Geschenkgutscheinbetrug (Gift Card Fraud) ist keine neue Masche und trotz einer niedrigen Erfolgsrate schaffen es Kriminelle immer wieder, an das Geld ihrer Opfer zu gelangen. Dabei ist das Erfolgsrezept eigentlich sehr simpel: Hacker sprechen eine riesige Anzahl von Personen an und ein kleiner Prozentsatz wird reagieren. Oftmals basieren die Angriffe auf gefälschten Anfragen des Geschäftsführers oder vertrauenswürdiger Mitarbeiter. Die E-Mails beziehen sich beispielsweise auf Geschenke für Kollegen. Die Zielperson wird dann gebeten, Geschenkkarten – meist für Google Play, Steam Wallet, Amazon, Apple iTunes oder Walmart – zu kaufen und die Codes dann per E-Mail an den vermeintlichen Mitarbeiter zu senden.
Ein gerade veröffentlichter Bericht des E-Mail-Sicherheitsunternehmens Agari über E-Mail- und Identitätsbetrug kam zu der Erkenntnis, dass Geschenkgutscheinbetrug heute zwei Drittel der Angriffe auf Geschäfts-E-Mails (Business E-Mail Compromise, kurz BEC) ausmacht. Der durchschnittliche Betrag, der bei diesen Angriffen eingenommen wird, liegt bei etwa 1.500 US-Dollar, während ambitioniertere Angreifer sogar bis zu 5.000 US-Dollar erbeuten. Bemerkenswert bei Gift-Card-BEC-Angriffen ist, dass sie alle Mitarbeiter zum Ziel haben. Anstatt sich ausschließlich auf Finanz- oder Personalmitarbeiter zu konzentrieren, wie es bei anderen Formen von BEC-Angriffen der Fall ist, verkörpern Betrüger eine Vielzahl von Identitäten auf der Unternehmensleiter, um den Umfang ihrer Angriffe zu erweitern. So haben Cyberkriminelle aufgrund des Umfangs der Angriffe mehr Möglichkeiten, um an das Geld ihrer Opfer zu gelangen und das, obwohl die Erfolgsrate im Vergleich zu anderen Arten von BEC-Angriffen nicht höher zu sein scheint.
Die Angriffe bieten Cyberkriminellen auch den Vorteil der Anonymität, da es fast unmöglich ist, Geschenkkarten aufzuspüren, die zwar legal erworben wurden, deren Codes jedoch illegal verwendet werden. Die Angreifer können entweder die Codes, die sie kostenlos erhalten haben, für einen Gewinn verkaufen, wobei der Erlös durch den Tausch in Kryptowährung gewaschen wird. Alternativ könnten die Codes auch einfach zum Einkaufen verwendet werden. In einem von Agari analysierten Betrug im August 2018 zielte die afrikanische Hackergruppe Scarlet Widow auf eine australische Universität und betrog einen Administrator, der iTunes-Geschenkkarten im Wert von 1.800 US-Dollar kaufte und versandte. Das Opfer dachte, dass der Antrag vom Leiter der Finanzabteilung der Universität kam. Scarlet Widow verkaufte dann die Karten auf Paxful und wandelte die erhaltenen Bitcoins in Bargeld um, alles innerhalb von 139 Minuten. Diese moderne Form der Geldwäsche hat allerdings auch einen Nachteil: So liegt die Schwankungsbreite beispielsweise für iTunes-Karten zwischen 80 und 40 Cent pro Dollar, wenn man sie auf Plattformen wie Paxful verkauft.
Obwohl erfolgreich und auf dem Vormarsch, sind Gift Card BEC-Angriffe in der Regel einfache Phishing-Kampagnen, die theoretisch leicht zu bekämpfen wären. Eine simple Methode, sich vor diesen Angriffen zu schützen, besteht darin, bei einer Kaufanfrage einfach den vermeintlichen Absender der Mail zu verifizieren, um die Authentizität der Anfrage zu bestätigen. Unternehmen sollten auch das Bewusstsein dafür schärfen, dass die meisten Cyberangriffe heute nicht unbedingt technisch anspruchsvoll sind. Sie sollten daher einen Schwerpunkt auf die Erkennung solcher E-Mails legen und die Mitarbeiter für diese Art von nicht-technischen Social-Engineering-Angriffen sensibilisieren, beispielsweise über Trainings und Schulungen.
BEC-Betrügereien verursachen nach wie vor große finanzielle Verluste für Unternehmen - im vergangenen Jahr verloren allein US-Organisationen 1,3 Milliarden US-Dollar durch diese Angriffe.