Betrugskampagne „ERIAKOS“: Aufgedeckt vom Payment Fraud Intelligence Team von Recorded Future
Das Payment Fraud Intelligence-Team von Recorded Future hat ein betrügerisches E-Commerce-Netzwerk namens „ERIAKOS“-Kampagne identifiziert, das auf Facebook-Benutzer abzielt. Diese am 17. April 2024 entdeckte Kampagne umfasst 608 betrügerische Websites, die Markenimitationen und Malvertising-Taktiken verwenden, um persönliche und finanzielle Daten zu stehlen. Bemerkenswerterweise waren die betrügerischen Websites nur über Mobilgeräte zugänglich und enthielten Werbeköder, die wahrscheinlich dazu dienten, automatisierte Scanner zu umgehen. Recorded Future empfiehlt, verdächtige Händlerkonten auf eine Sperrliste zu setzen und die Kundentransaktionen genau zu überwachen. Der Einsatz fortschrittlicher Screening-Techniken in dieser Kampagne deutet auf einen wachsenden Trend hin, der die derzeitigen Erkennungstechnologien auf die Probe stellen könnte.
ERIAKOS-Betrugskampagne: Aufdeckung eines komplexen Betrugsnetzes
Am 17. April 2024 deckte das Payment Fraud Intelligence- Team von Recorded Future ein Netzwerk aus 608 betrügerischen E-Commerce-Websites auf, das von einem einzelnen Bedrohungsakteur oder einer einzelnen Bedrohungsgruppe orchestriert wurde und auf Facebook-Benutzer abzielte. Benannt nach dem verwendeten CDN (oss[.]eriakos[.]com) wurde die Kampagne „ERIAKOS“ genannt. Diese Betrugsseiten nutzten Markenimitationen und Malvertising-Taktiken, um die finanziellen und persönlichen Daten ihrer Opfer zu stehlen. Der Zugriff auf diese betrügerischen Websites war nur über Mobilgeräte und Werbeköder möglich. Dabei handelte es sich um eine Taktik, die darauf abzielte, automatische Erkennungssysteme zu umgehen. Dies war unsere erste direkte Beobachtung eines solchen TTP. Diese ausgeklügelte Kampagne zielte ausschließlich auf Mobilnutzer ab, die über Werbeköder auf Facebook auf die Betrugsseiten gelangten. Durch diesen strategischen Schritt wurde die Wahrscheinlichkeit einer Entdeckung durch automatische Scanner erheblich verringert. Mit diesen betrügerischen Websites verknüpfte Händlerkonten wickelten Zahlungen über große Kartennetzwerke und chinesische PSPs ab, was den Betrug noch komplexer machte.
Für Finanzinstitute besteht die Gefahr eines Finanzbetrugs, zu dem auch Streitigkeiten über Rückbuchungen und unwiederbringliche Verluste gehören. Der Ruf von nachgeahmten Unternehmen kann Schaden nehmen, insbesondere bei betrogenen Opfern. Um diese Risiken zu mindern, empfiehlt Recorded Future, die im Bericht identifizierten verdächtigen Händlerkonten auf eine schwarze Liste zu setzen und die Transaktionen auf potenzielle Betrugsindikatoren zu überwachen.
Minderungsstrategien
Um dieser Bedrohung entgegenzuwirken, sollten Finanzinstitute:
- Identifizieren Sie mit den Betrugsdomänen verbundene Händlerkonten und setzen Sie sie auf die schwarze Liste.
- Blockieren Sie Kundentransaktionen mit diesen Händlern.
- Überwachen Sie historische Transaktionsdaten, um eine mögliche Gefährdung durch diese Betrügereien zu erkennen.
- Ermutigen Sie Kunden, verdächtige Websites und Transaktionen zu melden.
- Geben Sie Hinweise zu betrügerischen Websites an Recorded Future weiter, um Bedrohungen umfassender erkennen zu können.
- Nutzen Sie Informationen zu aufgezeichnetem zukünftigen Zahlungsbetrug (PFI), um mögliche Betrugswebsites mithilfe des PFI-Common-Point-of-Purchase-Datensatzes (CPP) zu erkennen und zu entschärfen.
- Nutzen Sie Recorded Future Brand Intelligence, um Bedrohungen durch Markenimitation zu erkennen und einzudämmen.
Für Verbraucher werden folgende Vorsichtsmaßnahmen empfohlen:
- Geben Sie persönliche Informationen und Zahlungsdaten nur auf sicheren, vertrauenswürdigen Websites ein.
- Informieren Sie sich gründlich über die Unternehmen, bevor Sie einen Kauf tätigen.
- Überprüfen Sie die Legitimität von E-Commerce-Websites und ihren Zahlungs-Subdomains.
- Seien Sie vorsichtig bei unerwünschten Nachrichten oder Werbung.
- Melden Sie jeglichen Betrug Ihrem Kartenaussteller und dem Better Business Bureau (BBB).
Technische Analyse
Recorded Future hat vier Schlüsselindikatoren identifiziert, die die 608 Domänen mit der ERIAKOS-Kampagne verknüpfen:
- Content Delivery Network: Alle Betrugsseiten verwendeten oss[.]eriakos[.]com.
- Domänenregistrar: Die Domänen wurden bei Alibaba Cloud Computing Ltd. registriert.
- IP-Adressen: Zwei spezifische IP-Adressen (47[.]251[.]129[.]84 und 47[.]251[.]50[.]19) wurden durchgängig verwendet.
- Fehlkonfiguration der Domänen: Die Betrugsdomänen wiesen spezifische Fehlkonfigurationen zwischen ihren Hauptdomänen und WWW-Subdomänen auf.
Diese Indikatoren ermöglichten es Recorded Future, in Kombination mit den Daten der Händlerkonten das gesamte Ausmaß des Betrugsnetzwerks abzubilden. Der Einsatz chinesischer PSPs zur Zahlungsabwicklung erschwerte die Erkennungs- und Beseitigungsbemühungen zusätzlich.
Ausblick
Der Einsatz moderner Screening-Techniken zur Entgangenheit bei der ERIAKOS-Kampagne weist auf einen möglichen Trend bei Betrugstaktiken hin. Sollten sich diese Methoden weiter verbreiten, könnten aktuelle Erkennungstechnologien bei der Identifizierung und Eindämmung ähnlicher Bedrohungen Schwierigkeiten haben. Dies kann zu einer längeren Lebensdauer der Betrugsmaschen und einer größeren Gefährdung der Opfer führen.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandt