Group-IB, ein Unternehmen für Cybersicherheitstechnologien zur Untersuchung, Verhinderung und Bekämpfung digitaler Kriminalität, hat kurz vor Weihnachten einen deutlichen Anstieg der Anzahl von gefälschten Webseiten von Zustellunternehmen verzeichnet.
Das Computer Emergency Response Team (CERT-GIB) von Group-IB identifizierte in den ersten 10 Tagen des Dezembers 587 gefälschte Seiten, was einem Anstieg von 34 % im Vergleich zu den letzten 10 Tagen im November entspricht. Insgesamt hat CERT-GIB seit Anfang November 1539 Phishing-Webseiten entdeckt, die sich als Versanddienstleister und Zustelldienste ausgeben. Die Vermutung liegt nahe, dass diese Phishing-Ressourcen im Rahmen einer einzigen Betrugskampagne eingesetzt werden. Die Scammer nutzen den Ansturm auf Last-Minute-Geschenke und senden SMS-Nachrichten, die oft als “dringende” oder “fehlgeschlagene” Lieferbenachrichtigungen getarnt sind. Bekannte Lieferdienste nachahmend, fordern die Mitteilungen die Empfänger auf, betrügerische Webseiten zu besuchen und dort sowohl persönliche als auch Zahlungsdaten zu hinterlassen. Group-IB setzt die an die nachgeahmten Zustellunternehmen gerichtete Informationskampagne fort.
Die Überprüfung der Echtheit solcher Lieferbenachrichtigungen, das Nicht-Anklicken von verdächtigen Links und die Verifizierung von Informationen bei vertrauenswürdigen Quellen sind wesentliche Schritte zum Schutz vor Lieferscams.
Die Betrugsversuche mit Lieferbenachrichtigungen haben ihren Höhepunkt im Dezember erreicht, ergo in der für Zustellunternehmen aufgrund des erhöhten Aufkommens von Online-Bestellungen geschäftigsten Zeit des Jahres. Die Scammer erstellen täglich Hunderte von Webseiten, die legitime Marken der Logistik imitieren. Laut CERT-GIB wurde am 8. Dezember 2023 das höchste Volumen an Phishing-Ressourcen erstellt. Die Kampagne betrifft Logistikmarken in 53 Ländern. Die meisten identifizierten Phishing-Seiten zielen auf Benutzer in Deutschland (17,5 %), Polen (13,7 %), Spanien (12,5 %), Großbritannien (4,2 %), Türkei (3,4 %) und Singapur (3,1 %) ab.
Typischerweise zeigen Phishing-Seiten die offiziellen Namen und Logos der imitierten Versanddienstleister und ahmen deren URLs nach (Typosquatting).
Neben dem Missbrauch der Marken von Zustelldienstleistern wird dieses Schema ebenfalls eingesetzt, um Telekommunikationsbetreiber, Banken und Mautdienste anzugreifen. Die Experten von Group-IB stellen des Weiteren fest, dass sich die Schwindler mehrerer Ausweichtechniken bedienen, um sicherzustellen, dass die zu Betrugszwecken erstellten Ressourcen weder von Behörden noch von Cybersicherheitsforschern aufgedeckt werden. Sie schränken den Zugriff auf ihre Scam-Seiten auf geografische Standorte ein und erlauben den Zugriff darauf nur aus den Ländern, die sie anvisieren. Die Webseiten imitierter Logistikmarken sind zudem nur auf bestimmten Geräten und Betriebssystemen funktionsfähig. Ein weiteres bemerkenswertes Merkmal der laufenden Kampagne ist, dass gefälschte Ressourcen nur wenige Tage lang existieren, was es einerseits Sicherheitsexperten erschwert, das Schema zu durchleuchten, und andererseits die Erkennung durch herkömmliche Anti-Scam-Lösungen hindert.
“Mit dem Last-Minute-Einkauf und dem Wunsch, Pakete noch rechtzeitig zu erhalten, neigen die Menschen dazu, weniger vorsichtig zu sein”, sagt Camill Cebulla, Vertriebsleiter Europa bei Group-IB. “Beim Versenden gefälschter Lieferbenachrichtigungen nutzen Betrüger dieses Gefühl der Dringlichkeit aus. Die hohe Anzahl an verschickten Paketen während der Feiertage macht es für Scammer einfacher, sich als legitime Lieferdienste auszugeben. Wir empfehlen Anwendern, Absenderdetails zu überprüfen, aufgrund der Nachahmungswahrscheinlichkeit vorsichtig offizielle Kanäle zu durchforsten, Benachrichtigungen als potenzielle Bedrohung zu behandeln, direkt auf offizielle Webseiten zuzugreifen und sich über aktuelle Betrugsmaschen zu informieren.”
Die missbrauchten Marken sind diejenigen, die unter solchen Kampagnen leiden. Unzufriedene Kunden handeln schnell. Markeninhaber müssen schnell handeln, um Maßnahmen gegen Scammer zu ergreifen. Dabei ist die frühzeitige Erkennung der Schlüssel zur Minimierung digitaler Risiken für betroffene Marken und zum Schutz potenzieller Opfer.
Eine effektive Überwachung und Sperrung der gefälschten Ressourcen sollte ein digitales, auf dem automatisierten maschinellen Lernen basiertes System zum Schutz vor Risiken umfassen, das mit Intelligence-Daten versorgt wird, ergo regelmäßigen Updates der Wissensbasis über die Infrastruktur, Taktiken und Werkzeuge von Cyberkriminellen.
Die Digital-Risk-Protection-Lösung von Group-IB, Teil seiner Unified Risk Platform, kann betrügerische Infrastrukturen schon in einem frühen Stadium aufdecken und den Zerlegungsprozess initiieren. Die Fähigkeiten des Attack Surface Management von Group-IB umfassen jetzt auch die Erkennung von typografischen Variationen legitimer Domänennamen (Typosquatting), wodurch Unternehmen Typosquatting-Kopien ihrer Domains inklusive aller relevanten Details untersuchen können.
www.group-ib.com