Sammeln Sie Punkte? Phisher jagen Treuepunkte und Nutzerdaten als Bonus

09.12.2016

G DATA Blog

Über den Nutzen von Loyalty-Programmen wie Payback, Deutschland Card und Co. wird immer wieder diskutiert. Nicht jeder stimmt den Praktiken zur Analyse des eigenen Kaufverhaltens zu, andere hingegen sammeln Punkte und lassen sich Prämien auszahlen. Kurz vor Weihnachten entdeckten die G DATA Experten Phishing-Attacken, die mehr als den Verlust von virtuellen Punkten nach sich ziehen könnten.

Die Phishing-E-Mails

Auf seiner Internetseite gesteht Payback ein, dass die aktuellen Fälle „leider gut gemacht“ sind und dem müssen wir zustimmen. Ein Blick auf den Absender könnte den Leser in die Falle locken, denn er sieht echt aus. "Payback.de Service" steht da geschrieben. Payback selbst benutzt allerdings nur "Payback Service". Mehr Details dazu im Abschnitt "Indizien für einen Betrug". Die Ansprache ist angemessen und korrekt, die Namen stimmen tatsächlich. Auch die E-Mail Adresse, die in der Angabe "Ihr Payback Kundenkonto" angegeben ist, ist richtig. Optisch ist die E-Mail bis auf ganz wenige Ausnahmen sehr nah an einer originalen Newsletter-Mail des Services. Tatsächlich verraten einem die Mails nur bei ganz genauem Hinsehen, dass etwas nicht stimmt:

Screenshot der ersten betrügerische E-Mail

Screenshot der zweiten betrügerische E-Mail

Indizien für einen Betrug

Die Domain des Absenders ist bei Phishing-Mails in aller Regel nicht Payback, genau wie in diesem Fall auch.
In den zwei analysierten Mails zeigten sich zusätzlich interessante Top-Level-Domains: .fr und .club
Der erwähnte 15. Geburtstag der Marke wurde 2015 gefeiert, die Aktionen sind also abgelaufen und Payback ist inzwischen 16 Jahre alt.
Die E-Mail verspricht, dass die Punkte verdoppelt werden. Würde es sich um eine reguläre und echte Aktion des Anbieters handeln, würde er jedoch eher etwas anpreisen wie „Sichern Sie sich Ihre Chance auf doppelte Punkte“ und damit ein Gewinnspiel einleiten.
Die Schriftart rund um den Call to Action, den Button, unterscheidet sich vom Rest der E-Mail.
Die URLs, die sich hinter dem Button „Klicken Sie hier um Ihre Punkte zu verdoppeln“ befinden, haben nichts mit dem Programm zu tun (Details im nächsten Kapitel).
Payback selbst zeigt in einer von Ihnen archivierten Phishing-Mail, die ebenfalls im November 2016 von Betrügern ausgesendet wurde, dass mit einem „Punkte-Sommerregen“ geworben wird, was deutlich nicht zur Jahreszeit passt.

Die Phishing Webseite

Die zwei E-Mails locken den Besucher auf zwei unterschiedliche Webseiten. Zugegeben, die Domains sind für den Betrugszweck gut ausgewählt und wer nicht genauestens hinschaut, könnte auf die Masche hereinfallen:

paybrack.pw
paybaecks.pw

Beide Domains lagen zum Zeitpunkt der Analyse auf demselben Server, bereitgestellt von BlazingFast LLC, einem ukrainischen Hoster. Beide Webseiten sind die exakt gleiche Kopie von der Payback-Originalseite.

Screenshot einer Kopie der Payback-Webseite. Die Log-In Daten fließen jedoch an die Angreifer

Einziger Unterschied: Die Formulare für die Zugangsdaten sind nicht original. Eingegebene Daten würden nicht zu Payback versendet, sondern an die Server der Angreifer: www. loginpage .online

Diese Domain wird in den USA gehostet und jegliche Registrierungsinformationen sind geschützt. Der dedizierte Server gehört ebenfalls zu BlazingFast LLC. Ein kurzer Check in populären Websuchmaschinen zeigt, dass die Firma nicht nur positiv auffällt.

Es liegt die Vermutung nahe, dass die Angreifer ihre Phishing-Aktivitäten auf gehackten Servern durchführen. Der zuerst genannte Server hostet eigentlich eine Seite eines brasilianischen Klimageräte-Verkaufs. Der Webauftritt wurde jedoch schon mehrfach im Zusammenhang mit Phishing-Attacken (u.a. gegen eine brasilianische Bank) ins Visier genommen und wird weiter missbraucht.

Die Gefahren durch Phishing dieser Art

Zunächst einmal würde man denken, dass so ein Loyalty-Programm-Account nun wirklich nicht wichtig ist, denn man sammelt doch nur Punkte, sonst nichts. Leider ist das weit gefehlt, denn hinter dem Account verbergen sich wertvolle Information und sogar bares Geld.

Die Anbieter der Sammelprogramme brauchen zur Abwicklung von Prämienzusendungen und natürlich zum Funktionieren des Programms an sich die Angabe von persönlichen Daten. Oft beinhalten die neben vollständigen Namen auch das Geburtsdatum, die Heimatadresse und vielleicht sogar noch die Telefonnummer oder Kontodaten. Diese Daten können Phisher zusammen mit den Log-In Daten abgreifen, benutzen oder weiterverkaufen.
Außerdem könnten Angreifer das Sammelpunkte-Konto leer räumen. Sie können die Punkte einerseits für Sachprämien ausgeben und an Strohmänner verschicken lassen, sie können die Punkte an andere Sammelkonten oder andere Programmpartner leiten oder aber auch Geldwert-Schecks ausstellen lassen, um dann mit quasi Bargeld einzukaufen.

Tipps und Tricks

Falls Sie es noch nicht getan haben, stellen Sie Ihr Payback-Konto auf die Benutzung von Benutzername und Passwort um, anstatt den Login per Kundennummer, Postleitzahl und Geburtsdatum zu erledigen. Die zuletzt genannte Kombination lässt sich einfacher ermitteln.
Überlegen Sie, ob Sie den Newsletter des Bonusprogramms wirklich brauchen. Wenn Sie die Zusendung der E-Mails grundsätzlich abbestellen, schrillen bei plötzlichen Angeboten die Alarmglocken.
Misstrauen Sie Angeboten, die zu schön sind, um wahr zu sein. Auch wenn es jetzt zur Weihnachtszeit viele Gewinnspiele und Sonder-Aktionen gibt.

Wichtige IT-Security-News per E-Mail

Folgende Artikel könnten Sie auch interessieren:

Der große Coup gegen das Avalanche-Botnetz

Geschenke zum Fest der Liebe online kaufen?! Mit Sicherheit!

P@55w03rt3er: Sind sie Fluch oder Segen?

Alle wichtigen IT-Security-News bequem per E-Mail

Vielen Dank für Ihr Interesse.