Phishing mit gefälschten Autokatalogen
Der Gebrauchtwagenhandel boomt wie nie zuvor – vor allem online. Die Vielzahl an Plattformen und digitalen Marktplätzen erleichtert zwar das Geschäft, lockt aber auch Kriminelle an. Kaufinteressenten sind immer auch potenzielle Ziele für Betrüger, die mit immer raffinierteren Maschen versuchen, Geld oder sensible Daten zu erschleichen. Eine besonders gefährliche Masche ist das sogenannte Phishing mit gefälschten Autokatalogen. Dabei flattern den Opfern vermeintlich professionelle Angebote ins Haus, hinter denen jedoch organisierte Cyberkriminalität steckt.
Traumautos werden zur Falle
Phishing mit Autokatalogen stellt eine gezielte und professionell durchgeführte Betrugsmasche dar, bei der vermeintliche Autohändler – meistens im Namen bekannter Marken wie Audi, Mercedes, Volkswagen, oder Sixt oder Verkaufsportale – täuschend echte Kataloge versenden. Das können PDFs oder Links auf Webseiten sein. Das Ziel von solchen betrügerischen Aktivitäten besteht darin, potenzielle Käuferinnen und Käufer mit besonders günstigen Preisen zu ködern und zur Zahlung von Kautionen, Gebühren oder Anzahlungen zu bewegen.
In den besagten Katalogen finden sich in der Regel detaillierte Informationen, Fahrzeugbilder sowie Zusagen bezüglich Ausstattung, Wartung und Zustand. Sehr häufig sind diese Kataloge abgesehen von den Kontaktinformationen zumindest scheinbar identisch mit tatsächlichen, authentischen Katalogen der jeweiligen Anbieter. Die gezeigten Angebote sollen dann zum Kauf nicht existenter Fahrzeuge animieren.
In der Automobilbranche werden Fahrzeuge wiederholt aus dem Bereich der Nachlässe, des sogenannten Firmenbesitzes oder als kurzfristige Schnäppchen aus “Lagerüberhängen” offeriert.
Quelle: urlscan
Vom Lockangebot bis zur Geldüberweisung: Der typische Ablauf
In der Regel läuft die Masche in mehreren Stufen ab:
Zu Beginn steht dabei das Inserat oder der Katalog. Sehr häufig beginnen die Betrugsversuche allerdings mit einer entsprechenden Phishing-E-Mail, an die ein Autokatalog angehängt ist. Die Kriminellen geben sich dabei als seriöse Händler, Exporteure oder Hersteller aus.
Die angebotenen Autos existieren entweder gar nicht oder die Inserate wurden mit gestohlenen Fotos und Daten ins Netz gestellt. Durch sehr günstige Preise und die Aussicht auf einen schnellen, unkomplizierten Ablauf soll das Opfer zum schnellen Abschluss bewegt werden.
Im Anschluss daran bekunden die Kriminellen ihr Interesse und senden den Käuferinnen und Käufern gefälschte Kaufverträge, amtlich wirkende Dokumente, Rechnungen über vermeintliche Standgebühren, Versandkosten oder Kautionen zu. Schließlich fordern sie die Überweisung der Gelder auf ausländische oder private Konten. In der Regel existieren das beschriebene Fahrzeug und die vermeintlichen Ansprechpartner nicht – nach der Zahlung bricht der Kontakt abrupt ab.
Die Gefahren sind erheblich: Opfer von Phishing-Versuchen verlieren oft mehrere tausend Euro – und die Chance auf Rückerstattung des Geldes in der Regel gering, da die Empfängerkonten oder Zahlungsmethoden (wie Western Union, Fake-Treuhandservices oder anonyme Zahlungsdienstleister) absichtlich gewählt wurden, um Spuren zu verwischen.
Wie kann ich mich vor Phishing mit Autokatalogen schützen?
Grundsätzlich ist Misstrauen angesagt, wenn ein Katalog oder ein Angebot bei Ihnen eintrifft, ohne, dass sie es explizit angefordert haben. Auch ungewöhnlich günstige Preise, Aufforderungen zu Vorabzahlungen oder Gebühren für Versand oder Kaution sind nicht üblich und Indizien für Betrug.
Ebenfalls entscheidend kann das Überprüfen von Absenderadressen und Domains sein: Gefälschte beziehungsweise den tatsächlichen Domains sehr ähnlich sehende Adressen sind ein guter Indikator zum Erkennen von Phishing. Um den Betrug zu entdecken, ist eine sorgfältige Kontrolle der E-Mail-Adresse des Absenders also sehr wichtig.
Bei Zweifeln empfehlen wir, über offiziell bekannte Kontaktkanäle mit dem Unternehmen in Verbindung zu treten.
Wie in dieser detaillierten Analyse auf MSXFAQ deutlich wird, ist es schwierig, die Überprüfung der Domainreputation zum Erkennen dieser Art von Phishing einzusetzen. Im genannten Beispiel zeigt sich, dass die Kriminellen für die Domain “autoland-gebrauchtwagen.de” einen strengen SPF-Eintrag, eine gültige DKIM-Signatur und eine DMARC-Policy konfiguriert haben. Bei der echten Domain “autoland.de” waren diese Einträge ebenfalls konfiguriert – allerdings helfen auch DMARC p=reject und spf=-all nicht, wenn die Angreifer einfach eine ähnlich klingende Domain nutzen.
URL Safeguard blockiert gefährliche Links
Der beste Weg, solche Angriffe in Zukunft für sich und andere zu verhindern, ist das Melden von ebensolchen Angriffen – in NoSpamProxy bequem über die Web App oder das NoSpamProxy Command Center. So können die jeweiligen Links auf die Produktkataloge gesperrt beziehungsweise auf Blocklisten gesetzt werden, was weitere Angriffe verhindert.
Der URL Safeguard in NoSpamProxy sorgt im Zusammenspiel mit dem Metadaten-Service 32Guards dafür, dass der Zugriff auf Links unterbunden wird, wenn diese nach der Zustellung als bösartig identifiziert wurden. Diese Time-of-Click Protection ermöglicht es, Links in E-Mails bei jedem erneuten Klick erneut zu prüfen.
Sollten die von den Kriminellen versendeten PDF-Dateien Schadsoftware enthalten, schützt der Inhaltsfilter in NoSpamProxy durch Content Disarm and Reconstruction: Anhänge im PDF-, Word- und Excel-Format werden regelbasiert und automatisiert in unkritische PDF-Dateien umgewandelt. Zusätzlich werden aktive Inhalte (JavaScript, Flash) aus PDF-Dateien entfernt. Dadurch wird dem Empfänger ein Anhang ohne Malware oder Ransomware zugestellt.
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy und dem 32Guards Sandbox Service schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen Phishing-E-Mails und profitieren von vielen weiteren Sicherheitsfunktionen. Fordern Sie jetzt Ihre kostenlose Testversion an!
