Black Friday: Image- und Umsatzverlust statt Jahresendgeschäft
Wenn gefälschte Markenauftritte in die Rabattschlacht ziehen, ist das nicht nur für Verbraucher gefährlich. Was können Online-Händler tun, um sich und ihre Kunden zu schützen?
Mit dem Black Friday und der darauffolgenden Cyberweek erreicht die Saison für betrügerische Lockangebote einen neuen Höhepunkt. Die Zeit für verlockende Angebote begann bereits mit Halloween und wird sich bis in den Januar des darauffolgenden Jahres hinein erstrecken.
Bereits Wochen vorher beginnen die Rabattschlachten und locken Online-Händler Verbraucher in ihre virtuellen Läden. Doch nicht alle Schnäppchen halten, was sie versprechen. Fast die Hälfte (47%) der Angebote sind Spamvertising oder aggressive Marketingkampagnen, mit denen es böswillige Akteure Verbraucherdaten – insbesondere Kreditkartennummern – abgesehen haben.
2024 betrug der weltweite Onlineumsatz 1,2 Billionen US-Dollar – Tendenz steigend. Mit den Umsatzzahlen wachsen jedoch auch die Risiken.
“Der Anstieg der Online-Shopping-Aktivitäten und intensive Werbeaktionen bieten ideale Voraussetzungen für Phishing, gefälschte Websites und den Diebstahl von Zugangsdaten. Cyberkriminelle nutzen das Gefühl der Dringlichkeit und den Einkaufsrausch der Konsumenten aus,” sagt Anne Cutler, Cybersecurity Expert bei Keeper Security. “In diesem Jahr werden wir mit Sicherheit noch raffiniertere Betrugsmaschen erleben, die in erster Linie durch künstliche Intelligenz angetrieben werden, sei es in Form von überzeugend gefälschten Bestellbestätigungen, gefälschten Händler-Websites oder sogar KI-generierten Kundenservice-Nachrichten, die darauf abzielen, Anmeldedaten oder Zahlungsinformationen zu stehlen. Die Taktiken der Cyberkriminellen entwickeln sich rasant weiter, aber das Ziel bleibt letztlich dasselbe: Ihre persönlichen Daten.”
Wölfe im Markenpelz
Zu den bewährten Betrugskonzepten wie SMS- oder E-Mail-Phishing, Social-Media-Betrug und Malvertising kommen immer häufiger gefälschte Markenauftritte. In Deutschland agierten Cyberkriminelle unter anderem im Namen von bekannten Unternehmen wie IKEA, Kaufland, MediaMarkt sowie Amazon und Temu.
Phishing-Angriffe werden immer raffinierter und Social Engineering nutzt menschliche Schwächen systematisch aus.
Deutschsprachige Verbraucher waren im Zeitraum vom 11. Oktober bis 10. November Ziel einer großangelegten Phishing-Give-Away-Kampagne – vermeintlich im Namen der bekannten Marken MediaMarkt, Amazon und TEMU. In den E-Mails versprachen die Absender mit dem für Betrüger typischen Mix aus Dringlichkeit und Verlockung Gutscheine im Wert von 500 bis 3.000 Euro, iPhones oder vermeintliche Pakete mit Testprodukten.
Cybersicherheitsforscher von Bitdefender brachten das Spam-Aufkommen mit einem einzigen Infrastruktur-Cluster in Verbindung. Für den Versand der betrügerischen Nachrichten wurden Google Cloud Storage für das Hosting sowie IP-Adressen der Google Cloud in den Niederlanden und Belgien genutzt. Aufgrund der Nutzung legitimer Google-Cloud-Infrastruktur ließ sich der digitale Betrug nur erschwert erkennen und blockieren.
KI macht’s möglich. Mit ihrer Hilfe lassen sich schnell große Mengen an Werbetexten, Bildern und Landingpages generieren. Cyberkriminelle nutzen maschinelles Lernen aber auch, um Sicherheitsmechanismen zu umgehen, menschliches Verhalten zu imitieren und Angriffsstrategien dynamisch anzupassen.
“Kriminelle setzen zunehmend auf ausgefeilte, automatisierte Angriffsmethoden, die darauf abzielen, Websites lahmzulegen, Warenkörbe zu manipulieren, begrenzte Produkte aufzukaufen oder sensible Kundendaten abzugreifen”, sagt Christian Reilly, Field CTO EMEA bei Cloudflare. “Der Kampf zwischen Angreifern und Verteidigern hat sich auf eine neue, algorithmische Ebene verlagert. Dies erfordert zwingend den Einsatz KI-basierter Verteidigungsstrategien, die in der Lage sind, anomale Muster zu erkennen, sich selbstständig an neue Bedrohungen anzupassen und in Echtzeit zu reagieren.”
Traditionelle Perimeter-basierte Sicherheitskonzepte, die davon ausgehen, dass alles innerhalb des Firmennetzwerks vertrauenswürdig ist, sind angesichts dieser Bedrohungen obsolet geworden.
Technische und organisatorische Resilienz für Shop-Betreiber
Cloudflare zufolge wurden während der Cyber Week im vergangenen Jahr 102 Milliarden Bot-Anfragen weltweit verzeichnet. An Tagen wie dem Black Friday und dem Cyber Monday stiegen die betrügerischen Aktivitäten um satte 200 Prozent. Der Einzelhandel steht damit unter massivem Druck und in der Verantwortung, sich proaktiv vor Cyberangriffen und betrügerischen Aktivitäten zu schützen.
Christian Reilly, Field CTO EMEA bei Cloudflare empfiehlt Online-Händlern, Schutzmaßnahmen gegen komplexe Bedrohungen wie KI-gestützte Angriffe, Bot-Aktivitäten und Phishing zu automatisieren. “Eine moderne Sicherheitsarchitektur muss mehrere Angriffsvektoren gleichzeitig adressieren: Credential Stuffing, bei dem gestohlene Login-Daten automatisiert gegen tausende Accounts getestet werden; Web Scraping, das Preise, Produktinformationen und Wettbewerbsdaten abgreift; Zahlungsskimming, das Kreditkarteninformationen während des Checkout-Prozesses abfängt; sowie API-Missbrauch, der gezielt Schwachstellen in den Programmierschnittstellen ausnutzt.”
Umso wichtiger ist es, den Zugriff auf sensible Unternehmensdaten sowohl intern als auch extern abzusichern. Reilly rät zum Least-Privilege-Ansatz, “bei dem Nutzer und Systeme nur die minimal notwendigen Zugriffsrechte erhalten. Er bildet eine wichtige Verteidigungslinie. Ergänzt durch kontinuierliche Echtzeit-Überwachung des Netzwerkverkehrs und obligatorische TLS-Verschlüsselung für alle Datenübertragungen entsteht ein mehrschichtiges Sicherheitskonzept.”
Einen Paradigmenwechsel hin zu Zero Trust Network Access (ZTNA) hält der Field-CTO von Cloudflare für unausweichlich. “Das Grundprinzip von Zero Trust lautet: Kein Nutzer, kein Gerät und keine Anwendung ist automatisch vertrauenswürdig – unabhängig davon, ob der Zugriff von innerhalb oder außerhalb des Unternehmensnetzwerks erfolgt. Jede Zugriffsanfrage wird authentifiziert, autorisiert und kontinuierlich validiert.”
Die praktische Umsetzung erfordert mehrere komplementäre Maßnahmen: “Multi-Faktor-Authentifizierung (MFA) muss zum Standard werden, um sicherzustellen, dass selbst kompromittierte Passwörter nicht ausreichen, um Zugang zu erlangen. KI-basierte E-Mail-Security-Lösungen identifizieren und blockieren Phishing-Versuche, Malware-Anhänge und verdächtige Kommunikationsmuster mit hoher Präzision. Regelmäßige Awareness-Trainings sensibilisieren Mitarbeiter für Social-Engineering-Taktiken und schaffen eine unternehmensweite Sicherheitskultur.”
Laut Reilly sollte der Aufbau einer Zero-Trust-Architektur schrittweise erfolgen: “Beginnend mit der Segmentierung kritischer Systeme, über die Implementierung granularer Zugriffskontrollen bis hin zur kontinuierlichen Überwachung und Verhaltensanalyse. Wichtig ist außerdem, dass auch externe Partner, Lieferanten und Service-Provider einbezogen und deren Zugriffe strikt limitiert und überwacht werden.”
Die Grenzen der Technik
Der Schutz vor gefälschten Markenauftritten ist für Online-Händler fast nur organisatorisch möglich. Die Registrierung aller relevanten Top-Level-Domains, inklusive Varianten für gängige Tippfehler und ähnliche Domainnamen, ist ein Fass ohne Boden und nur mäßig geeignet, Missbrauch und Domain-Grabbing vorzubeugen. Und selbst bei weitreichenden technischen Maßnahmen wie Verschlüsselung sowie der Absicherung von Domains und E-Mails mit DNSSEC, DMARC und DKIM ist es immer der Verbraucher, der achtsam bleiben muss und die Informationen in Webshops, Anzeigen oder E-Mails auf alle möglichen Anzeichen einer potenziellen Fälschung prüfen muss. Tatsächlich helfen hier nur reaktive Maßnahmen, die das Internet, Marktplätze und soziale Medien kontinuierlich überwachen und nach gefälschten Anzeigen, Shop-Kopien oder Landingpages durchsuchen.
Ob eine konsequente Meldung jedoch etwas bringt, bleibt fraglich – verdienen die Plattformen wie Facebook oder Google doch kräftig mit an der betrügerischen Werbung. 16 Milliarden Dollar sollen es laut einer firmeneigenen Schätzung im vergangenen Jahr allein bei Facebook-Mutterkonzern Meta gewesen sein.