Thought Leadership
Ein Forschungsteam von Check Point Software Technologies hat ein weit verzweigtes Cybercrime-Netzwerk aufgedeckt, das legitime Online-Werbeplattformen gezielt missbraucht. Die Gruppe, die unter dem Namen „Payroll Pirates“ bekannt ist, hat sich seit Mitte 2023 darauf spezialisiert, Gehalts- und Finanzsysteme zu manipulieren.
Ihr Ziel: die Umleitung von Gehaltszahlungen und der Diebstahl sensibler Zugangsdaten.
Nach Erkenntnissen der Sicherheitsforscher wurden weltweit mehr als 500.000 Menschen Opfer dieser Kampagne. Die Angreifer lockten ihre Ziele über täuschend echte Werbeanzeigen auf gefälschte Login-Seiten, die denen von bekannten Unternehmen nachempfunden waren. Betroffen waren vor allem Gehaltsabrechnungsdienste, Finanzportale, SaaS-Anbieter sowie Organisationen aus dem Gesundheits- und Handelssektor.
Die Täter nutzten eine technisch ausgeklügelte Infrastruktur, die aus gemeinsam genutzten Telegram-Bots, Proxy-Netzwerken in mehreren Ländern und identischen Angriffsskripten bestand. Diese enge Koordination deutet laut Check Point auf ein professionell organisiertes Netzwerk hin, das seine Systeme laufend anpasst, um nicht entdeckt zu werden.
Manipulierte Werbung mit KI-Unterstützung
Ursprünglich begann die Kampagne als klassische Phishing-Aktion über Google Ads. Inzwischen hat sie sich zu einem hochentwickelten System entwickelt, das auch Künstliche Intelligenz nutzt. Verifizierte Werbekonten werden zweckentfremdet, um gefälschte Anmeldeportale zu bewerben. Telegram-Bots fangen in Echtzeit Sicherheitscodes ab und helfen den Tätern, die Mehrfaktor-Authentifizierung zu umgehen.
Untersuchungen ergaben, dass zwei Hauptcluster aktiv sind:
Der erste nutzt Google Ads in Verbindung mit sogenannten White-Pages-Techniken, um Sicherheitsfilter zu umgehen. Der zweite setzt auf Bing Ads mit dynamischen URLs, die gezielt Finanzunternehmen ins Visier nehmen.
Neue Qualität digitaler Täuschung
Die Payroll-Pirates-Kampagne zeigt eine besorgniserregende Entwicklung: Cyberkriminelle müssen ihre Opfer nicht mehr direkt angreifen – sie sorgen dafür, dass die Opfer von selbst zu ihnen kommen. Indem sie die Reichweite und Glaubwürdigkeit legitimer Werbeplattformen ausnutzen, umgehen sie klassische Sicherheitsmechanismen.
Besonders kleine und mittlere Unternehmen sind betroffen, da ihre Mitarbeitenden häufig auf echte Geschäftskommunikation über Plattformen wie Meta oder Google reagieren. Wenn dann eine gefälschte Nachricht über eine legitime Domain eingeht, bleibt der Betrug oft unbemerkt.
Die Verantwortung der Plattformen
Der Fall wirft eine wichtige Frage auf: Tun große Technologieunternehmen genug, um den Missbrauch ihrer Werbesysteme zu verhindern? Wenn Cyberkriminelle verifizierte Konten und offizielle Domains nutzen können, geraten selbst gut geschützte Unternehmen in Gefahr.
Neben den Plattformen selbst stehen jedoch auch Unternehmen in der Pflicht, ihre Schutzmaßnahmen zu verstärken. Aufklärung, technische Vorsorge und gezielte Überwachung externer Risiken sind entscheidend, um solchen Angriffen vorzubeugen.
Schutzmaßnahmen für Unternehmen
Check Point empfiehlt Organisationen, auf mehrschichtige Sicherheitsstrategien zu setzen:
- Regelmäßige Überwachung von Werbekampagnen, um verdächtige Anzeigen frühzeitig zu erkennen.
- Nutzung phishingsicherer Authentifizierungsmethoden, etwa über FIDO2 oder kontextbasierte Bestätigungen.
- Einrichtung von Honeypot-Konten, um Angriffsmuster zu analysieren und Bedrohungen schneller zu identifizieren.
- Schulungen für Mitarbeitende, um betrügerische Inhalte auch bei vertraut wirkenden Domains zu erkennen.
Darüber hinaus sollten E-Mail-Sicherheitslösungen um KI-gestützte Erkennungsmechanismen erweitert werden, die verdächtiges Verhalten auch dann melden, wenn Absenderadressen auf den ersten Blick legitim erscheinen.
Die Enthüllung der Payroll Pirates verdeutlicht, dass Cyberkriminelle zunehmend auf legale Plattformen und KI-Technologien setzen, um unbemerkt große Reichweiten zu erzielen. Werbeanzeigen, die eigentlich dem Marketing dienen, werden so zu Einfallstoren für Betrug und Datendiebstahl.
Für Unternehmen heißt das: Digitale Sicherheit endet nicht bei der eigenen Infrastruktur. Nur wer externe Netzwerke, Partnerdienste und Online-Kanäle aktiv überwacht, kann verhindern, dass Vertrauen zum größten Risiko wird.
