Cybersicherheitsexperten von EclecticIQ haben eine umfangreiche Phishing-Kampagne aufgedeckt, die von der chinesischen Hackergruppe SilkSpecter durchgeführt wird. Die Angreifer haben über 4.695 täuschend echt aussehende Online-Shops erstellt, die gezielt Bankkartendaten von Nutzern aus den USA und Europa stehlen sollen. Die Kampagne wurde strategisch im Oktober 2024 gestartet, um den Vorverkauf zum Black Friday auszunutzen.
Hochentwickelte Täuschungstechniken der Cyberkriminellen
Die gefälschten Webshops imitieren bekannte Marken wie The North Face, IKEA und Lidl mit außergewöhnlicher Detailtreue. Die Angreifer setzen fortschrittliche Techniken ein, darunter die Integration legitimer Zahlungsschnittstellen wie Stripe sowie automatische Übersetzungsfunktionen via Google Translate, die sich der Geolokation des Besuchers anpassen. Diese Maßnahmen erhöhen die Glaubwürdigkeit der betrügerischen Shops erheblich.
Technische Indikatoren der Phishing-Infrastruktur
Die Analyse zeigt charakteristische Merkmale der gefälschten Shops: Die Verwendung verdächtiger Domain-Endungen wie .shop, .store, .vip und .top, die bei seriösen Marken unüblich sind. Besonders bemerkenswert ist der Einsatz von Tracking-Tools wie OpenReplay, TikTok Pixel und Meta Pixel, die es den Angreifern ermöglichen, das Nutzerverhalten zu analysieren und ihre Angriffe zu optimieren.
Raffinierte Methoden des Datendiebstahls
Der Betrug erfolgt über gefälschte Zahlungsseiten, die beim Checkout-Prozess vollständige Kreditkartendaten und Telefonnummern abgreifen. Die gesammelten Telefonnummern werden für weiterführende Angriffe genutzt, insbesondere zur Umgehung von Zwei-Faktor-Authentifizierung. Sämtliche erbeuteten Daten werden an Server übermittelt, die unter der Kontrolle der Hackergruppe stehen.
Attribution und technische Beweise
Die forensische Analyse der technischen Infrastruktur weist eindeutig auf den chinesischen Ursprung der Gruppe SilkSpecter hin. Kennzeichnend sind die Nutzung chinesischer IP-Adressen und ASNs, die Verwendung lokaler Domain-Registrare sowie spezifische linguistische Marker im Code. Auch die frühere Nutzung der chinesischen SaaS-Plattform oemapps untermauert diese Attribution.
Diese hochprofessionelle Phishing-Kampagne verdeutlicht die zunehmende Sophistikation von Cyberangriffen im E-Commerce-Bereich. Zum Schutz vor solchen Bedrohungen wird Nutzern dringend empfohlen, die Echtheit von Online-Shops vor dem Kauf zu verifizieren, verdächtig günstige Angebote kritisch zu hinterfragen und sichere Zahlungsmethoden zu verwenden. Besondere Vorsicht ist während großer Verkaufsaktionen geboten, da Cyberkriminelle diese Zeiträume gezielt für ihre Angriffe nutzen.
