Baukästen, die Laien das schnelle Zusammenbasteln einfacher Phishing-Webseiten sowie deren Verwaltung über ein Webinterface ermöglichen, stehen in Untergrundforen schon seit längerem zum Kauf bereit. Ihr Umfang beschränkt sich aber meist auf relativ einfache Formulare zur Dateneingabe, auf die man beispielsweise aus Phishing-E-Mails gelotst wird. Das vom Sicherheitssoftware-Hersteller Check Point analysierte "[A]pache"-Kit geht ein paar Schritte weiter, denn damit lassen sich komplette Onlineshop-Klone mit wenigen Mausklicks erstellen.

[A]paches Zielpublikum sind (bislang) nur brasilianische Bösewichte. (Bild: Check Point)

Derzeit wird das Kit von seinem Entwickler ausschließlich in brasilianischen Foren angepriesen. Je nach gewünschtem Fake-Shop variieren die Preise zwischen 100 und 300 US-Dollar und liegen damit laut Check Point leicht über denen von "Standard-Kits", die teilweise kostenlos oder für Preise um die 50 bis 100 Dollar erhältlich sind.

Die Shop-Templates sind (mit Ausnahme von Walmart) überwiegend brasilianischen Originalen wie Americanas, Ponto Frio oder Casas Bahia nachempfunden. Für Trittbrettfahrer mit Programmierkenntnissen würde eine Erweiterung der Sprach- und Shop-Auswahl aber wohl kaum eine große Herausforderung darstellen.

Produktimports aus echten Shops möglich

Neben dem Kit brauchen angehende Phisher noch eine Domain, über die der Fake-Shop erreichbar sein soll und deren Namen idealerweise an das Original erinnert. Dann kann der Betrug losgehen: [A]paches Shop-Webseiten beinhalten von Produkten bis hin zum voll funktionsfähigen Warenkorb so ziemlich alles, was einen "echten" Shop ausmacht. Besonders perfide: Über das Admin-Panel des Kits ist es möglich, unter Angabe der jeweiligen URLs Produktbilder und -informationen aus den Original-Shops zu importieren. Diese können anschließend beliebig angepasst werden, um Kunden – etwa durch Senkung der Preise – zum Kauf zu bewegen.

Mit Preissenkungen will [A]pache den Kaufrausch wecken. (Bild: Check Point)

Die Phishing-Falle schließt sich, wenn der "Kunde" während des Bestellvorgangs seine Adress- und Kreditkartendaten eingibt. Damit angesichts der ausbleibenden Lieferung kein Misstrauen aufkommt, meldet das Phishing-Kit abschließend noch zurück, dass der Bezahlvorgang fehlgeschlagen sei. Die Daten sind im Admin-Panel angekommen, das den Phisher per E-Mail benachrichtigt. Und der enttäuschte Kunde läuft Gefahr, ein paar sinnlose Extrarunden im Bestellkarussell zu drehen, um doch noch an sein Schnäppchen zu kommen.

Weitere Details zum Phishing-Kit und dessen Urheber finden Interessierte in einem PDF von Check Point. (ovw)