Amazon Prime Day: Primetime für Cyber-Kriminelle

Es ist kein Geheimnis, dass Cyberkriminelle es lieben, die weltweit führenden Internetmarken zu fälschen. Und es ist nicht überraschend, dass Amazon angesichts seiner Größe und Reichweite häufig in der Liste der Top 10 der am häufigsten ausgenutzten und gephishten Marken auftaucht. Für die Phisher des Massenmarktes können Marken des Massenmarktes die Wahrscheinlichkeit eines Engagements deutlich erhöhen. Wer kennt heutzutage nicht Amazon oder tätigt Geschäfte mit Amazon? Was hat der Angreifer von diesem Engagement? Das ist einfach: einen direkten Weg zu Geld. In vielen Fällen sind die Cyberkriminellen nur auf der Suche nach Anmeldedaten für die gefälschte Marke. Berichten zufolge bringen Amazon-Anmeldedaten auf dem Schwarzmarkt etwa 30 Dollar pro ein. Wenn man ein paar Tausend davon als Ergebnis einer Phishing-Kampagne erhält, geht es um richtiges Geld.

Cyberkriminelle nutzen seit langem auch Feiertage, globale Ereignisse, Pandemien und große Werbeaktionen von Unternehmen, um ihre Geldgeschäfte zu machen. Sie lieben es, in dem Windschatten zu gleiten, den andere schaffen. Der jüngste Amazon Prime Day am 13. und 14. Oktober dieses Jahres erwies sich als eine Phishing-Gelegenheit, die man sich nicht entgehen lassen konnte. In der Tat entdeckte Mimecast in den zwei Wochen vor dem Prime Day 197 Live-Webseiten, die Amazon.com simulierten. Im Folgenden finden Sie einige Beispiele für diese Seiten und was an ihnen verdächtig erscheint.

In Abbildung 1 unten sehen Sie die URL mit der Domain "U1k.cc" und der Subdomain "user-amazon". Die TLD ".cc" steht für die Cocos (Keeling)-Inseln, ein australisches Territorium mit etwa 600 Einwohnern. Ich frage mich, ob Amazon dorthin liefert? Oder haben sie vielleicht ein Lager auf der Insel? Unwahrscheinlich. Die eigentliche Phishing-Website in Abbildung 2 richtet sich aufgrund der Schrift offensichtlich an ein japanisches Publikum.

Abbildung 1 - Beispiel für eine Amazon-Simulationswebseite

Abbildung 2 - Eine gefälschte Amazon-Anmeldeseite, die sich an ein japanisches Publikum richtet

Aber beachten Sie, dass der Registrar das in China ansässige Unternehmen Alibaba Cloud Computing ist. Und beachten Sie den Zeitpunkt der Registrierung war genau in der Zeit für Prime Day. Alles höchst verdächtige Faktoren, die darauf hindeuten, dass es sich nicht um eine von Amazon autorisierte Website handelt.

Abbildung 3 - Whois-Informationen für die Domäne u1K.cc

Glücklicherweise erkannten einige, aber nicht alle, Sicherheits-Engines diese Website damals als bösartig. Details zum aktuellen Stand finden Sie in Abbildung 4, einem Schnappschuss von VIRUSTOTAL für diese Website.

Abbildung 4 - VIRUSTOTAL-Ergebnisse für die verdächtige Amazon Japan-Website

Natürlich ist Amazon sehr global und die Cyberkriminellen sind es auch. Würde es Sie daher überraschen, dass eine Version dieses Betrugs auch auf Italiener abzielt? In dieser Version versuchen die Angreifer ganz klar, den Prime Day auszunutzen. Sie haben sogar "Prime" in ihre Domainregistrierung eingebaut!

Abbildung 5 - Prime Day in Italien?

Diese Seite unterscheidet sich deutlich von der legitimen Amazon.it-Seite, die in Abbildung 6 dargestellt ist.

Abbildung 6 - Amazons legitime Amazon.it-Webseite

Leider hat zum Zeitpunkt der Erstellung dieses Berichts noch keine der VIRUSTOTAL-Engines diese Website als bösartig eingestuft, wie in Abbildung 7 zu sehen ist.

Abbildung 7 - VIRUSTOTAL-Ergebnisse für amazonprime-italia/amazon/

In der Tat ist die Website nach wie vor live und einsatzbereit. Und sie wird, wie üblich, von Wordpress gehostet. Alles in allem eine ziemlich plumpe Seite, aber niemand hat je behauptet, dass jeder Phisher schick ist. Man beachte, dass sie sich nicht einmal die Mühe gemacht haben, ein Zertifikat für die Website zu besorgen. Die meisten raffinierten Angreifer besorgen sich in der Regel ein Zertifikat für ihre Betrugsseite, da viele Leute darauf trainiert sind, das Schloss als Zeichen der Legitimität zu betrachten (was es nicht ist).

Abbildung 8 - Die Live-Site amazonprime-italia.it/amazon

Und schließlich "amazon-prime.online". Auf der Seite befindet sich derzeit nichts weiter als ein Haufen HTML und JavaScript. Vielleicht wird die Seite für einen zukünftigen Diebstahl von Anmeldeinformationen oder zum Ablegen von Malware geparkt?

Abbildung 9 - Amazon-prime.online URL

Und nur eine Engine in VIRUSTOTAL hat diese URL als bösartig eingestuft.

Abbildung 10 - VIRUSTOTAL-Ergebnisse für Amazon-prime.online

Ich würde Ihnen gerne sagen, dass diese Art von Angriffen ungewöhnlich ist, aber das kann ich nicht. Ein weit verbreiteter Irrglaube ist, dass diese Art von Kampagnen ausschließlich auf globale Internetmarken wie Amazon ausgerichtet sind. Auch das ist nicht wahr. Wenn Ihr Unternehmen eine Website hat, insbesondere eine mit einem Login, Kunden und Partner hat und etwas Wertvolles produziert oder verkauft, sind Sie sehr wahrscheinlich im Visier dieser Art von Cyberkriminellen. Tatsächlich wird sogar die Marke Mimecast regelmäßig mit dieser Art von Angriffen angegriffen . Glücklicherweise trinken wir unseren eigenen "Champagner" und daher ist unsere Marke im Allgemeinen gut geschützt, indem wir unsere Brand Exploit Protect, Secure Email Gateway, DMARC Analyzer und Web Security Dienste nutzen.