Black Friday im Darknet: Warum Schnäppchen für den Handel so gefährlich sind

Das Geschäft mit der Cyberkriminalität läuft nach ähnlichen Mechanismen ab wie in der legalen Wirtschaft: Dienstleister und Abnehmer handeln auf Marktplätzen, wobei der Preis von Angebot und Nachfrage bestimmt wird und ein reger Wettbewerb herrscht. Auch das Marketing gehört in diesem Paralleluniversum zur „Unternehmensstrategie“. Kriminelle Anbieter werben mit Sonderpreisen, pflegen ihre Marke und starten gezielt Kampagnen. Black Friday hat dabei einen festen Platz im Kalender von Cyberkriminellen bekommen.

Am Black Friday im Angebot: Finanzdaten und Bitcoin-Tumbler

Bei einer Analyse einschlägiger Marktplätze und Foren im Open, Deep und Dark Web hat Digital Shadows, Anbieter von Threat-Intelligence-Lösungen, diverse Angebote zu Black Friday gefunden. Verkaufsschlager in diesem Jahr sind unter anderem „Persönlich Identifizierbare Informationen“ (PII) rund um Bankkonten, Krypto-Börsen und PayPal-Logins. In einem Fall stellte ein Anbieter 15 Listen mit kompromittierten Kreditkarten als kostenlose Preview zur Verfügung – ein Vorgeschmack für zahlungswillige Kunden. Das Guthaben bzw. der Kreditrahmen der gestohlenen Karten reicht von 700 bis 4.000 Euro.

Eine andere Black Friday-Kampagne warb mit dem Zugang zu gehackten Bankkonten, die sich laut Anbieter ideal zur Geldwäsche eignen. Mit großer Wahrscheinlichkeit handelt es sich dabei um Services rund um Coin-Mixing beziehungsweise -Tumbling: „Schmutzige“ Bitcoins – die Standardwährung im Darknet – werden in legale Bitcoin-Transaktionen eingeschmuggelt, um ihre kriminelle Herkunft zu verschleiern. Auch der mehrmalige Umtausch von Bitcoins in Echtgeld und wieder zurück (Chain-Hopping) lässt sich mittlerweile als Service buchen.  

Werkzeugkasten für den Profi-Hacker

Preisbewusste Cyberkriminelle haben am Black Friday zudem die Möglichkeit, ihr Toolset kostengünstig aufzurüsten und sich für die nächsten Angriffe optimal aufzustellen. Wie wäre es beispielsweise mit einem Webhosting-Service, der von einem stillgelegten Bombenschutzkeller in Moldawien aus betrieben wird? Diese Art von Hosting ist heiß begehrt, vor allem bei Ransomware-Gruppen, die für ihre Data Leak Sites (DLS) hohe Anonymität und Zuverlässigkeit benötigen.

Die Nutzung von Proxyservern wie SOCKS5 und HTTP steht auf der Shopping-Wunschliste von Cyberkriminellen ebenfalls ganz weit oben. Sie erlauben es, Malware-basierte Angriffe wie Cryptojacking oder Ransomware mit der nötigen Diskretion und Anonymität auszuführen. Black-Hat-SEO-Strategien und Backlink-Software wiederum helfen, bösartige Webseiten wie Fake Domains von Onlineshops in den Suchergebnissen von Nutzern möglichst weit oben zu platzieren.

Achtung Retail: Keine Entwarnung nach dem Black Friday

Was macht den Black Friday Sale im Darknet für den Einzelhandel so gefährlich? Nun, zum einen wollen die eben erst erstandenen Hacking-Tools, Kreditkartendaten und Logins auch genutzt werden. Zum anderen rückt der E-Commerce mit Beginn der Weihnachtszeit an die Spitze der lukrativsten Angriffsziele. Ein guter Black Friday-Deal für Cyberkriminelle kann für Händler und Onlineshops daher folgenschwere Konsequenzen nach sich ziehen.

Verschärft wird die Lage durch den anhaltenden Boom im Onlinehandel. Im zweiten Pandemie-Jahr wird nicht nur mehr und länger geshoppt, auch neue Services und Produkte landen im virtuellen Warenkorb. Zudem wächst bei jüngeren Zielgruppen der Social Commerce – also das Shoppen über soziale Netzwerke. Jeder Zehnte (10 Prozent) ist laut einer Umfrage von Bitkom auf Marktplätzen wie Facebook Marketplace aktiv.

Monitoring – auch im Social Commerce

Cyberkriminelle nutzen diesen Trend aus und arbeiten verstärkt mit Fake-Domains und Fake-Profilen auf Social Media. Die Zahl registrierter Domains, die den Namen oder die Marke von bekannten Händlern nachahmen und missbrauchen, ist im letzten Jahr deutlich gestiegen. Digital Shadows identifizierte in einem Zeitraum von nur vier Monaten 360 Fake-Domains pro Unternehmen. Auf das Jahr gerechnet sehen sich Händler mit durchschnittlich 1.100 Nachahmer-Domains konfrontiert, die ein potenzielles Risiko für Kunden, Mitarbeiter sowie die Brand Protection darstellen.

Beispiel Domain Spoofing: Phishing-Seite ahmt thailändische PayPal-Seite nach

Takedown-Verfahren helfen, Phishing-Seiten und falsche Profile auf Facebook, Instagramm, LinkedIn und Co. zeitnah vom Netz zu nehmen und Betrugsversuchen einen Riegel vorzuschieben. Dazu müssen die falschen Webseiten und Konten jedoch zunächst einmal erkannt und den Betreibern gemeldet werden. Für Händler lautet daher die Devise: Beobachten, beobachten und beobachten.

Wurden neue Domains registriert, die dem Markennamen ähneln? Taucht das eigene Logo in fremden Social Media-Profilen auf? Ist das Unternehmen als leicht angreifbares Ziel auf einschlägigen Foren im Darknet gelistet? Oder finden sich unter den Black Friday-Angeboten gar Logins und Daten von Mitarbeitern und Kunden? Automatisierte Monitoring-Tools können Sicherheitsteams hier frühzeitig warnen und dafür sorgen, dass sich der Black Friday-Deal für Cyberkriminelle nicht auszahlt.

Über den Autor: Robert Blank ist Regional Sales Manager DACH bei Digital Shadows. In dieser Position verantwortet er den Ausbau der Kundenlandschaft und die Vertriebsstrategie im Channel in Deutschland, Österreich und in der Schweiz. Mit über 30 Jahren Erfahrung im IT-Vertrieb, in der Cloud und in der IT-Sicherheit kennt er die Anforderungen auf Partner- wie Kundenseite. Erfahrung und Kontakte bringt er unter anderem aus Unternehmen wie FireEye, Algosec, Cisco Systems, ATT, Juniper, Level3/CenturyLink, Cancom SE, F24 AG und Simplifier AG mit.

Lesen Sie auch: Cyberangriffe auf Einzelhändler: 4 Schritte zur IT-Sicherheitsstrategie