Chinesisches Betrugsnetzwerk nutzt rund 4.700 Fake-Shop-Seiten, um Kreditkartendaten zu stehlen
Ein Bedrohungsakteur namens „SilkSpecter“ nutzt Tausende gefälschte Online-Shops, um die Kreditkartendaten von Online-Käufern in den USA und Europa zu stehlen. Die Betrugskampagne startete im Oktober 2024 mit unglaublich satten Black-Friday-Rabatten. Die EclecticIQ-Sicherheitsforscherin Arda Buyukkaya, die die Kampagne entdeckt hat, gab gegenüber BleepingComputer ↗ bekannt, dass SilkSpecter zum Zeitpunkt der Veröffentlichung ihres Berichts 4.695 betrügerische Domains betrieb.
Die betrügerischen Websites geben sich als bekannte Marken wie The North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA und Gardena aus. In vielen Fällen enthalten die in der Kampagne verwendeten Domain-Namen die Zeichenfolge „Black Friday“. Die Kampagne zielt damit eindeutig auf Online-Käufer ab, die nach Rabattangeboten suchen.
SilkSpecter stiehlt Kreditkartendaten und -informationen
SilkSpecter-Websites sind gut gestaltet und in der Regel nach der imitierten Marke benannt, um auf den ersten Blick authentisch zu wirken. Ihre Websites verwenden jedoch in der Regel Top-Level-Domains wie „.shop“, „.store“, „.vip“ und „.top“, die im Allgemeinen nicht mit großen Marken oder vertrauenswürdigen E-Commerce-Websites in Verbindung gebracht werden.
Je nach Standort des Opfers nutzt die Website Google Translate, um die Sprache auf den Betrugsseiten automatisch entsprechend anzupassen.
Die Phishing-Sites integrieren Stripe, einen legitimen und vertrauenswürdigen Zahlungsabwickler, der die Legitimität der Site erhöht und ihnen gleichzeitig den Diebstahl von Kreditkarteninformationen ermöglicht.
SilkSpecter verwendet auf den Websites auch Tracking-Tools wie OpenReplay, TikTok Pixel und Meta Pixel. Diese Tools helfen ihnen, das Besucherverhalten zu überwachen und möglicherweise ihre Taktiken anzupassen, um die Effektivität der Betrugskampagne zu steigern.
Wenn Benutzer versuchen, auf diesen Websites einzukaufen, werden sie auf eine Zahlungsseite weitergeleitet, auf der sie aufgefordert werden, ihre Kredit- oder Debitkartennummer, das Ablaufdatum und den CVV-Code einzugeben. Im letzten Schritt wird auch eine Telefonnummer abgefragt.
Das Phishing-Kit stiehlt nicht nur das Geld für die Bestellung durch Missbrauch des Stripe-Dienstes, sondern sendet auch die eingegebenen Kartendaten an einen vom Angreifer kontrollierten Server.
Es sit davon auszugehen, dass die Telefonnummer gestohlen wurde, um später für Sprach- oder SMS-Phishing-Angriffe mißbraucht zu werden, die bei der Verarbeitung der Zwei-Faktor-Authentifizierungsaufforderungen (2FA) bei der Ausnutzung der Zahlungskartendaten erforderlich sind.
Aufgrund der Verwendung chinesischer IP-Adressen und ASNs, chinesischer Domain-Registrare, sprachlicher Beweise im Code der Websites und früherer Nutzung der chinesischen Software as a Service (SaaS)-Plattform namens „oemapps“ wird davon ausgegangen, dass SilkSpecter ein chinesischer Akteur ist.
BlackFriday-Käufern wird empfohlen, nur offizielle Markenwebsites zu besuchen und das Klicken auf Anzeigen, Links aus Social-Media-Beiträgen oder beworbenen Ergebnissen in der Google-Suche zu vermeiden. Ausserdem sollten Karteninhaber alle verfügbaren Schutzmaßnahmen in ihren Online-Banking-Accounts aktivieren, einschließlich der Multi-Faktor-Authentifizierung, regelmäßig Kontobewegungen überwachen und Kontoauszüge kontrollieren.
Guter Tipp, danke!