Gefälschte Websites richten beim Phishing verheerenden Schaden an

Phishing-Angriffe mit gefälschten Websites, die bekannte Marken imitieren, treten jetzt in einem Ausmaß auf, das einst unvorstellbar schien.

Cybersecurity-Forscher von NordVPN gaben Anfang dieses Monats bekannt, dass sie in den letzten zwei Monaten über 120.000 bösartige Websites identifizieren konnten, die sich als Amazon ausgeben. Insgesamt haben Security-Forscher 92.000 Phishing-Websites mit einem Amazon-Namen entdeckt, und 21.000 gefälschte Amazon-Websites versuchten, Malware zu installieren. Weitere 11.000 Websites verkauften gefälschte Waren.

Gleichzeitig berichteten Analysten von Silent Push, einem Anbieter von Cybersecurity-Intelligence-Diensten, von der Entdeckung Tausender gefälschter Websites, die sich als bekannte Marken wie Apple, Harbor Freight Tools, Wayfair, Guitar Center, Lane Bryant und Wrangler Jeans ausgeben. Diese gefälschten Websites scheinen sogar Transaktionen über PayPal und Google für Waren abzuwickeln, die nie geliefert werden. Dieser Ansatz ermöglicht es den Cyberkriminellen, Kreditkartendaten zu verkaufen, ohne Verdacht zu erregen, da die Transaktionen aus Sicht des Finanzdienstleisters nie stattgefunden haben.

Alle von Silent Push identifizierten gefälschten Websites sind mit demselben Online-Marktplatz verknüpft, was diese Entwickler offenbar mit der Volksrepublik China verbindet. Es ist nicht klar, inwieweit Bedrohungsakteure KI-Codierungstools zum Erstellen gefälschter Websites verwenden, aber es ist davon auszugehen, dass KI die Entwicklung dieser Phishing-Websites beschleunigt. Die Zahl bösartiger Websites dieser Art wird weiter zunehmen, da der Einsatz von KI die Entwicklungskosten senkt. Noch beunruhigender ist, dass es nur eine Frage der Zeit ist, bis Bedrohungsakteure auch KI nutzen, um Millionen gefälschter Identitäten zu erstellen.

Alle diese gefälschten Websites werden sowohl zur Verbreitung von Malware als auch zum betrügerischen Sammeln von Kreditkartendaten verwendet. Die gestohlenen Kreditkartendaten werden dann für betrügerische Einkäufe auf seriösen Websites verwendet, was es unmöglich macht, den gesamten finanziellen Schaden dieser Angriffe zu berechnen. Die Federal Trade Commission (FTC) schätzt, dass allein US-Verbraucher im Jahr 2024 Verluste in Höhe von über 12,5 Milliarden $ durch Betrug meldeten, und Probleme mit Online-Einkäufen wurden dabei als zweithäufigste Betrugskategorie gemeldet. Dies ist ein deutlicher Anstieg gegenüber den 10 Milliarden $, die im Jahr 2023 gemeldet wurden. Wenn man die Verluste der Verbraucher zu den finanziellen Einbußen der Einzelhändler und Hersteller hinzurechnet, kann man sich vorstellen, dass diese Straftaten die Opfer jedes Jahr Billionen von Dollar kosten. 

Während die meisten Einzelhändler und Hersteller in Zusammenarbeit mit Kreditkartenunternehmen entschlossen versuchen, die Flut betrügerischer Transaktionen einzudämmen, nimmt die Zahl gefälschter Websites rapide zu. Selbst wenn die Hälfte dieser gefälschten Websites aufgedeckt wird, übersteigen die entstehenden Kosten das, was viele Unternehmen realistischerweise verkraften können. Schlimmer noch, es führt dazu, dass viele Kunden insgesamt vorsichtiger beim Online-Shopping werden.

Es ist zu hoffen, dass KI-Technologien bald auch die Identifizierung gefälschter Websites vereinfachen werden, sobald diese online gehen. In der Zwischenzeit sollten Cybersecurity-Teams in einer Zeit, in der Vorwarnzeiten nur noch in Minuten und Sekunden gemessen werden, verstärkt auf Bedrohungsfeeds achten.