Infoblox enttarnt Savvy Seahorse
DNS-Betrug: Das Geld ist weg
Savvy Seahorse ist seit August 2021 aktiv und hat User in verschiedenen Regionen und Sprachen ins Visier genommen, indem die Angreifer sich als bekannte Firma ausgaben, etwa Tesla, Facebook/Meta oder Imperial Oil.
Infoblox, Anbieter für DNS-Management und -Sicherheit, hat Einzelheiten über Savvy Seahorse in einem neuen Threat Intel Report veröffentlicht. Savvy Seahorse ist ein DNS-Bedrohungsakteur, der seine Opfer dazu bringt, ihr Geld auf gefälschten Investmentplattformen anzulegen, indem sie sich als bekannte Firmen wie Tesla, Meta oder Imperial Oil tarnten. Um dies zu erreichen, nutzte die Gruppe fortgeschrittene Techniken, wie Fake-Chatbots, Meta Pixel Tracking oder die missbräuchliche Nutzung der Domains verschiedener Zahlungsdienstleister.
Der neue Threat Intel Report mit dem Titel „Beware of the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads” („Vorsicht vor seichten Gewässern: Savvy Seahorse lockt Opfer durch Facebook-Werbung auf gefälschte Anlageplattformen“) beschreibt, wie Savvy Seahorse diese bisher unbekannte Vorgehensweise. Dafür griff der Bedrohungsakteur auf das Domain Name System zurück, um den Traffic für die Betrugskampagne zu erhöhen und gewissermaßen „unter dem Radar zu fliegen“.
Der Report gibt detaillierten Aufschluss über die Infrastruktur, Vorgehensweisen und Tätigkeiten von Savvy Seahorse, die bis in den August 2021 zurückverfolgt werden können. Zudem enthält der Report eine Sammlung von Indikatoren, die auf die Aktivität von Savvy Seahorse hindeuten und Sicherheitsverantwortliche und Unternehmen dabei unterstützen, den Bedrohungsakteur zu identifizieren und zu blockieren.
Wer durch Facebook scrollt und auf eine Werbeanzeige für eine neue Investment-Plattform stößt, die hohe Renditen verspricht, kann schnell getäuscht werden. Ähnlich wie eine neue Bank, die ein hohes Zinsversprechen gibt, lockt man so User auf die Plattformen. Dort deutet nichts auf einen Betrug hin. Im Gegenteil: Die Websites zeigen sich in einem vermeintlich professionellen und vertrauenswürdigen Design, das dem einer modernen Bank in nichts nachsteht.
Hier kommt Savvy Seahorse ins Spiel. Sie sind diejenigen, die die Werbeanzeigen geschaltet haben und die Website betreiben. Im Gegensatz zu einer vertrauenswürdigen Bank sind sie jedoch nicht daran interessiert, das Vermögen der User zu steigern, sondern daran, es zu stehlen.
So geht die Gruppe vor:
- Gefälschte Investment-Plattformen: So wie eine Fake-Bank versucht, nichtsahnende Kunden davon zu überzeugen, ihr Geld dort anzulegen, lockt Savvy Seahorse die Nutzer auf gefälschte Investment-Plattformen. Diese erscheinen zwar auf den ersten Blick täuschend echt, sind jedoch nur eine Fassade für den Betrug.
- Persönliche Daten: Einmal auf ihrer Plattform, fragt Savvy Seahorse die User nach persönlichen Daten und Finanzinformationen. Vergleichbar ist dies mit einer Fake-Bank, die Sozialversicherungsnummern und Einzelheiten zu den Konten ihrer Kunden fordert.
- Veränderte Taktiken: Savvy Seahorse ist hinterlistig. Die Gruppe verändert ihre IP-Adressen (ähnlich als würde eine Bank ihren physischen Standort ändern) und erstellt zahlreiche Subdomains (so als würde eine Bank unterschiedliche Fillialen eröffnen), um nicht entdeckt zu werden.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Wirtschaftskriminalität
Täter kommen oft aus den eigenen Reihen
Gastkommentar von Infoblox
DNS und die Geschichte von Muddling Meerkat
