Cyberkriminelle nutzten den diesjährigen Amazon Prime Day, um das Sammeln von Zugangsdaten, Phishing-Attacken und das Nachahmen von Marken zu verstärken. Ist dies ein Vorbote für die kommende Weihnachtseinkaufssaison? 

Es ist kein Geheimnis, dass Cyberkriminelle es lieben, die Top-Internetmarken der Welt zu fälschen. Und es ist nicht verwunderlich, dass Amazon angesichts seiner Größe und Reichweite häufig in der Liste der Top 10 der am häufigsten ausgenutzten und "gephishten" Marken auftaucht. Für die "Phisher" des Massenmarktes können Marken des Massenmarktes die Wahrscheinlichkeit, ein Engagement zu bekommen, wirklich erhöhen. Wer kennt oder macht heutzutage keine Geschäfte mit Amazon? Was hat der Angreifer von diesem Engagement? Das ist einfach: einen direkten Weg zu Geld. In vielen Fällen sind die Cyberkriminellen nur auf der Suche nach Anmeldedaten für die gefälschte Marke. Es wird berichtet, dass Amazon-Anmeldedaten auf dem Schwarzmarkt etwa 30 Dollar pro einbringen. Wenn man ein paar Tausend davon als Ergebnis einer Phishing-Kampagne erhält, geht es um richtiges Geld.

Cyberkriminelle nutzen seit langem auch Feiertage, globale Ereignisse, Pandemien sowie große Werbeaktionen von Unternehmen, um ihre Geldmacherei voranzutreiben. Sie lieben es, in dem Windschatten zu gleiten, den andere schaffen. Der jüngste Amazon Prime Day am 13. und 14. Oktober dieses Jahres erwies sich als eine Phishing-Gelegenheit, die man sich nicht entgehen lassen konnte. In der Tat entdeckte Mimecast in den zwei Wochen vor dem Prime Day 197 Live-Webseiten, die Amazon.com simulierten. Nachfolgend finden Sie einige Beispiele für diese Seiten und was an ihnen verdächtig zu sein scheint.

Beachten Sie in Abbildung 1 unten die URL mit der Domain "U1k.cc" und der Subdomain "user-amazon". Die ".cc" TLD steht für Cocos (Keeling) Islands, ein australisches Territorium mit etwa 600 Einwohnern. Ich frage mich, ob Amazon dorthin liefert? Oder haben sie vielleicht ein Lager auf der Insel? Unwahrscheinlich. Die eigentliche Phishing-Seite in Abbildung 2 richtet sich aufgrund der Schrift offensichtlich an ein japanisches Publikum.

Abb. 1 gefälschte Amazon url.png

Abbildung 1 - Beispiel für eine Amazon-Simulationswebseite

gefälschtes japanisches Amazon Login.png

Abbildung 2 - Eine gefälschte Amazon-Anmeldeseite, die sich an ein japanisches Publikum richtet

Aber beachten Sie, dass der Registrar das in China ansässige Unternehmen Alibaba Cloud Computing ist. Und beachten Sie den Zeitpunkt der Registrierung war genau in der Zeit für Prime Day. Alles höchst verdächtige Faktoren, die darauf hindeuten, dass es sich nicht um eine von Amazon autorisierte Seite handelt.

Abb. 3 whois.png

Abbildung 3 - Whois-Informationen für die Domain u1K.cc

Glücklicherweise erkannten einige, aber nicht alle, Sicherheits-Engines diese Website zu diesem Zeitpunkt als bösartig. Details zum aktuellen Stand finden Sie in Abbildung 4, einem Schnappschuss von VIRUSTOTAL für diese Site.

Abb. 4 virustotal sc.png

Abbildung 4 - VIRUSTOTAL-Ergebnisse für die verdächtige Amazon Japan-Website

Natürlich ist Amazon sehr global und so sind auch die Cyberkriminellen. Würde es Sie also überraschen, dass eine Version dieses Betrugs auch auf Italiener abzielt? In dieser Version ist es sehr klar, dass der Angreifer versucht, den Prime Day auszunutzen. Sie haben sogar "Prime" in ihre Domain-Registrierung eingebaut!

fig 5 fake italy amazon url.png

Abbildung 5 - Prime Day in Italien?

Diese Seite unterscheidet sich eindeutig von der legitimen Amazon.it-Seite, die in Abbildung 6 dargestellt ist.

Abb. 6 Italien Amazon.png

Abbildung 6 - Amazons legitime Amazon.it-Webseite

Leider hatte zu diesem Zeitpunkt noch keine Engine in VIRUSTOTAL diese Seite als bösartig gekennzeichnet, wie in Abbildung 7 zu sehen ist.

Abb. 7.png

Abbildung 7 - VIRUSTOTAL-Ergebnisse für amazonprime-italia/amazon/

In der Tat, die Seite bleibt live und einsatzbereit. Und wird, wie durchaus üblich, von Wordpress gehostet. Insgesamt eine ziemlich plumpe Seite, aber niemand hat je behauptet, dass jeder Phisher schick ist. Beachten Sie, dass sie sich nicht einmal die Mühe gemacht haben, ein Zertifikat für die Website zu besorgen. Die meisten raffinierten Angreifer besorgen sich in der Regel ein Zertifikat für ihre Betrugsseite, da viele Leute darauf trainiert sind, das Schloss als Zeichen der Legitimität zu sehen (was es nicht ist).

Abb. 8 live amazin.it fake.png

Abbildung 8 - Die Live-Site amazonprime-italia.it/amazon

Und schließlich "amazon-prime.online". Auf der Seite befindet sich derzeit nichts anderes als ein Haufen HTML und JavaScript. Vielleicht wird sie für eine zukünftige Verwendung zum Stehlen von Anmeldeinformationen oder zum Ablegen von Malware geparkt?

Abb. 9 gefälschte amazon url.png

Abbildung 9 - Amazon-prime.online URL

Und nur eine Engine in VIRUSTOTAL hat diese URL als bösartig gekennzeichnet.

Abb. 10 VIRUSTOTAL-Ergebnisse für Amazon-prime.online.png

Abbildung 10 - VIRUSTOTAL-Ergebnisse für Amazon-prime.online

Ich würde Ihnen gerne sagen, dass diese Art von Angriffen ungewöhnlich ist, aber das kann ich nicht. Ein weit verbreiteter Irrglaube ist, dass diese Art von Kampagnen ausschließlich auf globale Internet-Marken wie Amazon ausgerichtet sind. Auch das ist nicht wahr. Wenn Ihr Unternehmen eine Website hat, insbesondere eine mit Login, Kunden und Partner hat und etwas von Wert produziert oder verkauft, sind Sie sehr wahrscheinlich im Visier dieser Art von Cyberkriminellen. Tatsächlich wird sogar die Marke Mimecast regelmäßig mit dieser Art von Angriffen angegriffen . Glücklicherweise trinken wir unseren eigenen "Champagner" und daher ist unsere Marke im Allgemeinen gut geschützt, indem wir unsere Brand Exploit Protect, Secure Email Gateway, DMARC Analyzer und Web Security Dienste nutzen.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

It’s Marketing’s Job to Keep Brand-Loyal Customers Safe Online

Die Markensicherheitsstrategien von Marketingverantwortlichen sollten...

Die Markensicherheitsstrategien von Marketingverantwortlichen sollten erweitert werden, um ... Read More >

Alex Bender

by Alex Bender

Senior Vice President of Global Marketing

Verfasst am 7. Oktober 2020

BIMI kann die Markensicherheit erhöhen - und die Öffnungsrate von E-Mails

Aufkommende Standard-Spezifikation bindet BH...

Aufkommende Standard-Spezifikation bindet Markenlogos an legitima... Read More >

Debra Donston-Miller

von Debra Donston-Miller

Mitwirkender Verfasser

Verfasst am 11. September 2020

AI vs. AI: Now, AI is Required for Your Business’ Cyber Resilience

Cyberkriminelle nutzen KI, um ihre Ransom...

Cybercriminals are using AI to boost ransomware, email phish… Read More >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Posted Oct 14, 2020