Die chinesische Fakeshop-Fabrik "BogusBazaar" ist noch immer aktiv und betreibt Tausende Shops, um Kunden zu betrügen. Das fanden die Entdecker des kriminellen Netzwerks heraus und präsentierten ihre Entdeckungen auf dem 38C3.
Anzeige
Matthias Marx vom Sicherheitsdienstleister SRLabs und Kai Biermann von Zeit Online konstatierten, dass das Netzwerk der gefälschten Shops zwar geschrumpft sei, die mutmaßlich chinesischen Urheber aber ihre Vorgehensweise angepasst hätten. So setzt BogusBazaar aktuell nicht mehr auf sogenannte "Expired Domains", also von ihren ursprünglichen Inhabern nicht verlängerte Internetadressen, sondern hauptsächlich auf generische Top-Level-Domains (TLD) wie .xyz und .shop. Diese sind bei Spammern wegen ihrer leichten und preisgünstigen Verfügbarkeit beliebt.
Der BogusBazaar, ein kriminelles Netzwerk von zwischenzeitlich bis zu 75.000 Fakeshops, war im Mai aufgeflogen. Seine Betreiber fischen Bestellungen von Markenkleidung und -Accessoires ab, um die so ergaunerten Kreditkartendaten bei betrügerischen Buchungen einzusetzen und weiterzuverkaufen. Ware erhalten die Opfer nie oder allenfalls in sehr minderwertiger Qualität. Allein durch nicht ausgelieferte Bestellungen entstand ein geschätzter Schaden in mittlerer zweistelliger Millionenhöhe bei über 800.000 Betroffenen.
Fake-Stussy: Wer hier bestellt, ist sein Geld und seine Kreditkartendaten los.
(Bild: heise security / cku)
Marx kam dem Shopnetzwerk auf die Spur, als er bei verschiedenen verdächtig wirkenden Online-Läden dieselben Konfigurationsdateien für ein Git-Repository entdeckte. Über den Codespeicher fand er den Quellcode der Shops, entdeckte eine Sicherheitslücke und erlangte so Zugriff auf die gesamte Infrastruktur der Kriminellen, deren weitreichendes Netz er dann analysierte.
Die technische Plattform der BogusBazaar-Shops beruht auf Wordpress mit dem e-Commerce-Zusatzmodul wooCommerce und verschiedenen Automatismen, um Produktdaten und -bilder in die Datenbanken zu laden. Mitarbeiter der BogusBazaar-Bande übernehmen diesen Datenimport für ein monatliches Salär, das den Forschern über von ihnen gefundene Arbeitsverträge bekannt ist. Auch interne Schulungsunterlagen fielen Marx und Biermann in die Hände.
Matthias Marx stellte uns nach seinem Vortrag auf dem 38C3 die aktuelle Liste aller bekannten BogusBazaar-Shops zur Verfügung. Dieser bestätigt die veränderte Vorgehensweise der Kriminellen. Von den über 15.900 Domains nutzen knapp 11.600 eine ".shop"-Domain, etwa 4.200 die TLD .com und etwa 180 greifen auf .xyz oder .top zurück.
Viele der Shops sind nach wie vor online. Zwar lassen sich etwa 6.000 nicht mehr zu einer IP-Adresse auflösen, die restlichen 9.500 Fakeshops sind aber noch immer erreichbar und lauern auf Kunden. Die Aufmachung mit Logos bekannter Marken und attraktiven Preisnachlässen soll Interesse wecken, nach Bestelleingang werden Käufer jedoch Opfer betrügerischer Kreditkartenbuchungen statt Besitzer neuer Markenkleidung.
Die Kriminellen, die laut Marx und Biermann ein Unternehmen in China betreiben, bedienen sich verschiedener europäischer, vor allem aber einiger großer US-amerikanischer Internetdienste. Allen voran Cloudflare: 98,6 Prozent der am Nachmittag des 29. Dezember noch erreichbaren BogusBazaar-Shops verstecken sich hinter dem CDN des Internetriesen und verschleiern so ihre wahre IP-Adresse. Auch andere Anbieter leisten den Betrügern (vermutlich unfreiwillige) Beihilfe: Ein Dutzend IP-Adressen im Amazon-Netz beherbergt etwa mutmaßlich gefälschte Onlineshops.
Auch die US-Zahlungsdienstleister Stripe und PayPal sind mit von der Partie. Da PayPals Vertrauenssystem den Kriminellen die schnelle und für sie risikoarme Abwicklung des Betrugs erschwert, bedienen sie oft sich eines Tricks: Statt einer Bezahlung für Waren verleiten sie ihre Kunden dazu, eine Spende zu leisten, die PayPal auch bei Betrug nicht zurückerstattet.
Natürlich habe man die von BogusBazaar missbrauchten Anbieter informiert, diese hätten sich jedoch teilweise unkooperativ gezeigt. So sei es, berichtete Marx, auch nach mehrfachen Versuchen nicht gelungen, Google dazu zu bewegen, die Fake-Domains automatisiert in dessen "Safe Browsing API" aufzunehmen, die vor böswilligen Webseiten im Browser warnt. Ein Webformular nebst CAPTCHA mehrere Zehntausend Male auszufüllen, sei ihm dann doch zu mühsam gewesen, so Marx. So sind derzeit nur wenige Domains in einer von heise security gezogenen Stichprobe in der "Safe Browsing"-Blockliste des Branchenriesen aus Mountain View verzeichnet.
Auch die chinesischen Behörden, denen die Entdecker mittels der diplomatischen Vertretung in Deutschland einen Wink gaben, reagierten nicht – und auch die Bereitschaft deutscher Ermittler, sich der gefälschten Shops anzunehmen, sei ausbaufähig gewesen, konstatierten die Sicherheitsforscher.
Um sich gegen Fakeshops zu schützen, empfehlen Marx und Biermann eine gesunde Vorsicht gegenüber verdächtig günstigen Angeboten und unbekannten Onlineläden. Zudem haben sie alle gefundenen BogusBazaar-Shops an den "Fakeshop Finder" des Verbraucherzentrale Bundesverbands übergeben, der diese in sein Angebot einbauen wird.
(
Kommentare