnen gut gestaltet, mit hochwertigen Grafiken, „Kunden“-Zeugnissen und der illegalen Verwendung etablierter, vertrauenswürdiger Marken und Warenzeichen, was die Wahrscheinlichkeit erhöht, dass ein Opfer getäuscht werden kann.
Mit der Zeit erfahren die Sicherheitsunternehmen der Unternehmen von allen neuen Spam-Techniken, und die Spam-E-Mails werden schließlich auf schwarze Listen gesetzt oder in den Systemen als bösartig gekennzeichnet. Doch je länger es dauert, bis die E-Mail-Anbieter und andere Infrastrukturen reagieren, desto mehr Geld verdienen die „Fabriken“ in der Zwischenzeit.
„Es ist eine Art Katz-und-Maus-Spiel“, sagt Katz.
Die Untersuchung von Akamai bezog sich auf den Zeitraum von September bis Ende Oktober, doch laut Berichten in den sozialen Medien versendet die Kampagne offenbar immer noch Spam. Laut Akamai nehmen Phishing-Betrügereien, die sich an Verbraucher richten, in der Weihnachtszeit zu, da sie die Urlaubsstimmung ausnutzen und versuchen, sich mit tatsächlichen Werbeaktionen zu vermischen.
Mit der Zeit wird diese spezielle Kampagne abebben. In der Zwischenzeit können die Benutzer sich selbst und ihre Familie und Freunde, die möglicherweise gefährdet sind, schützen.
Erstens, so Katz, sollte man sich darüber im Klaren sein, dass ein Angebot, das zu schön ist, um wahr zu sein – zum Beispiel eine kostenlose Markenkühlbox -, es wahrscheinlich auch ist.
Die zweite Lösung ist eher technischer Natur: Die Benutzer sollten sich die Details der E-Mail ansehen, einschließlich des Absenders und der URL der Website, auf die der Link sie schließlich weiterleitet. Internet-Provider bieten möglicherweise auch Dienste an, die verhindern können, dass Betrügereien durchkommen. (In der Regel verwenden die Betrüger-E-Mails eine zufällige Buchstabenfolge für den Domänennamen).
Auch Marken müssen vorsichtig sein, um zu verhindern, dass Betrüger ihren Ruf ausnutzen und ihre Kunden verletzen.
In diesem Herbst hat Dick’s Sporting Goods eine Sicherheitswarnung auf seiner Website veröffentlicht, in der die Kunden vor betrügerischen Spam-Mails gewarnt werden. „Betrüger haben in letzter Zeit an eine große Anzahl von US-Verbrauchern E-Mails verschickt, in denen sie sich als bekannte Unternehmen, einschließlich DICK’S, ausgaben“, so das Unternehmen auf seiner Website.
„DICK’S bittet nicht um Informationen von unseren Kunden auf diese Weise. Sie sollten nicht auf eine solche Nachricht antworten oder den darin enthaltenen Links folgen“, heißt es weiter, und es wird hinzugefügt, dass alle offiziellen E-Mails von einem offiziellen Dick’s-Domainnamen stammen würden.
Warum Sie so viel Gmail-Spam über Yeti-Kühlboxen erhalten haben https://t.co/fS0LiXha2W
– CNBC (@CNBC) Dezember 17, 2022
Ein Vertreter von Yeti gab nicht sofort einen Kommentar ab.
Google sagte, dass die Spam-Kampagne nicht auf Einzelhändler beschränkt war, sondern sich auch als Versandunternehmen und Regierungsstellen ausgab. Ein Vertreter erklärte gegenüber CNBC, dass die Spammer „die Infrastruktur einer anderen Plattform“ nutzen, um einen Pfad für den Spam zu schaffen, aber dass Gmail derzeit die große Mehrheit der schädlichen E-Mails blockiert.
„Während wir diese Art von Kampagnen regelmäßig sehen, ist diese besonders aggressiv und wir erwarten, dass sie während der gesamten Weihnachtszeit in großer Zahl auftreten“, sagte der Google-Sprecher in einer Erklärung. „Wir bitten alle E-Mail-Nutzer, beim Öffnen von Nachrichten weiterhin Vorsicht walten zu lassen, und Gmail-Nutzer können die Funktion zum Melden von Spam nutzen“.
