Betrugsaktion im Rahmen einer britischen Verbraucherumfrage gibt sich als bekannte Einzelhandelsmarken aus
16. April 2026
Von Samantha Clarke, Archa Archa, Hiwot Mendahun und dem Mimecast Threat Research Team
- In den letzten 90 Tagen gab es eine Phishing-Kampagne mit über 42.000 Angriffen, die sich gegen britische Verbraucher richtete und bei der sich die Betrüger als „Boots“ und „Superdrug“ ausgaben.
- Das Versprechen von Gratisgeschenken oder Prämien als Gegenleistung für die Teilnahme an gefälschten Umfragen zur Kundenzufriedenheit
- Erhebung umfangreicher personenbezogener Daten und Zahlungskartendaten im Zusammenhang mit einer betrügerischen Liefergebühr in Höhe von 2,95 £ für „ "“"
- Phishing-Infrastruktur, die auf AWS-S3-Buckets gehostet wird und kompromittierte Domains als Landingpages nutzt
- Kopien legitimer Markenwebsites stärken das Vertrauen der Opfer und erhöhen die Rate der Übermittlung von Zugangsdaten
Kampagnenübersicht
Das Mimecast Threat Research-Team hat eine Reihe von Phishing-Kampagnen identifiziert, die sich gegen Verbraucher im Vereinigten Königreich richten und bei denen sich die Betrüger als bekannte Einzelhandelsmarken und Dienstleister ausgeben. Die Kampagnen nutzen Social-Engineering-Taktiken, bei denen kostenlose Geschenke, exklusive Prämien oder dringende Kontoaktionen versprochen werden, um die Empfänger dazu zu verleiten, persönliche Daten und Zahlungsinformationen preiszugeben.
Im Gegensatz zu herkömmlichen Phishing-Kampagnen, die sich stark auf den Diebstahl von Zugangsdaten stützen, kombinieren diese Operationen mehrere Phasen der Datenerfassung – zunächst werden persönliche Daten über gefälschte Umfragen gesammelt, anschließend werden Zahlungsinformationen unter dem Vorwand geringfügiger Versand- oder Bearbeitungsgebühren erfasst. Die Versandgebühr von 2,95 £ für „ "“" ist ein sorgfältig kalkulierter Betrag: niedrig genug, um keinen unmittelbaren Verdacht zu wecken, und dennoch hoch genug, um gestohlene Zahlungskartendaten für eine spätere betrügerische Nutzung zu validieren.
Angriffsablauf und technische Infrastruktur
Die Kampagnen folgen einem einheitlichen, mehrstufigen Angriffsmuster:
- Erster Kontakt: Die Empfänger erhalten E-Mails mit dringenden oder verlockenden Betreffzeilen, die sich auf Kontoaktualisierungen, Lieferprobleme oder exklusive Prämien beziehen
- Bereitstellung der Landing-Page: Die URLs leiten die Opfer zunächst auf Phishing-Seiten weiter, die ursprünglich auf AWS-S3-Buckets gehostet wurden, bevor sie auf kompromittierte oder vom Angreifer kontrollierte Domains umgeleitet werden
- Markenimitation: Die Landingpages zeigen nahezu pixelgenaue Nachbildungen legitimer Markenwebsites, einschließlich authentischer Logos, Gestaltungselemente und Layouts
- Teilnahme an Umfragen: Die Opfer füllen gefälschte Umfragen zur Kundenzufriedenheit aus, in denen sie um ihre Meinung zu Produkten oder Dienstleistungen gebeten werden
- Auswahl der Prämie: Nach Abschluss der Umfrage wählen die Teilnehmer aus mehreren Prämienoptionen unter "free" (in der Regel Hautpflegeprodukte, Geschenkgutscheine oder Werbeartikel)
- Erhebung personenbezogener Daten: Im ersten Formular werden der vollständige Name, die Anschrift, die Telefonnummer und die E-Mail-Adresse abgefragt
- Erfassung von Zahlungsdaten: Im zweiten Formular werden die vollständigen Zahlungskartendaten (Kartennummer, Gültigkeitsdatum, CVV) für die Versandgebühr von 2,95 £ für „ "“ erfasst."
- Legitime Weiterleitung: Nach der Übermittlung der Daten werden die Opfer auf die echte Website der Marke weitergeleitet, wodurch der Eindruck einer legitimen Transaktion erweckt wird
Fallstudie: Betrugsfall im Zusammenhang mit einer Umfrage von Boots UK
Die Empfänger der „Boots“-Phishing-Kampagne erhalten eine von zwei Hauptarten von E-Mails, die darauf abzielen, den Anschein von Seriosität zu erwecken und die Empfänger zum Klicken zu verleiten.
- Benachrichtigung über ein Geschenk nach einer Umfrage: In E-Mails wird behauptet, der Empfänger habe kürzlich an einer Umfrage zur Kundenzufriedenheit teilgenommen und sei als Dankeschön für seine Teilnahme für ein kostenloses Geschenk ausgewählt worden.
- Anfrage zur Umfrage nach dem Kauf: In den E-Mails wird auf einen kürzlich bei Boots getätigten Kauf Bezug genommen und der Empfänger gebeten, an einer kurzen Umfrage zur Kundenzufriedenheit teilzunehmen, wobei ihm für die Teilnahme ein Geschenk in Aussicht gestellt wird.
Beide Ansätze nutzen die üblichen Interaktionsmuster von Privatkunden im Einzelhandel. Verbraucher sind daran gewöhnt, nach dem Kauf Feedback-Anfragen und Mitteilungen zu Treueprogrammen von Einzelhändlern zu erhalten, weshalb diese Anreize besonders wirksam sind. Das Versprechen eines Gratisgeschenks schafft einen Anreiz zur Interaktion, während der Verweis auf kürzlich erfolgte Aktivitäten (unabhängig davon, ob diese erfunden sind oder auf Informationen aus Datenpannen beruhen) der Nachricht Glaubwürdigkeit verleiht.
Die Analyse der Betrugsaktion unter dem Deckmantel von „Boots“ zeigt eine ausgeklügelte technische Umsetzung. Die Phishing-Seite, die ursprünglich aus einem AWS-S3-Bucket bereitgestellt wurde, leitet auf eine kompromittierte Domain weiter.
Die Landingpage präsentiert sich als 1,4 MB großer Nachbau der echten Boots.com-Startseite und enthält 19.549 Zeilen HTML-Code, die das Erscheinungsbild der authentischen Website nachbilden.
Das wichtigste schädliche Element ist ein modales Overlay, das als OneTrust-Banner zur Einwilligung in die Verwendung von Cookies getarnt ist. Ein seriöser Datenschutzdialog, der britischen Internetnutzern vertraut ist. Im Modalfenster wird Folgendes angezeigt: "Sie wurden für die Teilnahme an unserer Umfrage zur Kundenzufriedenheit ausgewählt. Wir wissen Ihr Feedback sehr zu schätzen, und als Dankeschön haben wir ein besonderes Geschenk für Sie: ein Set mit fünf unserer meistverkauften Hautpflegeprodukte von unserem Sponsor Skinny Tan."
Dieser Ansatz nutzt die Vertrautheit der Nutzer mit Datenschutzhinweisen und schafft gleichzeitig ein Gefühl der Dringlichkeit hinsichtlich exklusiver Prämien. Die Schaltfläche „Start survey“ (Umfrage starten) unter" auf der Seite „ "“ – deren Design identisch mit dem einer legitimen Einwilligungsschaltfläche von Boots ist – sendet eine POST-Anfrage an das PHP-Skript, das den Vorgang zum Abgreifen von Anmeldedaten einleitet.
Der Nutzer wird durch einige Fragen geführt, die einer Umfrage nachempfunden sind, und anschließend auf eine Seite weitergeleitet, auf der er aus einer Auswahl an Gratisgeschenken wählen kann.
Sobald ein Geschenk ausgewählt wurde, werden die Kunden zu einem Formular weitergeleitet, in dem persönliche Daten wie Name, E-Mail-Adresse bzw. Postanschrift und Geburtsdatum erfasst werden.
Auf der letzten Seite wird der Nutzer dann um eine geringe Zahlung in Höhe von 2,95 £ für den Versand des Geschenks gebeten. Sobald die Zahlung abgeschlossen ist, wird der Nutzer auf die echte Website von Boots weitergeleitet.
Kampagnenvarianten und geografische Ausweitung
Zwar richtet sich der Schwerpunkt in erster Linie an Verbraucher im Vereinigten Königreich, doch deuten die Erkenntnisse darauf hin, dass die Angreifer ihre Aktivitäten ausweiten und Opfer auf internationaler Ebene ins Visier nehmen:
Kampagnen zur Fernsehgebührenabrechnung nutzen die für das Vereinigte Königreich spezifischen gesetzlichen Vorschriften zum Fernsehbesitz aus und erzeugen so ein Gefühl der Dringlichkeit hinsichtlich der Aktualisierung von Rechnungsdaten und der Überprüfung von Zahlungsangaben. Das Lockangebot fällt zeitlich mit den tatsächlichen Verlängerungsfristen für die Fernsehgebühren zusammen, was die Anfälligkeit der Opfer erhöht.
EVRi-Lieferbetrugsmaschen nutzen die nach der Pandemie entstandenen Erwartungen hinsichtlich häufiger Paketzustellungen und Benachrichtigungen über verpasste Zustellungen aus. Im Rahmen dieser Kampagnen werden personenbezogene Daten und Zahlungsangaben angefordert, um "nicht existierende Lieferungen" neu zu terminieren.
Die internationale Ausweitung umfasst Kampagnen, bei denen sich die Angreifer als Costco (mit mehreren Zielländern) und Shoppers Drug Mart (mit Kanada als Ziel) ausgeben, was entweder auf eine geografische Ausweitung durch denselben Angreifer oder auf die Wiederverwendung von Toolkits durch verbundene Gruppen hindeutet.
Indikatoren für eine Kompromittierung (IOCs)
Kampagne von Boots UK
Beispiele für Betreffzeilen:
- Stiefel: Eine Überraschung im Inneren – Teilen Sie uns Ihre Meinung mit! Nr. 748893
- Teilen Sie uns Ihre Meinung mit unter & und profitieren Sie von den Boots-Prämien!
- Ihre Meinung ist uns wichtig – nehmen Sie noch heute an der Boots-Umfrage teil! Nr. 314121
- Boots Rewards: Holen Sie sich noch heute Ihr Geschenk im Rahmen der „ & “-Aktion! Nr. 225678
- Boots™ Nehmen Sie an unserer Umfrage teil und erhalten Sie ein Dankeschön-Geschenk! Nr.: 210751
Phishing-URLs:
- hxxps://s3.amazonaws[.]com/customerinformationgateway/cvgr.html
- hxxps://s3.amazonaws[.]com/customerfreeproduct/bootssurveyonline.html
- hxxps://matakesiri.s3.dualstack.us-east-1.amazonaws[.]com/5.html
- hxxps://s3.amazonaws[.]com/accessgateway/jhadsuc.html
- hxxps://s3.amazonaws[.]com/bahsduhyc/getyourfreebootsgift.html
- hxxps://s3.amazonaws[.]com/recivefreegift/freesurvey.html
- hxxps://s3.amazonaws[.]com/littlescruff/8.html
Domain der Landingpage:
- bartonsurveying[.]com
Superdrug-Kampagne
Beispiele für Betreffzeilen:
- Füllen Sie unsere Umfrage aus und sichern Sie sich Superdrug-Prämien
- Geschenk-Tipp! Verpassen Sie nicht Ihre kostenlose Prämie bei Superdrug
- Teilen Sie uns Ihre Meinung mit und erhalten Sie tolle Prämien von Superdrug
- Teilen Sie Ihre Meinung mit unter & und sichern Sie sich exklusive Superdrug-Vorteile!
- Ihre Meinung zählt | Lassen Sie sich von Superdrug belohnen
- Ihr Superdrug-Geschenk wartet auf Sie – Holen Sie es sich jetzt ab: Ref. 66630-7691
Phishing-URLs:
- hxxps://s3.amazonaws[.]com/newsmachinet/1.html
- hxxps://andiandilon.s3.dualstack.us-east-1.amazonaws[.]com/sdrug.html
- hxxps://s3.amazonaws[.]com/heilbronrose/1.html
- hxxps://s3.amazonaws[.]com/heilbronrose/6.html
- hxxps://s3.amazonaws[.]com/deltine2002y/9.html
Ziele
Geografischer Schwerpunkt: Vorwiegend das Vereinigte Königreich; Ausweitung auf Kanada und globale Märkte
Branchenbereich: In allen Branchen
Empfehlungen
Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen
- Informieren Sie die Mitarbeiter über die besonderen Merkmale dieser Kampagne
- Schulen Sie Ihre Mitarbeiter darin, unerwartete Aufgabenzuweisungen über separate Kommunikationskanäle zu überprüfen, bevor sie auf Links klicken
- Betonen Sie die Bedeutung der Authentifizierungsüberprüfung: Benutzer sollten vor der Eingabe ihrer Anmeldedaten stets die Adressleiste überprüfen – legitime Microsoft-Anmeldeseiten verwenden die Domänen „login.microsoftonline.com“ oder „login.microsoft.com“, nicht Varianten von „powerappsportals.com“.
Proaktive Bedrohungssuche
- Durchsuchen Sie die E-Mail-Empfangsprotokolle anhand der vom IOC aufgeführten
Langfristige Überlegungen
Unternehmen sollten sich bewusst sein, dass Betrugsaktionen im Zusammenhang mit Umfragen grundlegende psychologische Mechanismen wie das Prinzip der Gegenseitigkeit und zeitlich begrenzte Angebote ausnutzen. Da diese Kampagnen hinsichtlich der Nachahmung von Marken und der technischen Umsetzung immer ausgefeilter werden, müssen sich die Erkennungsstrategien über herkömmliche Indikatoren hinaus weiterentwickeln und Verhaltensanalysen sowie eine kontextbezogene Bewertung von Umfrage- und Prämienangeboten umfassen, die per E-Mail eingehen.
Behalten Sie Ihren Vorsprung im Bereich der Bedrohungsanalyse
Schließen Sie sich Tausenden von Sicherheitsexperten an, die sich auf unsere sorgfältig zusammengestellten Warnmeldungen, Expertenanalysen und IOCs zu Kampagnen verlassen, um sich gegen die neuesten Cyberbedrohungen zu schützen.
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates zu unseren Benachrichtigungen zu Bedrohungsinformationen angemeldet haben.
Wir bleiben in Kontakt!