Über den Nutzen von Loyalty-Programmen wie Payback, Deutschland Card und Co. wird immer wieder diskutiert. Nicht jeder stimmt den Praktiken zur Analyse des eigenen Kaufverhaltens zu, andere hingegen sammeln Punkte und lassen sich Prämien auszahlen. Kurz vor Weihnachten entdeckten die G DATA Experten Phishing-Attacken, die mehr als den Verlust von virtuellen Punkten nach sich ziehen könnten.
Auf seiner Internetseite gesteht Payback ein, dass die aktuellen Fälle „leider gut gemacht“ sind und dem müssen wir zustimmen. Ein Blick auf den Absender könnte den Leser in die Falle locken, denn er sieht echt aus. "Payback.de Service" steht da geschrieben. Payback selbst benutzt allerdings nur "Payback Service". Mehr Details dazu im Abschnitt "Indizien für einen Betrug". Die Ansprache ist angemessen und korrekt, die Namen stimmen tatsächlich. Auch die E-Mail Adresse, die in der Angabe "Ihr Payback Kundenkonto" angegeben ist, ist richtig. Optisch ist die E-Mail bis auf ganz wenige Ausnahmen sehr nah an einer originalen Newsletter-Mail des Services. Tatsächlich verraten einem die Mails nur bei ganz genauem Hinsehen, dass etwas nicht stimmt:
Die zwei E-Mails locken den Besucher auf zwei unterschiedliche Webseiten. Zugegeben, die Domains sind für den Betrugszweck gut ausgewählt und wer nicht genauestens hinschaut, könnte auf die Masche hereinfallen:
Beide Domains lagen zum Zeitpunkt der Analyse auf demselben Server, bereitgestellt von BlazingFast LLC, einem ukrainischen Hoster. Beide Webseiten sind die exakt gleiche Kopie von der Payback-Originalseite.
Einziger Unterschied: Die Formulare für die Zugangsdaten sind nicht original. Eingegebene Daten würden nicht zu Payback versendet, sondern an die Server der Angreifer: www. loginpage .online
Diese Domain wird in den USA gehostet und jegliche Registrierungsinformationen sind geschützt. Der dedizierte Server gehört ebenfalls zu BlazingFast LLC. Ein kurzer Check in populären Websuchmaschinen zeigt, dass die Firma nicht nur positiv auffällt.
Es liegt die Vermutung nahe, dass die Angreifer ihre Phishing-Aktivitäten auf gehackten Servern durchführen. Der zuerst genannte Server hostet eigentlich eine Seite eines brasilianischen Klimageräte-Verkaufs. Der Webauftritt wurde jedoch schon mehrfach im Zusammenhang mit Phishing-Attacken (u.a. gegen eine brasilianische Bank) ins Visier genommen und wird weiter missbraucht.
Zunächst einmal würde man denken, dass so ein Loyalty-Programm-Account nun wirklich nicht wichtig ist, denn man sammelt doch nur Punkte, sonst nichts. Leider ist das weit gefehlt, denn hinter dem Account verbergen sich wertvolle Information und sogar bares Geld.