Warnung vor Uber-Scam: Phishing rechtzeitig erkennen

Malwarebytes Labs nimmt Stellung zu angeblicher Sicherheitswarnung von Uber

[datensicherheit.de, 30.09.2021] Malwarebytes Labs hat nach eigenen Angaben wieder einmal einen Scam-Versuch entdeckt – diesmal verkleidet als angebliche Sicherheitswarnung von Uber. Diese Warnung sei ziemlich überzeugend gewesen und habe die gleiche Anrede verwendet, welche von Uber in seinen echten Sicherheits-E-Mails und SMS genutzt werde. „Auffallend dabei ist, dass die gefälschte Sicherheitswarnung von einer Telefonnummer kam, die Uber auch tatsächlich verwendete. Das bedeutet nicht, dass Uber einen Betrug durchführt – das ,Call ID Spoofing‘ ist relativ weit verbreitet unter Betrügern, um ihre Nachrichten so auszusehen lassen, als kämen sie von einer vertrauenswürdigen Quelle.“ Das Heimtückische daran: „Weil die echte Nummer gefälscht wurde, erschien die Fake-Sicherheitsmeldung neben den echten Sicherheitsmeldungen, die User von Uber erhalten.“

Scam-Webseite mit falscher Uber-Domain

Mitarbeiter von Malwarebytes hätten erkannten, „dass es sich bei der Nachricht um Betrug handelt, da der Domainname nicht richtig aussah“. Er habe zwar das Wort „Uber“ enthalten, sei aber nicht der offizielle Uber-Domainname („uber.com“). Zudem sei dieser Domainname nur wenige Tage alt gewesen – „ein lautes Warnsignal!“
Da Betrugs-Webseiten oft schnell entdeckt würden, seien sie in der Regel nur wenige Tage online. Eine weitere Überprüfung habe ergeben, „dass diese neue Webseite in Russland gehostet wurde“ – dies sei noch ein Hinweis, da Uber keine Webseiten in Russland betreibe.

Falsche Webseite passte zum Branding von Uber

Diese falsche Webseite habe dem „Branding“ von Uber gut genug entsprochen, um auf den ersten Blick überzeugend zu wirken. Dieser Betrug sei ein gutes Beispiel dafür, wie eine Scam-Webseite vertrauenswürdige Elemente nutze, um diese gegen den Nutzer zu verwenden:

Call ID Spoofing
Das Fälschen der Anrufer-ID sei relativ einfach, daher könnten sich Nutzer nicht darauf verlassen, „dass die Nachricht auch tatsächlich von der besagten Nummer stammt“.

Vorhängeschloss-Symbol
Wie alle guten Betrugsseiten habe sie zudem ein gültiges Sicherheitszertifikat und das Vorhängeschloss-Symbol gehabt. „Eine nützliche Erinnerung daran, dass das Vorhängeschloss vor dem Domainnamen dem User nur zeigt, dass die Verbindung zur Webseite sicher ist, aber nichts darüber aussagt, wie sicher oder vertrauenswürdig die Webseite selbst ist.“

Lehre aus Uber-Scam: Merkmale zum Erkennen von Phishing-Webseiten

• Domain-Name
  Webseiten verwenden generell nicht den offiziellen Domainnamen. In diesem Fall habe der Name plausibel ausgesehen, sei aber falsch gewesen.
• Persönliche Informationen
  Betrüger fragen nach Dingen, die ein Service-Provider bereits kennen sollte, wie etwa Zahlungsinformationen.
• Dringlichkeit
  Scammer wollten immer wichtige Informationen, und zwar schnell. Obwohl es verschiedene Arten von Betrug gebe, liefen sie normalerweise darauf hinaus, dass sensible Daten wie aus heiterem Himmel erfragt würden.

Obwohl diese Webseite schnell geschlossen worden sei, tauchten genauso schnell Neue wieder auf. Es sei für Betrüger ein Leichtes, viele weitere identische Ersatzseiten unter neuen Domainnamen zu erstellen, daher sollte man vorsichtig sein.

Weitere Informationen zum Thema:

Malwarebytes LABS, Mark Stockley, 24.09.2021
Uber security alert scam spoofs real Uber number — Watch out!

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 26.05.2021
Elon Musk, Tesla und Bitcoins: Hacker mit neuen Aufhängern für Scam-Kampagnen / Bitdefender Labs warnen vor betrügerischen Scam-Mails