Sicherheitsforscher von Check Point haben eine Kampagne aufgedeckt, bei der Cyberkriminelle den Hype um den Mode-Onlinehändler Shein ausnutzen, um Verbrauchern ihre Benutzernamen und Passwörter zu stehlen.
Shein ist eine der beliebtesten Shopping-Apps weltweit. Mit über 251 Millionen Downloads ist sie sogar die am zweithäufigsten heruntergeladene Shopping-App. Die E-Commerce-Plattform wird häufiger über Google aufgesucht als Marken wie Nike und Adidas. Der Online-Händler ist bekannt für günstige Kleidung und niedrige Preise. Einem TIME-Bericht zufolge wurde Shein bereits auf verschiedene Weise von Betrügern ausgenutzt, unter anderem durch gefälschte Geschenkkarten auf Instagram und gefälschte Websites.
Die Forscher haben herausgefunden, wie Cyberkriminelle Shein mit Phishing spoofen, um Login-Daten von Nutzern zu stehlen. Im vergangenen Monat wurden mehr als 1.000 dieser gefälschten E-Mails identifiziert.
Beispiel: Phishing-E-Mail mit gespoofter Shein-Webseite
Die E-Mail kommt mit der verlockenden Betreffzeile „Auftragsbestätigung SHEIN“ – und behauptet, vom Kundendienst des Anbieters zu stammen. Bei näherer Betrachtung stellt sich jedoch heraus, dass die E-Mail-Adresse des Absenders nicht mit der offiziellen Adresse von Shein übereinstimmt.
In der E-Mail wird mitgeteilt, dass der Besteller angeblich eine Mystery Box von Shein erhalten soll. Der darin enthaltene Link führt jedoch nicht zu einem Überraschungsgeschenk, sondern zu einer gefälschten Website, deren Ziel es ist, persönliche Daten zu stehlen.
Dieser Phishing-Versuch ist relativ einfach zu durchschauen. Er spielt mit der menschlichen Emotion über einen vermeintlich gewonnenen Preis und verwendet den vertrauenswürdigen Markennamen „Shein“, um Glaubwürdigkeit vorzutäuschen. Aufmerksame Nutzer können den Betrug jedoch erkennen, indem sie die E-Mail-Adresse des Absenders überprüfen – diese sollte nicht aus einer zufälligen Buchstabenkombination bestehen. Zudem ist es ratsam, sicherzustellen, dass alle in der E-Mail enthaltenen Links zu legitimen Shein-Webseiten führen.
Angewandte Techniken
Wie auch bei anderen Phishing-Versuchen nutzen Betrüger populäre Marken und aktuelle Trends, für ihre Zwecke aus. In diesem Fall wird die Marke Shein verwendet. Es gibt mehrere Indizien dafür, dass diese E-Mails nicht legitim sind. Das „Mystery Box“-Angebot wird mit einem starken Gefühl der Dringlichkeit präsentiert, um Opfer zum schnellen Klick zu verleiten.
Die E-Mail-Adresse selbst ist ein Wirrwarr aus zufälligen Buchstaben und keine erkennbare Shein-Adresse, darüber hinaus findet sich auch kein Shein-Branding oder -Logo. Schließlich führt der Link in der E-Mail nicht zu einer offiziellen Website, sondern zu einer betrügerischen Website, die darauf abzielt, Daten zu stehlen.
Im letzten Monat wurden über 1.000 solcher Phishing E-Mails beobachtet.
- Es ist ratsam, nicht auf Links von Websites zu klicken, deren Adresse nicht offiziell ist, und die Quelle der E-Mail zu überprüfen.
- Die Adresse der Website und der Name des Absenders sollten auf Rechtschreib- und Zeichensetzungsfehler überprüft werden, selbst wenn die Website echt aussieht.
- Es sollte sichergestellt werden, dass die E-Mail keine Rechtschreibfehler enthält. Außerdem sollte auf die Sprache der E-Mail geachtet werden: Ist es üblich, dass der Absender mit mir in dieser Sprache kommuniziert?
www.checkpoint.com