Ihr DHL-Paket als Türöffner für Betrugsversuche: Über Krypto-Stealer, Keylogger und Dokument-Uploader
von Svenja Koch
Wie funktioniert die DHL Malspam-Kampagne?
Bei der DHL Malspam-Kampagne verschicken Cyberkriminelle per Mail oder SMS Nachrichten an ihre Opfer, die über ein angeblich in der Postfiliale wartendes Paket der DHL oder einen fehlgeschlagenen Zustellungsversuch informieren. Die Nachricht gibt weiterhin an, dass ein schnelles Handeln erforderlich ist, ansonsten ist keine Paketübergabe möglich und die Sendung geht zurück an den Absender. Um dies zu verhindern, fordert die Nachricht den Empfänger dazu auf, Angaben in einem Dokument zu machen und so die Zustellung zu ermöglichen. Dieses Dokument ist entweder als Anhang in der E-Mail vorhanden oder die SMS verlinkt auf eine Webseite. Wer die Datei herunterlädt und öffnet oder die Webseite hinter dem Link besucht, lädt einen Krypto-Stealer herunter, der sich selbstständig auf dem System installiert.
Warum fallen so viele Verbraucher auf gefälschte DHL-Benachrichtigungen rein?
Es sind vor allem zwei Gründe, warum viele Verbraucher auf die Masche der Cyberkriminellen hereinfallen. Zum einen ist dies das Vertrauen in eine Marke wie DHL. Dies liegt auch daran, dass es durchaus echte Benachrichtigungen des Logistikunternehmens per SMS oder E-Mail gibt. Da es für die meisten Menschen inzwischen zum Alltag gehört, ein Paket via DHL zu empfangen, sind solche Nachrichten auch nicht ungewöhnlich. Selbst wer kein Paket erwartet, ist eventuell neugierig und möchte erfahren, was für ein Paket angeblich auf ihn wartet.
Zum anderen geben die Cyberkriminellen in der DHL Malspam-Kampagne immer vor, dass ein rasches Handeln erforderlich ist. So weisen die Nachrichten darauf hin, dass das Paket in den nächsten zwei Tagen an den Absender zurückgeht, falls keine Reaktion erfolgt. Einige Verbraucher lassen sich von einer solchen Nachricht unter Druck setzen und folgen den Anweisungen in der Mail, aus Angst, ein Paket zu verlieren.
Ein Trick der Kriminellen ist (womit auch ein wichtiger Hinweis auf die Fälschung der Nachricht gegeben ist), dass keine Sendungsnummer bei den Nachrichten angegeben ist. Auf diese Weise ist es für den Empfänger nicht nachvollziehbar, um welches Paket es sich vermeintlich handelt. Auch eine Nachverfolgung über die echte DHL-Webseite ist so nicht möglich. Dies verführt den Empfänger der Nachricht dazu, dem Link in der Mail oder SMS zu folgen. Die gefälschten DHL-Benachrichtigungen sehen zudem täuschend echt aus. Die Kriminellen setzen das originale Logo des Logistikunternehmens DHL in den Mails ein. Auf den ersten Blick erscheint die Nachricht somit authentisch und vertrauenswürdig.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Woran erkennen Verbraucher gefälschte DHL-Benachrichtigungen?
In erster Linie ist es wichtig, dass Verbraucher jeder Benachrichtigung gegenüber misstrauisch sind. Wer beispielsweise kein Paket erwartet, erhält auch keine E-Mail von DHL. Leider handeln viele Verbraucher impulsiv und in solchen Situationen obsiegt die Neugier. Deshalb öffnen zahlreiche Empfänger Nachrichten von Cyberkriminellen und wollen erfahren, was es mit der Mail oder SMS auf sich hat.
Bei E-Mails ist es vergleichsweise einfach, die Herkunft zu überprüfen. Jedoch ist es wichtig, zu wissen, wie sich dies kontrollieren lässt. Die meisten E-Mail-Anbieter zeigen als Absender in der Übersicht nämlich keine Mail-Adresse, sondern eine Beschreibung an. Hier wird bei den E-Mails der Cyberkriminellen gerne mit vertrauenerweckenden Bezeichnungen gearbeitet, wie etwa „DHL Service“ oder auch einfach nur „DHL“. Diese Beschreibung ist jedoch einfach zu bearbeiten und lässt keinerlei Rückschluss auf den tatsächlichen Absender zu. Wer jedoch mit der Maus über die Beschreibung fährt, erhält den tatsächlichen Absender angezeigt. Dann enttarnt sich die vermeidliche DHL-Nachricht als Mail von einer ausländischen Adresse ohne Bezug zur DHL.
Bei einer SMS ist es zunächst schwerer, Hinweise auf den Absender zu erhalten. Ein sicheres Anzeichen für einen Betrugsversuch sind jedoch Telefonnummern aus dem Ausland. Diese lassen sich an der Vorwahl identifizieren. Außerdem fehlt in gefälschten DHL-Benachrichtigungen ein Hinweis auf eine konkrete Paketnummer. Vielmehr ist ein Link in der Nachricht platziert, der den Empfänger auf eine dubiose Webseite führt. Die Betrüger greifen außerdem gerne auf URL-Verkürzungsdienste wie bit.ly zurück, um die tatsächliche Adresse zu verschleiern. Die DHL nutzt solche Dienste nicht und verlinkt immer direkt auf die eigene Webseite.
Welche Schadsoftware ist in den gefälschten DHL-Benachrichtigungen versteckt?
In den gefälschten DHL-Benachrichtigungen haben die Cyberkriminellen einen Krypto-Stealer platziert. Dieser ist bei IT-Sicherheitsexperten kein Unbekannter und hat die Bezeichnung „BluStealer“. Der Krypto-Stealer vereint mehrere Funktionen und ist deshalb besonders gefährlich. Zunächst stiehlt die Schadsoftware Kontaktadressen und Telefonnummern aus dem Adressbuch des infizierten Systems. An diese verschickt sich der Krypto-Stealer automatisch weiter und nutzt dabei ebenfalls die gefälschten DHL-Benachrichtigungen als Nachrichteninhalt.
Dann ist der Krypto-Stealer in der Lage, Login-Informationen von den befallenen Systemen zu stehlen. Diese sendet die Schadsoftware dann an die Cyberkriminellen, die so die Kontrolle über das sogenannte Digital Wallet übernehmen. Ein Digital Wallet ist die Geldbörse der Kryptowährungen, die verschiedene Anbieter im Internet bereitstellen. Bestätigt ist, dass der Krypto-Stealer die Login-Daten von zahlreichen Wallet-Anbietern stiehlt. Betroffen sind unter anderem ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda oder Coinomi.
Ebenfalls beschränkt sich die DHL Malspam-Kampagne nicht auf eine bestimmte Kryptowährung. Im Fokus steht aufgrund seines hohen Wertes natürlich Bitcoin. Jedoch hat der Krypto-Stealer auch Ethereum, Monero und Litecoin im Visier.
Eine raffinierte Funktion von BluStealer ist es, Krypto-Adressen in der Zwischenablage mit der Adresse des Wallets der Kriminellen zu ersetzen. Wer eine Zahlung mit Bitcoin oder einer anderen Kryptowährung einleitet, nutzt in der Regel die Kopier-Funktion des Betriebssystems dafür. Dies liegt an der Länge und Komplexität dieser Adressen. Die meisten solcher Krypto-Adressen bestehen aus 26 bis 35 alphanumerischen Zeichen. Anhand dieser typischen Länge und Zusammensetzung erkennt der Krypto-Stealer, dass es sich um eine Krypto-Adresse handelt. Sofern der Nutzer dann nicht äußerst wachsam ist und bemerkt, dass sich die Adresse beim Kopieren verändert hat, initiiert und bestätigt er eine Krypto-Zahlung an die Kriminellen. Solche Zahlungen lassen sich bei Kryptowährungen nicht mehr rückgängig machen.
Welchen Umfang hat die DHL Malspam-Kampagne und wer ist betroffen?
Da der Krypto-Stealer die Fähigkeit hat, sich selbst zu verschicken, nimmt die Verbreitung der Schadsoftware rasant zu. So gewinnen die Cyberkriminellen laufend neue Telefonnummern und Kontaktadressen. Besonders von der DHL Malspam-Kampagne betroffen sind die USA, Argentinien und die Türkei sowie Italien, Griechenland, das Vereinigte Königreich und Spanien in Europa. Jedoch haben sich auch in Deutschland und Frankreich zahlreiche Verbraucher gemeldet und berichten von gefälschten DHL-Benachrichtigungen.
Der Krypto-Stealer richtet dabei beachtliche Schäden an. Bis Anfang November sind auf einer der Bitcoin-Adressen, die einwandfrei den Organisatoren hinter der DHL Malspam-Kampagne zuzuordnen ist, 4,0496 Bitcoins eingegangen. Bei einem Kurs von etwa 53.000 Euro pro Bitcoin haben die Kriminellen also mindestens 214.000 Euro erbeutet. Die Dunkelziffer liegt wahrscheinlich noch höher, denn der Krypto-Stealer sendet die Kryptowährungen auch auf andere Wallets.
Welche Maßnahmen bieten Schutz vor den Krypto-Stealern?
Es gibt verschiedene Methoden, um sich vor solchen Angriffen wie in der aktuellen DHL Malspam-Kampagne zu schützen. In diesem speziellen Fall, in dem Kryptowährungen und die digitalen Wallets das Ziel sind, hilft eine Hardware-Wallet, den Diebstahl zu verhindern. Hier haben die Cyberkriminellen nicht die Möglichkeit, die Kontrolle über das Gerät und die darauf gespeicherten Kryptowährungen zu übernehmen. Gleichzeitig ist das System, mit dem die E-Mail oder SMS geöffnet wurde, dennoch infiziert, was andere Betrugsaktivitäten ermöglicht.
Die wichtigste Schutzmaßnahme ist deshalb, maximales Misstrauen und Vorsicht bei allen eingehenden Nachrichten walten zu lassen. Jede Nachricht ist zunächst als nicht vertrauenswürdig zu behandeln. Links in Nachrichten sind grundsätzlich gefährlich, besonders dann, wenn nicht mit absoluter Sicherheit festzustellen ist, auf welche Seite diese führen. Zum Test auf solche Links zu klicken ist hochgradig gefährlich und führt in vielen Fällen bereits zur Infizierung des eigenen Systems. Deshalb sind Links in dubiosen Nachrichten wie auch Dateianhänge immer zu ignorieren.
Wer den Status einer Sendung überprüfen will, tut dies direkt über die Webseite der DHL. Diese lässt sich auch ohne Link in einer Nachricht finden. Eine Sendungsverfolgung ist beispielsweise über DHL.com möglich. Fehlt in der SMS oder E-Mail eine spezifische Sendungsnummer, stammt die Nachricht mit Sicherheit nicht von der DHL. Das Logistikunternehmen fügt den Paketankündigungen immer die dazugehörige Sendungsnummer hinzu. Erst diese ermöglicht überhaupt eine Sendungsverfolgung. Ebenso wichtig ist es, immer für einen aktuellen Stand des Betriebssystems zu sorgen. Sicherheitsupdates für das Betriebssystem wie auch den Browser sind umgehend zu installieren. Dies gilt auch für das Smartphone, denn dieses ist ebenfalls anfällig für gefälschte DHL-Benachrichtigungen und Malware. Pflicht ist außerdem der Einsatz eines Virenschutzprogramms. Wer kein Geld für eine solche Software ausgeben möchte, findet gute kostenfreie Alternativen von vielen Anbietern.
Fazit
Im Kern ist die Vorgehensweise der Cyberkriminellen bei der aktuellen DHL Malspam-Kampagne ein alter Hut. Seit geraumer Zeit versuchen Angreifer mit gefälschten Nachrichten den Empfänger unter Zeitdruck zur Interaktion mit einem infizierten Dokument oder einer kompromittierten Webseite zu verführen. Es zeigt sich jedoch, dass die Angreifer immer versierter vorgehen und ihre Angriffstechniken perfektionieren.
Die Zeiten, in denen gefälschte Nachrichten durch viele Schreibfehler und falsche Logos sofort zu erkennen waren, sind vorbei. Die gefälschten DHL-Benachrichtigungen wirken optisch authentisch, was sie umso gefährlicher macht. Gefährlich ist auch die Schadsoftware, die die Angreifer in die DHL Malspam-Kampagne integriert haben. Der Krypto-Stealer konzentriert sich auf Bitcoin und andere digitale Währungen. Hierbei machen sich die Cyberkriminellen die wachsende Beliebtheit der Kryptowährungen zunutze. Immer mehr Menschen investieren und nutzen Bitcoin, ohne genau über die Eigenarten der Kryptowährungen Bescheid zu wissen. Gleichzeitig befindet sich der Wert von Bitcoin fast auf einem Höchststand. Dies macht die digitale Währung besonders lohnenswert für Angreifer.
Ermittlungsbehörden sind bei Betrügereien mit Kryptowährungen meist machtlos, denn das System ist vollkommen anonym. Auch bestätigte Transaktionen lassen sich nicht mehr rückgängig machen. Dies macht die DHL Malspam-Kampagne so gefährlich.