Die Phishing-Aktivitäten im Zusammenhang mit dem Jahresverkaufszeitraum haben laut neuen Erkenntnissen von KnowBe4 Threat Labs . Das Unternehmen untersuchte 27.061 Phishing-E-Mails, die mit Black Friday in Verbindung standen, und berichtete von deutlichen Anzeichen dafür, dass Bedrohungsakteure ihre Kampagnen früher als erwartet vorbereitet hatten. Der erste signifikante Anstieg erschien am 1. November, als Black Friday-bezogene E-Mails etwa 8 % aller für die Studie gesammelten Nachrichten ausmachten. Obwohl das Niveau nach dem anfänglichen Anstieg sank, blieb es während der ersten Novemberhälfte über dem Durchschnitt zwischen 4 % und 5 % über dem Durchschnitt. Der Trend deutet auf einen getakteten Ansatz hin und nicht auf einen einzigen Aktivitätsschub. Das Muster zeigt außerdem, dass Angreifer sich auf Nutzer konzentrieren, die vor Beginn offizieller Aktionen nach frühen Rabatten suchen.
Die Forscher von KnowBe4 stellten fest, dass der Inhalt der Phishing-E-Mails vorhersehbaren Themen folgte. Viele Nachrichten stützten sich auf Versprechen großer Rabatte oder zeitkritische Angebote, die Käufer zu gefälschten Seiten bewegen sollten. Die Forscher stellten fest, dass Bedrohungsakteure versuchen, Verbraucher zu erreichen, bevor seriöse Einzelhändler große Verkäufe bewerben. Frühe Aktivitäten geben Kriminellen mehr Zeit, Vorlagen zu verfeinern, Domänen zu rotieren, Nachrichtenformate zu testen und sich an Filtersysteme anzupassen. Das Ziel ist es, sicherzustellen, dass die betrügerischen Seiten während des Höhepunkts des Online-Shoppings aktiv bleiben, wenn Opfer weniger geneigt sind, Links zu prüfen.
Frühe Aktivitäten und regionale Muster
Die Analyse zeigte, dass 84 % der Black Friday-bezogenen E-Mails eine bekannte Deal-Tracking-Seite und nicht einen bestimmten Händler nachahmen. Unter den Kampagnen, die einzelne Unternehmen gefälscht haben, trat Amazon in 52 % der Fälle auf und Costco in 13 %. Die Auswahl der Zielmarken variierte je nach Land. In Frankreich und dem Benelux-Markt begannen die Phishing-Aktivitäten etwa vom 1. bis 3. November. In den Vereinigten Staaten, Deutschland und den Niederlanden begannen die Feldzüge zwischen dem 5. und 12. November. Im Vereinigten Königreich und Südafrika gaben die E-Mails häufig an, von Amazon zu stammen. In Frankreich und der Benelux-Region war Lidl ein häufiges Ziel für Nachahmungen. In Deutschland gab sich der Großteil der retailbezogenen Phishing-Aktivitäten als IKEA aus. Diese Unterschiede spiegeln das Einkaufsverhalten und die Markenvertrautheit der Verbraucher in jeder Region wider, die Angreifer bei der Gestaltung ihrer Botschaften offenbar genau studieren.
Forscher beobachteten, dass Kriminelle zunehmend in die Qualität gefälschter Einzelhandelsseiten investieren, die in Phishing-E-Mails verknüpft sind. Die Seiten spiegeln heute oft das Layout und Branding großer Einzelhändler mit größerer Genauigkeit wider als in den Vorjahren. Viele enthalten dynamische Funktionen wie Countdown-Timer oder Kundensupport-Widgets, die legitime Funktionen nachahmen. KnowBe4 erklärte, dass neuere generative Tools es Kriminellen ermöglichen, saubere und visuell überzeugende Oberflächen zu erstellen, die den Verdacht bei hektischen Einkäufern verringern.
Gefälschte Ladenfront-Techniken und laufende Risiken
Kriminelle konzentrieren sich nicht mehr nur auf schnellen Diebstahl kleiner Zahlungen. Stattdessen zielen viele Kampagnen darauf ab, Kontozugriffe oder Zahlungsdaten zu erfassen, die langfristigen Gewinn erzielen können. Einige Seiten fordern Anmeldedaten an, die mit Händlerkonten verknüpft sind, während andere die Opfer bitten, die vollständigen Zahlungskarteninformationen einzugeben, bevor eine Fehlermeldung angezeigt wird, die behauptet, der Kauf sei nicht durchgegangen.
Die Forscher hoben auch die Rolle bezahlter Werbung hervor, um Nutzer auf diese Seiten zu lenken. Betrügerische Anzeigen auf Plattformen wie Instagram und Facebook ähneln echten Werbeaktionen und richten sich oft an Zielgruppen, die zuvor nach ähnlichen Produkten gesucht haben. Diese Methode erhöht die Wahrscheinlichkeit, dass Opfer durchklicken, ohne die Quelle zu hinterfragen. Sobald der Nutzer auf der Fake-Seite ist, sieht er ein Layout, das der legitimen Seite nahekommt, wodurch die Wahrscheinlichkeit von Inkonsistenzen verringert wird.
KnowBe4 riet Käufern, während des gesamten Verkaufszeitraums unerwünschte Links mit Vorsicht anzugehen. Einfache Kontrollen, wie die Bestätigung des Domainnamens, der direkte Besuch von Einzelhändlern und das Vermeiden ungewöhnlich hoher Rabatte, können das Risiko verringern. Käufer sollten aufmerksam bleiben, auch wenn Angebote attraktiv erscheinen, und vermeiden, Käufe auf Seiten abzuschließen, die persönliche Informationen anfordern, die normalerweise nicht erforderlich sind.