USAmeriBank

Groß angelegte Phishing-Kampagne stiehlt Online-Banking-Zugangsdaten von Kunden der Sparkassen und Volksbanken

Sicherheitsforscher von Proofpoint haben eine Zunahme von Phishing-Kampagnen festgestellt, die darauf abzielen, Zugangsdaten deutscher Bankkunden zu stehlen. Seit Ende August 2021 konnten die unsere Experten mehrere groß angelegte Kampagnen beobachten, bei denen gefälschte Webseiten (präparierte Landingpages) von Cyberkriminellen genutzt werden, um große deutsche Banken zu imitieren, insbesondere (aber nicht nur) Volksbanken und Sparkassen. Die kriminellen Aktivitäten dauern noch immer an und gefährden weiterhin Hunderte von Unternehmen.

Die Phishing-Mails zielen auf verschiedene Branchen ab, besonders auf deutsche Unternehmen und Mitarbeiter ausländischer Organisationen mit Sitz in Deutschland. Jede Kampagne umfasst Zehntausende von E-Mails, durch die Hunderte von Unternehmen gefährdet sind.

Der Inhalt der Phishing-Mails von (vermeintlich) Sparkassen und Volksbanken bezieht sich auf Informationen zur Kontoverwaltung. Die Mails enthalten ferner Links oder QR-Codes, die das potenzielle Opfer auf eine mit Geo-Fencing präparierte Webseite zum Abfangen von Zugangsdaten leiten. Bei Geo-Fencing handelt es sich um eine Technik, mit deren Hilfe die Schadsoftware anhand der IP-Adresse des Computers feststellt, in welchem Land dieser in Betrieb ist. So können die kriminellen Hacker ziemlich genau definieren, in welchen Ländern die Malware aktiviert wird und wo nicht.

Zu den Informationen, auf die es die Cyberkriminellen abgesehen haben, gehören Daten zur jeweiligen Niederlassung der Bank, der Benutzername sowie die PIN bzw. das Passwort.

Screenshot einer Sparkassen-Phishing-MailScreenshot einer Volksbank-Phishing-Mail

Abbildung 1: Beispiele für eine E-Mail mit QR-Code (links) und eine mit Link zu einer gefälschten Website (rechts).

Die Hintermänner der Kampagne haben verschiedene Techniken für Umleitungen von Web-Adressen verwendet, um die tatsächlichen, gefährlichen Links zu verschleiern. In mehreren der beobachteten Kampagnen nutzte die Kriminellen kompromittierte Wordpress-Seiten, um Benutzer auf Phishing-Landingpages umzuleiten. Der Missbrauch von Wordpress-Plugins und Websites, auf denen Wordpress-Software läuft, ist eine gängige Technik, mit der kriminelle Hacker gefährliche Links im Falle von Phishing- und Malware-Angriffe verbreiten. Darüber hinaus beobachteten die Sicherheitsforscher, dass für die Weiterleitung zu den Phishing-Seiten sowohl URLs genutzt wurden, die mittels Googles Web-Management-Service Feedburner erstellt wurden, als auch QR-Codes zum Einsatz kamen.

Die Cyberkriminellen nutzen Geo-Fencing-Techniken, um sicherzustellen, dass nur Nutzer in Deutschland auf die Phishing-Seite umgeleitet werden. Proofpoint geht mit hoher Wahrscheinlichkeit davon aus, dass die Hintermänner mit Hilfe der IP-Adresse des Rechners des potenziellen Opfers eine Ermittlung des Standorts durchführen. Befindet sich der Benutzer nicht in Deutschland, wird er zu einem Klon einer Website weitergeleitet, die vorgibt, Touristeninformationen über den Rheinturm in Düsseldorf zu liefern. Befindet sich der Nutzer jedoch in Deutschland, wird er auf eine Webseite weitergeleitet, die eine legitime Bankenwebseite vortäuscht.

Screenshot einer gefälschten Volksbank-Website

Screenshot einer gefälschten Sparkassen-Website

Abbildung 2: Von Cyberkriminellen gehostete Seiten, die legitime Bankwebseiten vortäuschen.

Der Benutzer wird aufgefordert, den Standort seiner Bankfiliale auszuwählen und auf „Login“ zu klicken, um so auf die Seite zur Erfassung der Zugangsdaten für das Online-Banking zu gelangen, die die legitime Bankwebsite vortäuscht.

Screenshot einer gefälschten Volksbank-Login-SeiteScreenshot einer gefälschten Sparkassen-Login-Seite

Abbildung 3: Von Cyberkriminellen gehostete Webseiten zur Erfassung der Zugangsdaten für das Online-Banking.

Die Cyberkriminellen hosten diese Seiten auf ihrer eigenen, von ihnen selbst kontrollierten Infrastruktur und verwenden dabei Domain-Namen, die denen der imitierten Webseiten ähneln. So beginnen beispielsweise die Phishing-URLs für Sparkassen-Zugangsdaten häufig mit „spk-", während die Volksbank-Imitate mit „vr-" beginnen. Im Folgenden finden Sie ein Beispiel für die von den Cyberkriminellen verwendeten Domains:

  • vr-mailormular[.]com/Q20EBD6QLJ
  • vr-umstellungssystem-de[.]com/FLBSEKZ9S3
  • spk-security-spk[.]com/P84OZ3OIS2
  • spk-systemerneuerung-spk[.]com/CJ4F6UFR0T

Typischerweise verwenden die kriminellen Akteure den Domain-Registrar REG.RU, wobei die Domains über die AliCloud (Germany) GmbH gehostet werden. Die ersten Domains, die mit dieser Aktivität in Verbindung gebracht werden, erschienen Ende August 2021. Die Täter registrieren ständig neue Domains in der identifizierten URL-Struktur und die Kampagnen laufen weiter.

Proofpoint konnte bislang nicht herausfinden, welche Hackergruppe hinter diesen Kampagnen steckt. Die Registrierungsinformationen, die mit mehreren Domains verbunden sind und die bei einigen dieser Aktivitäten festgestellt werden konnten, stehen jedoch in Verbindung mit über 800 betrügerischen Websites, von denen die meisten Banken oder Finanzdienstleister imitieren. Die Domänenregistrierung deutet darauf hin, dass sich die Täter Anfang des Jahres auf Nutzer spanischer Banken konzentriert hatten.

Cyberkriminelle, die mit dem Diebstahl von Zugangsdaten für das Online-Banking und betrügerischen Finanzaktivitäten in Verbindung gebracht werden, neigen dazu, opportunistisch vorzugehen und eine große Anzahl von Opfern gleichzeitig zu attackieren. Dabei werden massenweise E-Mails verschickt, in der Hoffnung, dass einige der Zielpersonen auf den Betrug hereinfallen.

Fazit

Die Bedrohungen von heute zielen auf Menschen ab, nicht auf die technische Infrastruktur. Aus diesem Grund müssen Sie bei der Cybersicherheit einen auf den Menschen ausgerichteten Ansatz verfolgen. Dazu gehört eine Transparenz auf Benutzerebene hinsichtlich Schwachstellen, Angriffen und Berechtigungen sowie maßgeschneiderte Kontrollen, die das individuelle Benutzerrisiko berücksichtigen.

Um die Gefahr zu verringern, auf diese Betrugsmasche hereinzufallen, empfiehlt Proofpoint:

  • Schulen Sie Anwender darin, gefährliche E-Mails zu erkennen und zu melden. Regelmäßiges Cybersicherheits-Training und simulierte Phishing-Angriffe können viele Attacken verhindern und dabei helfen, besonders gefährdete Personen zu identifizieren. Die besten Angriffssimulationen imitieren reale Angriffstechniken. Suchen Sie nach Lösungen, die sich an realen Angriffstrends und den neuesten Erkenntnissen über Bedrohungen orientieren.
  • Gleichzeitig sollten Sie dennoch davon ausgehen, dass die Benutzer irgendwann auf eine der gefährlichen E-Mails bzw. deren Inhalt klicken werden. Angreifer werden immer neue Wege finden, menschliche Schwächen auszunutzen.
  • Finden Sie eine E-Mail-Security-Lösung, die gefährliche E-Mails, die auf Mitarbeiter abzielen, erkennt und blockiert, bevor sie den Posteingang des Empfängers erreichen.
  • Investieren Sie in eine Lösung, die das gesamte Spektrum an E-Mail-Bedrohungen abdeckt, nicht nur Bedrohungen, die bereits Schadcode enthalten. Einige Bedrohungen, wie z. B. BEC (Business Email Compromise, auch Chef-Masche genannt) und andere Formen des E-Mail-Betrugs, sind mit herkömmlichen Sicherheitstools nur schwer zu erkennen.
  • Ihre Lösung sollte sowohl externe als auch interne E-Mails analysieren, denn Angreifer können kompromittierte Konten verwenden, um Benutzer innerhalb desselben Unternehmens auszutricksen. Web-Isolierung kann ein wichtiger Schutz für unbekannte und gefährliche URLs sein.