Die Black-Friday-Saison ist nicht nur eine Zeit für Schnäppchenjäger, sondern auch für Cyberkriminelle. Eine neue Untersuchung des Threat Research Teams von EclecticIQ enthüllt eine gezielte Phishing-Kampagne, die vor allem E-Commerce-Kunden in Europa und den USA betrifft. Hinter diesen Aktivitäten steht mit hoher Wahrscheinlichkeit die chinesische Hackergruppe „SilkSpecter“, die sich auf den Diebstahl finanzieller und persönlicher Daten spezialisiert hat.
Black Friday als idealer Angriffspunkt
Die Angriffe nutzen die massive Zunahme von Online-Einkäufen während der Black-Friday-Wochen gezielt aus. Unter Vorspiegelung großzügiger Rabatte – oft mit scheinbar unschlagbaren Angeboten von bis zu 80 % Nachlass – locken die Täter Opfer auf täuschend echte Kopien bekannter E-Commerce-Websites. Auf diesen Phishing-Seiten werden sensible Informationen wie Kartendaten (CHD), Authentifizierungsdaten (SAD) und Persönliche Identifikationsdaten (PII) abgegriffen.
Methoden der Angreifer
Die Hacker setzen auf eine Mischung aus technischer Raffinesse und sozialer Manipulation. Durch die Nutzung von Google Translate APIs wird der Inhalt der Phishing-Seiten dynamisch an die Sprache des Opfers angepasst, basierend auf der IP-Adresse. Dies vermittelt eine größere Authentizität und erhöht die Erfolgsquote der Angriffe.
Besonders perfide ist die Integration der legitimen Zahlungsplattform Stripe. So werden echte Transaktionen abgewickelt, während die eingegebenen Zahlungs- und Personendaten unbemerkt an einen Server der Angreifer übermittelt werden. Die Phishing-Seiten sammeln zudem umfangreiche Browser-Metadaten, darunter IP-Adressen, Standortdaten und Betriebssystemdetails, um die Angriffe zu optimieren.
Die Rolle von „oemapps“ und anderen chinesischen Diensten
Die Infrastruktur hinter der SilkSpecter-Kampagne basiert auf der chinesischen SaaS-Plattform „oemapps“. Dieses Werkzeug ermöglicht es den Angreifern, binnen kurzer Zeit hochprofessionelle Phishing-Seiten zu erstellen. Die Domains der Seiten – oft mit Endungen wie .top, .shop, .store und .vip – imitieren gezielt bekannte Handelsmarken, um das Vertrauen der Nutzer zu gewinnen.
Zudem werden häufig chinesische Domain-Registrierungsdienste wie West263 International Limited und Alibaba Cloud genutzt, die durch ihre günstigen Preise und geringe Sicherheitsprüfungen bei Cyberkriminellen beliebt sind.
Technische Details der Angriffe
Ein zentrales Merkmal der Phishing-Kampagne ist der Einsatz von „trusttollsvg“, einem gefälschten Icon, das die Seriosität der Seiten unterstreichen soll. Ein weiterer Indikator ist der URL-Pfad „/homeapi/collect“, über den die Hacker Echtzeitdaten über die Klicks und Aktionen der Opfer sammeln. Die Seiten nutzen außerdem Tracking-Tools wie TikTok Pixel, Meta Pixel und OpenReplay, um das Verhalten der Opfer zu überwachen und die Angriffe laufend zu verbessern.
Eine Analyse der Server-Infrastruktur ergab, dass die Phishing-Seiten Daten an eine Domain namens „longnr[.]com“ übermitteln, die ebenfalls von den Angreifern kontrolliert wird. Diese Technik ermöglicht es den Hackern, Zahlungsdaten abzufangen, während die Transaktion scheinbar ordnungsgemäß abgewickelt wird.
Erweiterte Angriffsstrategien
Neben dem Diebstahl von Zahlungs- und Personendaten könnten die Hacker auch Telefonnummern aus den Phishing-Formularen nutzen, um weiterführende Angriffe wie Vishing (Voice Phishing) oder Smishing (SMS Phishing) zu starten. In diesen Szenarien könnten Opfer dazu gebracht werden, zusätzliche Informationen preiszugeben, darunter 2FA-Codes oder Zugangsdaten zu Online-Banking-Konten.
Attribution: Die Handschrift von SilkSpecter
Die Zuordnung zu SilkSpecter stützt sich auf mehrere Indizien:
- Sprache: Die HTML- und JavaScript-Codes der Phishing-Seiten enthalten zahlreiche Kommentare auf Mandarin. Zudem tragen die Seiten das Sprach-Tag „zh-CN“, was auf chinesische Entwickler hinweist.
- Infrastruktur: Die meisten Domains werden über chinesische Anbieter registriert, und die Inhalte der Phishing-Seiten werden über Content-Delivery-Netzwerke (CDN) aus China ausgeliefert.
- Verknüpfte IP-Adressen: Analysten identifizierten über 89 IP-Adressen und mehr als 4.000 Domains, die mit SilkSpecter in Verbindung stehen. Diese Infrastruktur weist eindeutige Verbindungen zu chinesischen Unternehmen auf.
Empfehlungen für Verbraucher
Um sich vor diesen Angriffen zu schützen, sollten Verbraucher besonders während der Black-Friday-Wochen wachsam sein:
- Überprüfen Sie URLs: Sehen Sie genau hin, ob die Adresse einer Website korrekt ist, bevor Sie persönliche Daten eingeben. Achten Sie auf Tippfehler oder ungewöhnliche Domain-Endungen.
- Nutzen Sie virtuelle Kreditkarten: Diese bieten einen zusätzlichen Schutz, da sie nur für einzelne Transaktionen genutzt werden können.
- Aktivieren Sie Sicherheitseinstellungen: Zwei-Faktor-Authentifizierung und Limitierungen für Online-Zahlungen erhöhen die Sicherheit.
- Vermeiden Sie Links aus unbekannten Quellen: Klicken Sie nicht auf Rabattangebote, die Ihnen per E-Mail oder über soziale Medien zugesandt werden, ohne die Quelle zu prüfen.
Schlussfolgerung
Die Angriffe von SilkSpecter zeigen, wie professionell Cyberkriminalität inzwischen organisiert ist. Die Kombination aus technischer Finesse und gezielter Täuschung macht es schwierig, die Bedrohung zu erkennen. Verbraucher sollten sich der Risiken bewusst sein und proaktiv Sicherheitsmaßnahmen ergreifen, um sich vor finanziellen Verlusten und Datenmissbrauch zu schützen.