Anlagebetrug 2.0: Die dunkle Seite sozialer Netzwerke

29. April 2025

5,7 Milliarden Dollar – so viel Geld haben amerikanische Verbraucher im Jahr 2024 durch Anlagebetrug verloren. Zum Vergleich: Damit könnte man fünf Mars-Rover-Missionen finanzieren. Die schmerzliche Ironie? Die Opfer waren nicht leichtsinnig – sie wollten sich finanziell absichern und für die Zukunft vorsorgen. Stattdessen wurden sie manipuliert, betrogen und noch verwundbarer gemacht als zuvor.

Neue Recherchen von Infoblox Threat Intel konzentrieren sich auf zwei dieser Investmentbetrüger: „Reckless Rabbit“ und „Ruthless Rabbit“.

Spotlight für Reckless Rabbit und Ruthless Rabbit

Reckless Rabbit ist ein Bedrohungsakteur, der Facebook-Anzeigen nutzt, um für Fake-Investitionsplattformen zu werben. Sie verwenden gefälschte Empfehlungen von prominenten Persönlichkeiten und erstellen Tausende von Domains, um unentdeckt zu bleiben.

• Bösartige Facebook-Ads: Reckless Rabbit nutzt Facebook-Anzeigen, um Opfer für ihre Betrügereien zu übertölpeln. Diese Anzeigen enthalten oft gefälschte Empfehlungen von Prominenten, um den Betrug glaubwürdiger erscheinen zu lassen.
• DNS-Angriffe (Wildcard Domain Name System): Der Akteur konfiguriert seine Domains so, dass Anfragen an eine beliebige Subdomain eine Antwort auslösen. Dies führt zu einem Grundrauschen im DNS und erschwert die Identifizierung der Subdomains, die tatsächlich für die betrügerischen Aktivitäten des Akteurs verwendet werden.
• Globales Targeting: Reckless Rabbit zielt auf Opfer in mehreren Ländern und verwendet lokalisierte Inhalte, um die Glaubwürdigkeit seiner Betrügereien zu erhöhen.

Ruthless Rabbit ist ein Bedrohungsakteur, der einen eigenen Tarndienst betreibt, um Validierungsprüfungen bei Benutzern durchzuführen. Er zielt vor allem auf Opfer in Osteuropa ab und gibt sich als seriöse lokale Nachrichtenseiten oder sogar als große Marke wie WhatsApp oder Meta aus.

• Tarndienst: Ruthless Rabbit betreibt einen Tarndienst, um die Validierung von Nutzern zu überprüfen, wodurch nicht zielgerichteter Datenverkehr herausgefiltert wird und der Betrug schwieriger zu erkennen ist.
• Gefälschte Nachrichtenseiten: Die Angreifer fälschen oft echte Nachrichtenseiten oder große Marken wie russische Nachrichtenseiten oder WhatsApp, um ihre Opfer in ihre Betrügereien zu locken.
• Dynamische URL-Pfade: Ruthless Rabbit verwendet dynamische URL-Pfade für seine Betrugs-Landingpages und ändert diese ständig, um eine Rückverfolgung zu erschweren.

Zwischen Chaos und Vertrauen

Der Erfolg dieser Anlagebetrüger hängt von zwei Kernelementen ab: Chaos und Vertrauen. In chaotischen Zeiten suchen die Menschen eher nach schnellen finanziellen Gewinnen. Cyberkriminelle nutzen dieses Chaos aus, indem sie ein Gefühl der Dringlichkeit und Angst erzeugen, eine gute und einfache Investitionsmöglichkeit zu verpassen. Gleichzeitig machen sie sich das Vertrauen zunutze, indem sie die Namen bekannter und akzeptierter Quellen wie prominenter Unterstützer und bekannter Nachrichtenseiten nutzen, um ihren Betrug glaubwürdig erscheinen zu lassen.

Fazit 

Die Tatsache, dass Kriminelle DNS für ihre groß angelegten und ausgeklügelten Kampagnen ausnutzen, ermöglicht es den Verteidigern, DNS als wichtige Sicherheitssäule zu nutzen. Die Infoblox Threat Intel Forscher können DNS für die automatisierte Erkennung und die Korrelation dieser groß angelegten Anlagebetrugsdomänen nutzen.

Nutzer sollten äußerst vorsichtig sein, wenn sie aufgefordert werden, in ein Projekt oder ein Unternehmen zu investieren. Sie sollten jede Domain mit einer großen Suchmaschine überprüfen, um sicherzustellen, dass es sich nicht um eine gefälschte Website handelt. Medien, die behaupten, ihre Plattform werde von großen Sportlern oder Prominenten gesponsert, sollten mit Vorsicht behandelt werden, und Nutzer sollten bedenken, dass diese Behauptungen möglicherweise mithilfe von KI erstellt wurden.

Unternehmen, die schützende DNS-Dienste mit hoher Bedrohungsintelligenz einsetzen, können ihre Anwender vor diesen Betrügereien schützen, indem sie den Zugriff auf gefälschte Medien und Plattformen verhindern.

Über RDGAs: 
RDGAs sind eine hochentwickelte Weiterentwicklung herkömmlicher Domain-Generierungs-Algorithmen (DGAs), die von Cyberkriminellen verwendet werden, um eine große Anzahl von Domain-Namen für bösartige Aktivitäten zu generieren. Diese Algorithmen werden für Malware, Phishing, Spam, Betrug, Glücksspiel, Traffic Distribution Systems (TDS), VPNs und Werbung verwendet. Sie ermöglichen es den Bedrohungsakteuren nicht nur, ständig neue Domains zu erstellen, sondern erschweren es den Sicherheitssystemen durch die Registrierung zudem, sie alle zu blockieren.

Rabbits und RDGAs:
Das Infoblox Threat Intel Team bezeichnet RDGA-Akteure als „Rabbits“ (Kaninchen). Akteure dieser Kategorie erstellen algorithmisch Domains und registrieren diese anschließend. Sie unterscheiden sich von herkömmlichen DGAs dadurch, dass alle Domains registriert werden. Diese bösartigen Domains können für eine Vielzahl von Zwecken verwendet werden, einschließlich Malware, Phishing, Betrug und Spam.

Weitere Informationen finden Sie unter infoblox.com