Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Ware nicht geliefert: Betrüger hacken Tausende Webshops und kassieren Millionen

Hacker haben seit 2019 im Rahmen einer Betrugskampagne unzählige Onlineshops infiltriert. Käufer bestimmter Produkte erhielten ihre Ware nie .
/ Marc Stöckel
7 Kommentare News folgen (öffnet im neuen Fenster)
Ein leerer Einkaufswagen (Symbolbild) (Bild: pixabay.com / HOerwin56)
Ein leerer Einkaufswagen (Symbolbild) Bild: pixabay.com / HOerwin56

Forscher des Cybersicherheitsunternehmens Human haben eine mindestens seit 2019 laufende Betrugskampagne namens Phish 'n' Ships aufgedeckt. Dabei kompromittierten die Angreifer unter Ausnutzung bekannter Sicherheitslücken eine Vielzahl legitimer Onlineshops, um auf eigene Fake-Shops umzuleiten und gefragte Produkte anzubieten, die den Käufern jedoch niemals geliefert wurden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Referent*in der Dezernatsleitung DSRV-Services (w/m/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
Administrator User and Service (m/w/d) PM-International AG'', Speyer (öffnet im neuen Fenster)
(Junior) IT Engineer Infrastruktur (m/w/d) ATOS Gruppe GmbH & Co. KG, München (öffnet im neuen Fenster)
Software Developer PHP (m/w/d) - Konstanz oder remote SEITENBAU GmbH, Konstanz (öffnet im neuen Fenster)
SAP HCM Application Manager (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Auszubildende zur Fachinformatikerin / zum Fachinformatiker der Fachrichtung Anwendungsentwicklung (w/m/d) Landesamt für Zentrale Polizeiliche Dienste NRW - LZPD, Duisburg (öffnet im neuen Fenster)
Inside Sales Specialist (m/w/d) MTI Technology GmbH, München (öffnet im neuen Fenster)

Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erklären, infiltrierten die Betrüger dafür im Laufe der Jahre mehr als 1.000 bestehende Webshops und bauten zugleich 121 eigene Fake-Shops auf, die über eine von insgesamt 14 IP-Adressen erreichbar sind.

Die angebotenen Produkte seien zudem gezielt um Metadaten ergänzt worden, um bei Suchmaschinen wie Google ein besseres Ranking zu erzielen und die betrügerischen Angebote für möglichst viele Verbraucher auffindbar zu machen, heißt es in dem Blogpost.

Ziel der Kampagne war es, die Käufer um ihr Geld und ihre Zahlungsinformationen zu bringen. Offenkundig hatten die Angreifer damit Erfolg: Die Forscher schätzen die Höhe der Schäden, die "Hunderttausenden von Verbrauchern" in den letzten fünf Jahren durch Phish 'n' Ships entstanden sind, auf "mehrere zehn Millionen Dollar" .

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Kampagne eingedämmt, Bedrohung bleibt

Die Kampagne konnte nach Angaben der Forscher in Kooperation mit Strafverfolgungsbehörden und den Zahlungsdienstleistern, über die die betrügerischen Käufe abgewickelt wurden, eingedämmt werden. Die Konten der Angreifer seien von den Plattformen der Zahlungsanbieter entfernt worden, heißt es. Zudem seien die betrügerischen Produktangebote seit Oktober 2024 nicht mehr über Google auffindbar.

Dennoch warnen die Forscher, dass die Angreifer mit hoher Wahrscheinlichkeit neue Wege erkunden werden, um ihre betrügerischen Aktivitäten fortzuführen. Um Phish 'n' Ships vollständig zu vereiteln, bedürfe es eines hohen Maßes an Wachsamkeit. Verbraucher werden angesichts besonders lukrativ erscheinender Angebote im Internet ermahnt: "Wenn etwas zu gut erscheint, um wahr zu sein, ist es das mit großer Wahrscheinlichkeit auch" , so das Forscherteam.

Zur Startseite 7 Kommentare

Relevante Themen

WebseitenSoftwareSecuritySicherheitslückeCybercrimeOnlinehandelOnlineshopDatensicherheitE-CommerceHacker