Auftritt der Master Manipulatoren

Doriel Abrahams von Forter hat die Strategie des Betrügerrings analysiert, der Online-Händler in den USA massiv angegriffen hat.

In den gesamten USA sahen sich Händler in der Weihnachtszeit 2022 mit einem großen Betrügerring konfrontiert, der sie auf sehr perfide Weise und in großem Umfang attackierte. Die Internet-Betrüger gingen mit einem mehrstufigen Angriffsprozess vor: Zuerst versuchten sie es mit einem Gast-Check-Out. Wenn dies nicht gelang, mit einem Account Take Over (ATO). Scheiterten sie auch hier, manipulierten sie den Kundensupport. Die Angriffe auf die Händler waren nicht einmal der erste Schritt in dem Schema; viele Attacken basierten auf Dreiecksgeschäften, so dass der Anfang des Angriffs Online-Marktplätze und vermeintlich legitime unabhängige Geschäfte waren.

Die Angreifer hatten Wege gefunden, die Überprüfung der Lieferadresse zu umgehen. Dazu gehörten einfache, aber effektive Techniken wie das Ausschreiben von Zahlen als Zahlwörter, das Einfügen eines Teils der Adresse in das Feld „Name“, die Verwendung von Nicht-ASCII-Zeichen usw. Die Gruppe, die als “Master Manipulator” bekannt wurde, hatte die Angriffe seit August vorbereitet. Sie wussten, wie die Schutzmaßnahmen und Standardverfahren der einzelnen Handelsunternehmen funktionierten und wo sich Schwachstellen befinden könnten. Sie hatten sogar Pläne, den Angriff zu verstärken, nachdem eine erste Welle identifiziert und abgewehrt worden war.

Im August hatte die Gruppe die folgenden Techniken mit Raubzügen bei Lebensmittelhändlern eingeübt:

Adressmanipulation
Bereits im August versuchten sie auf verschiedene Weise, die Tools und Techniken zur Adressenüberprüfung zu umgehen. Sie fügten Kauderwelsch oder Text („Lieferung an meine Wohnung”) in das Feld für die Lieferadresse ein, sie vermieden die Verwendung von Ziffern und so weiter – ein klarer Versuch, die Verknüpfung mehrerer Bestellungen an dieselbe Lieferadresse zu verhindern.

Der Ursprungsort der Gruppe war leicht zu erkennen
Die Adressen, an die die Waren geliefert wurden, reichten von Privatwohnungen bis hin zu Firmengebäuden. Die überwältigende Mehrheit hatte eine Verbindung zu einem bestimmten Land in Südost-Asien. In einigen Fällen handelte es sich bei diesen Privatadressen sogar um die Orte, an denen die Betrugsunternehmen des asiatischen Landes ihren Hauptsitz hatten (zumindest auf dem Papier). In anderen Fällen handelte es sich bei den Geschäftsadressen um südostasiatische Spediteure, die unter dieser Anschrift tätig waren. Und in einem besonders merkwürdigen Fall gab es einen privaten Wohnsitz mit einem südostasiatischen Restaurant auf der anderen Straßenseite. Briefkastenfirmen? Fassade für illegale Geschäfte? Legitime Unternehmen und Wohnsitze, die gezwungen wurden, einer lokalen Verbrecherbande zu helfen? Wer weiß das schon – aber wahrscheinlich ist von allem etwas dabei.

Diebstahl von seltsamen Dingen
Bei Lebensmittelgeschäften und Lieferdiensten waren die begehrtesten Waren bei diesem Angriff Obst und Gemüse, gefolgt von Snack-Riegeln, Eiscreme-Riegeln, Geschirrspültabletten und Windeln. Im Nachhinein macht das Sinn – es ist das Äquivalent zu Kartentests bei physischen Waren. Die Betrüger wollten nicht die Brücke zu Händlern schlagen, die sie während der Feiertage ernsthaft angreifen wollten, also testeten sie Waren und Geschäfte, bei denen das kein Problem darstellen würde.

Experimentieren mit Betrug
Es gab viele Bestellungen im Niedrigpreissegment, einige Bestellungen im mittleren Preissegment und eine kleinere Anzahl von Bestellungen im Hochpreissegment. Sie probierten verschiedene Händler, verschiedene US-Bundesstaaten und verschiedene Adressen aus. Nicht alle diese Informationen sind direkt auf andere Branchen übertragbar, aber vieles davon schon. Und für die Betrüger, die diese Angriffe durchführen, ist das alles eine gute Übung.

Untertauchen
Die Manipulatoren beschlossen im Herbst unterzutauchen. Die Täter wollen maximalen Nutzen für minimalen Aufwand. Bei den Manipulatoren war es jedoch ein Zeichen für ihren außerordentlich rationalisierten Angriff. Einzelhändler konnten dies während der Feiertage beobachten: Sie griffen genau in dem Maße an, wie es nötig war, um die Schutzmaßnahmen eines Händlers zu überwinden, investierten aber darüber hinaus keine weiteren Anstrengungen. Wenn ihnen ein neues Hindernis in den Weg gelegt wurde, taten sie gerade genug, um es zu umgehen – bis es zu schwierig wurde, dann zogen sie weiter.

Sicherheitsmaßnahmen aufgrund der Angriffsstrategie

Viele Anzeichen für den groß angelegten Angriff waren bereits in der Anfangsphase vorhanden. Was können wir daraus über die Zukunft der Online-Betrugsangriffe dieser oder anderer Gruppen lernen?

Adressmanipulation
Wenn sich Händler immer noch auf traditionelle Methoden der Adressmanipulation wie AVS verlassen, müssen sie ihre Systeme neu bewerten und sicherstellen, dass sie gegen Angriffe gehärtet sind, die darauf abzielen, genau diese Tools zu umgehen (in der Regel durch die Vermeidung von Zahlen in den Adressfeldern).

Modernisieren von traditionellen Werkzeugen
Die Master Manipulator waren geduldig und klug. Sie fanden heraus, bei welchen Händlern ihre Adressmanipulationen ins Leere laufen würden und verdoppelten ihre Angriffe daraufhin. Dieses Mal waren es Adressen, das nächste Mal wird es etwas anderes sein. Händler sollten die Zeit zu Anfang des Jahres nutzen, um ihre Systeme zu überprüfen und sicherzustellen, dass Sie sich nicht zu sehr auf traditionelle und bekannte Methoden wie diese verlassen. Wenn sie der Betrugsbekämpfungsgemeinschaft bekannt sind, kennen auch die Betrüger sie.

Mehrschichtig vorgehen
Die Gruppe war während der Urlaubszeit auch deshalb erfolgreich, weil ihr Angriff so vielschichtig war. Wenn der Guest-Account nicht funktionierte, dann eben ATO, wenn sich die Lieferadresse im Konto nicht ändern ließ, dann wurde der Kundendienst angerufen. Der Schutz vor Betrug muss auf dieselbe Art und Weise aufgebaut sein.

Angriffe erfolgen in großem Umfang
Triangulation war lange Zeit eine Utopie, zu groß der Aufwand, zu groß die Ressourcen, die Betrüger aufwenden müssten. Die Gruppe zeigte, dass sich alles skalieren lässt. Betrugsbekämpfer müssen verstehen, dass diese Methode auf jeden Betrugsangriff, jede Technik und jeden Versuch angewendet werden kann.

Vorsicht vor dem Sommerloch
Früher gab es ruhige Zeiten im Jahr, zumeist war dies im Sommer der Fall. Inzwischen sind Betrüger das ganze Jahr über aktiv. Wäre das südostasiatische Element des Angriffs der Manipulatoren seit dem Sommer allgemein bekannt gewesen, wäre dies ein hilfreicher Hinweis gewesen, um verdächtiges Verhalten zu identifizieren, bevor sich der Angriff ausweitete.

360°-Sicht auf Betrugsangriffe
Betrugsbekämpfer brauchen einen 360°-Sicht über alle Unternehmen, Branchen und Regionen hinweg. Die Manipulatoren verließen sich darauf, dass sie in bestimmten Branchen klein anfangen konnten und dies sie nicht daran hindern würde, mit den gewonnenen Erkenntnissen auch andere Branchen erfolgreich anzugreifen.

Fazit

Nur dadurch, dass Betrugsbekämpfer die verschiedenen Puzzleteile zusammengesetzt haben, gelang es, den südostasiatischen Ring vom August mit der Gruppe der Master Manipulator in Verbindung zu bringen. Es braucht also eine tiefergehende Analyse, übergreifende Zusammenarbeit und genaue Daten, um solche Betrugsszenarien aufzudecken und in Zukunft verhindern zu können.

 

Doriel Abrahams

Head of U.S. Analytics bei Forter