Cyberbetrüger phishten Einzelhandelsmitarbeiter, um Geschenkkarten einzulösen

Das FBI hat eine Mitteilung an die Privatwirtschaft herausgegeben, in der Einzelhändler davor gewarnt werden, dass Cyberkriminelle Mitarbeiter dazu verleiten, Zugang zu Geschenkkartengeneratoren zu erhalten und so finanziellen Schaden anzurichten.

Seit Januar 2023 hat eine Gruppe namens STORM-0539, auch bekannt als Atlas Lion, Einzelhandelsgeschäfte in den gesamten USA ins Visier genommen und dabei Phishing- und Smishing-Tricks (SMS-Phishing) angewandt, um Zugang zu Geschenkkartenabteilungen zu erhalten.

Die Gruppe ist darauf spezialisiert, sich unbefugten Zugang zu Mitarbeiterkonten und Unternehmenssystemen zu verschaffen.

"Sobald sie sich Zugang verschafft hatten, nutzten die STORM-0539-Akteure Phishing-Kampagnen, um andere Mitarbeiter anzusprechen, den Netzwerkzugang zu erhöhen und die Geschenkkartenabteilung anzusprechen, um betrügerische Geschenkkarten zu erstellen", heißt es in der Mitteilung.

Ein vollwertiger Einsatz

Die Täter verwenden ein ausgeklügeltes Phishing-Kit, mit dem sie die Multi-Faktor-Authentifizierung umgehen können. Anschließend führen sie eine Erkundung des Netzwerks durch, um den Geschäftsprozess für Geschenkkarten zu identifizieren und dann auf die Mitarbeiterkonten zuzugreifen, die dieses spezielle Portfolio abdecken.

Sobald die Angreifer im Netzwerk sind, suchen sie nach Secure Shell (SSH)-Passwörtern und -Schlüsseln sowie nach den Anmeldedaten der Mitarbeiter in der Geschenkkartenabteilung.

Nachdem sie sich Zugang zur Zielabteilung verschafft haben, erstellt die Gruppe mithilfe der kompromittierten Mitarbeiterkonten völlig neue Geschenkkarten und löst dann den mit diesen Karten verbundenen Wert ein.

"In einem Fall entdeckte ein Unternehmen die betrügerischen Geschenkkartenaktivitäten von STORM-0539 in seinem System und leitete Änderungen ein, um die Erstellung betrügerischer Geschenkkarten zu verhindern", heißt es in der Mitteilung. "Die STORM-0539-Akteure setzten ihre Smishing-Angriffe fort und verschafften sich erneut Zugang zu den Systemen des Unternehmens. Dann änderten sie ihre Taktik, um nicht eingelöste Geschenkkarten ausfindig zu machen, und änderten die zugehörigen E-Mail-Adressen in solche, die von STORM-0539-Akteuren kontrolliert wurden, um die Geschenkkarten einzulösen.

Wenn möglich, nutzen die Hacker ihren unbefugten Zugang, um Mitarbeiterdaten zu stehlen, einschließlich Namen, Benutzernamen und Telefonnummern, die von den Tätern für weitere Angriffe genutzt oder zu finanziellen Zwecken verkauft werden könnten", warnt die Behörde.

Die Behörde fordert die Einzelhändler in den USA auf, ihre Mitarbeiter über die Funktionsweise von Smishing-/Phishing-Betrügereien, deren Erkennung und Meldung zu informieren. Die Einzelhändler sollen außerdem für möglichst viele Konten und Anmeldedaten eine mehrstufige Authentifizierung verlangen und phishing-sichere Authentifizierungsoptionen verwenden.

In der Mitteilung werden die Einzelhändler außerdem angewiesen, strenge Passwortrichtlinien durchzusetzen, im gesamten Netzwerk das Prinzip der geringsten Privilegien anzuwenden und Antiviren- und Anti-Malware-Lösungen einzusetzen.

Das Geschenk, das immer wieder genommen wird

Geschenkkarten sind ein beliebtes Ziel für Cyberkriminelle, wie die zahlreichen Betrugsfälle rund um die beliebte Spieleplattform Steam zeigen.

Geschenkkarten dienen auch als lukrativer Dreh- und Angelpunkt für Betrügereien im Bereich des technischen Supports, bei denen Betrüger zufällige Opfer anrufen und sich als Helpdesk-Mitarbeiter ausgeben, um sie zu warnen, dass ihr Computer mit Malware infiziert ist. Die Betrüger fordern die Opfer dann auf, für die "Virenentfernung" zu bezahlen, indem sie den Code einer im örtlichen Geschäft gekauften Rubbelkarte weitergeben.

Einige Länder unternehmen Anstrengungen, um dieses Phänomen zu bekämpfen. So hat die Polizei von Echizen in Fukui, Japan, in den Geschäften der Präfektur gefälschte Zahlungskarten ausgelegt, um Betrügern das Handwerk zu legen, die es auf ältere Menschen abgesehen haben.

Laut dem Bitdefender 2024 Consumer Cybersecurity Assessment Report sind SMS-Betrügereien die häufigste Cyber-Bedrohung, der die Menschen heute ausgesetzt sind. Dennoch tätigen vier von fünf Internetnutzern sensible Transaktionen über ihre Telefone, während sie gleichzeitig keine angemessenen Cybersicherheitsmaßnahmen ergreifen.

Bitdefender Scamio ist ein kostenloser Service zur Erkennung und Vorbeugung von Betrug für jeden, der ein Bitdefender-Konto besitzt. Sind Sie misstrauisch wegen eines bestimmten Anrufs, einer E-Mail oder einer SMS? Beschreiben Sie die Situation einfach unserem cleveren Chatbot und lassen Sie sich von ihm in Sicherheit bringen. Sie können Scamio genau das mitteilen, was Sie überprüfen möchten, z. B. einen Screenshot, ein PDF, einen QR-Code oder einen Link. Scamio lässt Sie in Sekundenschnelle wissen, ob es sich um eine Täuschung handelt.