Eine Kampagne, viele Gefahren: Betrug in allen Kanälen

Risiken und Sicherheitstipps, wie Käufer und Verkäufer sicher durch die heiße Phase im Shoppingjahr kommen

Mit einer gefälschten Deichmann-Werbung wurden Kunden auf einen geklonten Online-Shop umgeleitet, um Zahlungsdaten abzugreifen. (Bildquelle: Bitdefender)

Mit dem Black Friday und dem Cyber Monday beginnt die heiße Phase im Online Shopping. Es gibt unzählige Angebote auf allen Kanälen, Gutscheine, Rabatte und limitierte Sonderausgaben. Doch wo viel Geld im Spiel ist, sind Kriminelle nicht weit. Wie können sich Einzelhändler vor Cyberangriffen schützen? Welche Red Flags erfordern sofortiges Handeln? Die Forscher in den Cybersicherheitslaboren und Experten von Anbietern wie Sophos und Bitdefender kennen die neuesten Tricks der Angreifer und haben Tipps für Käufer und Verkäufer.

Ob man an dem beworbenen Black Friday Ende November und Cyber Monday am 1. Dezember wirklich Schnäppchen machen kann, darüber scheiden sich die Geister. Eine Tatsache ist jedoch, dass Einzelhändler immer stärker ins Fadenkreuz krimineller Aktivitäten geraten, je näher das Jahresende rückt.

Sophos X-Ops hat im vergangenen Jahr fast 90 verschiedene Bedrohungsgruppen beobachtet, die einen oder mehrere Einzelhändler mit Ransomware angegriffen haben. Die Angreifer versuchen sich Zugang zu Bezahlsystemen, Checkout- Prozessen oder Admin-Konten zu verschaffen. Die Motivation liegt auf der Hand: Umsatz abzugreifen, Zahlungsflüsse umzulenken, Daten zu stehlen oder Systeme lahmzulegen.

Nach Ransomware war die Kompromittierung von Konten die zweithäufigste Art von Vorfällen, die bei Einzelhändlern beobachtet wurden. Laut aktuellen Ergebnissen des „The State of Ransomware in Retail 2025“ hat sich der Anteil reiner Erpresserangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, innerhalb von zwei Jahren verdreifacht: Waren es 2023 noch 2 Prozent, machten der Anteil 2025 bereits 6 Prozent aus.

Ohne die richtigen Fähigkeiten und den richtigen Schutzumfang haben Einzelhändler Schwierigkeiten, Angriffe zu erkennen und zu neutralisieren. So waren begrenzte interne Fachkenntnisse denn auch der zweithäufigste Grund für Kompromittierungen (45 Prozent), dicht gefolgt von Lücken im Schutzumfang (44 Prozent).

„Einzelhändler weltweit sehen sich einer immer komplexeren Bedrohungslage gegenüber, in der Angreifer ständig nach bestehenden Schwachstellen suchen und diese ausnutzen, am häufigsten bei Fernzugriffs- und internetfähigen Netzwerkgeräten. Angesichts der mittlerweile neuen Höchststände bei Lösegeldforderungen wird die Notwendigkeit umfassender Sicherheitsstrategien noch deutlicher. Ohne solche Strategien riskieren Einzelhändler anhaltende Betriebsstörungen und dauerhafte Reputationsschäden, deren Behebung Jahre dauern könnte. Erfreulicherweise erkennen viele dies allmählich und reagieren mit Investitionen in ihre Cyberabwehr, um Angriffe zu stoppen, bevor sie eskalieren, und sich schneller davon zu erholen“, sagt Chester Wisniewski, Director, Global Field CISO, Sophos.

Gestohlene Zugangsdaten – sowohl von Käufern als auch Verkäufern – sind bei Angreifern besonders beliebt und in Zeiten ausufernder Rabattschlachten und sich permanent selbst übertreffender Schnäppchenangebote besonders leicht zu erbeuten.

Süßes oder Scam: Saisonaler Internetbetrug am Beispiel von Halloween

63 Prozent des Spams mit Halloween-Bezug sind bösartig und beabsichtigen, Malware zu implementieren und Zugangsdaten oder Geld zu stehlen. Deutschland ist laut Bitdefender-Telemetrie auf Rang Zwei als Zielland für Spambetrug. Fünf Prozent des Spams haben ihren Ursprung in Deutschland.
Die Bitdefender Labs haben anhand ihrer Telemetrie in der Zeit vom 15. September bis zum 15. Oktober einen globalen Anstieg von Phishing- und Scam-Aktivitäten mit Bezug auf Halloween verzeichnet. 73 Prozent der Angriffe zielten auf Mailboxen in den USA. Deutschland lag als Ziel weltweit auf Rang Zwei – mit deutlichem Abstand zu anderen Ländern. Die Cyberkriminellen warben hierzulande mit Betreffzeilen wie „Exklusive Amazon-Prämie“ oder „Ihre Chance, ein brandneues Halloweenkostüm zu kreieren!“.

Eine Kampagne in Tschechien nutzte Anzeigen zu angeblichen Rabattaktionen des Schuhhändlers Deichmann. Die Experten der Labs entdeckten zudem ein verborgenes Netz von Halloween-Anzeigen über die Meta-Plattformen Facebook und Instagram.

Image
Description
Kriminelle erwerben Plätze für kompromittierte gesponserte und kompromittierte Online-Ads (Bildquelle: Bitdefender)

Hier erwarben die Betrüger gesponsorte Anzeigenplatzierungen für ihre betrügerischen Angebote oder sogar mit direktem Link auf Malware.

Eine der wichtigsten Taktiken, um Malware zu vertreiben, sind gesponserte Anzeigen in Sozialen Medien, die sich als Werbeangebote tarnen. Nutzer werden über die Anzeigen auf kompromittierte Webseiten mit den vermeintlichen Schnäppchen-Angebote gelockt und sollen dort persönliche Informationen und Kontodaten eingeben. Manche Kampagnen enden nicht selten in einer Abo-Falle.

Image
Description
Vermeintliche Umfrage- und Rabattaktionen in Deutschland (Bildquelle: Bitdefender)

Die Angriffsketten sind komplex und zielgerichtet. Einige Kampagnen richten sich gezielt an Besitzer von Kryptowährungen, um Session-Cookies, Authentication-Tokens oder Zugangsdaten für Krypto-Wallets zu stehlen.

Warnsignale für Shop-Betreiber

Ungewöhnliche Login-Muster wie plötzlich steigende Login-Versuche zu ungewöhnlichen Zeiten, aus anderen Ländern oder ständige Fehlversuche sind Hinweise auf automatisierte Credential-Stuffing-Angriffe.

Auffälligkeiten bei Zahlungs- und Rückerstattungs-Prozessen wie ungewöhnliche Summen, die häufige Änderung von Zahlungswegen oder der Einstellungen für Bezahlungen sind Anzeichen, um Gelder umzuleiten.

„Ich brauche schnell Admin-Rechte“ – Plötzliche und dringende Admin-Freigaben sollten generell kritisch hinterfragt werden, besonders aber in der Hektik saisonaler Aktionszeiträume. Angreifer wollen den starken Zeitdruck der Online-Händler ausnutzen.

Wenn Sicherheits-Tools plötzlich ungewöhnlich viel melden, ohne dass technisch bewusst etwas geändert oder neu installiert wurde, sollten Administratoren dies nicht ignorieren. Hier sollten sie entweder selbst oder mithilfe erfahrener Sicherheitsexperten abschätzen, welche Hinweise dringend sind und eine Reaktion erfordern.

Kritische Umsatzsysteme priorisieren: Sicherheits-Checkliste für Online-Händler

Der Schutz von Checkout, Payment, Kundenkonten und die Versand- und Warenwirtschaft steht an erster Stelle, da hier ein direkter Schaden bei Manipulation durch Kriminelle entsteht.

In den heißen Shopping-Wochen gilt besonders: Nur so viel Zugriff wie nötig. Rollen- und Berechtigungssysteme helfen bei der Vergabe und Verwaltung der Accounts.

Administratoren, interne Tools, externe Dienstleister, Agenturen, Kunden – MFA kennt keine Ausnahme. Jeder Zugang wird mit einer Multifaktor-Authentifizierung (MFA) sicherer.

Zugänge privilegierter Benutzer (Admin-Zugänge) sollten speziell abgesichert werden. Privileged Access Management (PAM) eine wichtige Ergänzung zu Identity and Access Management (IAM). Während IAM sicherstellt, dass alle Benutzer innerhalb einer Organisation die richtigen Berechtigungen haben, um ihre Arbeit zu erledigen, konzentriert sich PAM speziell auf Konten mit erhöhten Rechten, indem es die Verwendung dieser Anmeldedaten kontrolliert, Aktivitäten überwacht und das Least-Privilege-Prinzip durchsetzt.

Gestohlene Zugangsdaten werden von Angreifern massiv automatisiert getestet. Rate Limiting, Bot-Abwehr und starkes Monitoring sind wichtig, um Credential Stuffing Angriffe zu blockieren.

Im Ernstfall ist Zeit ein entscheidender Faktor, um die Schäden gering zu halten. Daher ist es sehr ratsam, einen funktionierenden Notfallplan und eine erprobte Business-Continuity-Strategie parat zu haben.

Käuferschutz einmal anders

Nutzer können mit sicherheitsbewusstem Augenmaß viele Gefahren vermeiden, z. B. indem sie saisonale Links mit unnatürlich hohen Belohnungen, Rabatten und Giveaways gar nicht erst anklicken. Ein Überprüfen der E-Mail-Adresse des Absenders und Webadresse des vermeintlichen Shops kann unseriöse Angebote enttarnen. Auch bei Downloads in Online-Anzeigen ist höchste Vorsicht geboten: Einzelhändler oder Verkaufsplattformen gehen in der Regel nicht so vor.

Image
Description
Seriöse Händler bieten keine Downloads an – jedenfalls nicht in zu verlockend klingenden Anzeigen (Bildquelle: Bitdefender)