Die aus den USA importierten Aktionstage „Black Friday“ und „Cyber Monday“ stehen vor der Tür und läuten auch im deutschen Einzelhandel wieder das umsatzstarke Weihnachtsgeschäft ein. Doch nicht nur Händler sehen dem Beginn der Shopping-Saison mit Freude entgegen. Auch Cyberkriminelle, für die die zunehmende Verbreitung mobiler Shopping-Apps lukrative Angriffsmöglichkeiten eröffnet, dürften sich die Hände reiben – Cybermanipulation und Fake-Apps sei Dank.
Foto: David M G - shutterstock.com
Anders als der stationäre Handel boomt das Online-Geschäft wie nie zuvor.So betrug der Anteil der Online-Einkäufe im deutschen Weihnachtsgeschäft 2016 immerhin 21 Prozent des Gesamtumsatzes. Mehr als jeder fünfte Euro wurde im vergangenen Jahr also bereits online ausgegeben. Wichtigster Motor für den unaufhaltsamen Siegeszug des E-Commerce ist dabei der Mobile-Commerce. Vor allem nutzerfreundliche mobile Shopping-Apps locken immer mehr Kunden an, ihre Einkäufe in der stressigen Vorweihnachtszeit bequem über Smartphone oder Tablet zu erledigen. Rund 7 Milliarden Euro - und damit mehr als 43 Prozent aller Online-Umsätze im deutschen Weihnachtsgeschäft - wurden im letzten Jahr mobil umgesetzt.
Doch mit den neuen Chancen rund um das wachsende M-Commerce-Angebot gehen auch neue Risiken einher: Denn geschäftliche Transaktionen über mobile Anwendungen – seien es Bezahlvorgänge oder die Übermittlung sensibler personenbezogener Daten – sind besonders von Cybermanipulationen bedroht und eröffnen vielfältige Möglichkeiten für Betrug und Datendiebstahl. Und auchFake Apps sind für den mobilen Online-Handel inzwischen ein Problem. Die oft täuschend echt aussehenden Fälschungen geben sich als offizielle Apps bekannter Marken aus und zocken die ahnungslosen Verbraucher auf verschiedene Art und Weise ab.
Lesetipp: Was ist was bei Mobile-Payment?
Fake-Apps unterwandern offizielle App-Stores
Wie schnell gefälschte Anwendungen Verbreitung finden, zeigte sich jüngst am Beispiel von WhatsApp. Rund eine Million Android-Nutzer sind auf eine gefakte Version der Messanger-App hereingefallen als sie ein vermeintlich offizielles und mit dem bekannten WhatsApp-Logo versehenes Update aus dem Play Store heruntergeladen haben. Ziel der Fake-App war es jedoch, Nutzer zum Klick auf eine Werbeanzeige zu bringen, über welche der Download von Malware aktiviert wurde.
Dass zu Beginn des Weihnachtsgeschäfts auch vermehrt Shopping-Applikationen Ziel der Betrugsabsichten von Hackern werden, mussten Apple und seine Kunden bereits vergangenes Jahr erleben, als pünktlich im November hunderte gefälschte Shopping-Anwendungen den App-Store infiltriert hatten. Viele dieser iOS-Apps nutzen die Namen bekannter und beliebter Marken und Einzelhandelsketten wie etwa Puma oder Foot Locker und waren auf den ersten Blick nicht als Fake-App zu erkennen. Die Folgen für die ahnungslosen iOS-Nutzer waren vielfältig: Während die harmloseren Varianten das Ziel verfolgten, über eingeblendete Werbung Geld zu verdienen, hatten es einige bösartige Fake-Apps auf das Abgreifen von Passwörtern und sensiblen Kreditkarteninformationen abgesehen.
Datendiebstahl dank ungeschützter Binärcodes
Letztlich stellen jedoch nicht nur gefälschte Anwendungen eine Gefahr dar, sondern auch „offizielle“ Apps können für den Endverbraucher schnell zur Bedrohung werden, sofern sie nicht die nötigen Sicherheitsvorkehrungen besitzen, um Cybermanipulationen zu verhindern.
Mobile Apps sind an sich besonders verletzlich und anfällig für Kompromittierungen. Sie laufen - anders als etwa Server-Anwendungen - in verteilten, nicht regulierten Umgebungen und können deshalb für Cyber-Kriminelle „leichte Beute“ sein. Sobald eine Anwendung ein geschütztes und kontrollierbares Netzwerk verlässt, besteht die Gefahr, dass Hacker sie über bestehende Sicherheitslücken anzugreifen versuchen. Vor allem Shopping-Apps, die personenbezogene Daten wie etwa Adressen oder Kreditkarteninformationen erhalten oder über die Bezahlvorgänge abgewickelt werden, sind hier besonders gefährdet.
Im Visier der Hacker steht dabei der Binärcode der Applikation, das heißt der Code, den ein Gerät liest, wenn eine App ausgeführt wird. Wird der Binärcode nicht aktiv geschützt, ist die App anfällig für das Einschleusen von Malware, Code-Modifizierung und andere Arten von Manipulationen. Hacker könnten den Binärcode etwa rückentwickeln und analysieren, um auf diese Weise sensible in der App gespeicherte Daten wie zum Beispiel Kontoinformationen auszulesen oder Transaktionen zu ihren Gunsten zu manipulieren. Aber auch der Rückbau der App und der daraus resultierende Diebstahl von geistigem Eigentum lohnt sich für die Hacker, da sie mit Hilfe dieser Informationen illegale Kopien oder bösartige Fake-Applikationen entwickeln können, die ihnen wiederum helfen, größere Angriffe durchzuführen.
Lesetipp: Diese Malware werden Sie nicht los
Mehr Sicherheit durch regelmäßige Updates und wirksame App-Härtung
Für Nutzer gilt es, einen umsichtigen Umgang mit Shopping-Apps an den Tag zu legen. Um das Herunterladen von Fake-Apps zu vermeiden, lohnt sich deshalb auch in offiziellen App-Stores ein prüfender Blick, zum Beispiel auf Downloadzahlen, Nutzerbewertungen oder Preise.
Wurde die App einer bekannten Marke nur wenige Male heruntergeladen oder ist eine eigentlich kostenpflichtige Anwendung plötzlich kostenlos zu haben, sollte der Nutzer generell stutzig werden.
Darüber hinaus sollten Verbraucher dafür Sorge tragen, dass sowohl das Betriebssystem des Gerätes als auch die App selbst sicherheitstechnisch immer auf dem neuesten Stand sind. Die Anbieter identifizieren regelmäßig Sicherheitslücken und stellen ihren Kunden dann in der Regel zeitnah Updates mit entsprechenden Patches zur Verfügung. Für die App-Nutzer ist es daher unerlässlich, die aktuellste Version der App regelmäßig herunterzuladen, um das Risiko von Hackerangriffen zu minimieren. Am besten aktiviert man daher bei Shopping-Apps ein automatisches Update-Download.
Doch auch die Anbieter und App-Entwickler sind im Kampf gegen Hackerangriffe gefragt. Wenn sie ihre Kunden und ihre eigene Reputation schützen möchten, müssen sie bei der Ausrichtung ihres mobilen Shopping-Angebots die Sicherheit ihrer Apps von Anfang in den Fokus stellen. Denn obwohl 84 Prozent aller Cyberangriffe auf Applikationsebene stattfinden, vernachlässigen viele Anbieter die notwendigen Sicherheitsvorkehrungen bei der Entwicklung ihrer mobilen Apps. Doch nur wenn Apps bereits nach Abschluss ihres Entwicklungsprozesses auf Binärcode-Ebene mit mehrschichtigen und dynamischen Schutzmechanismen ausgestattet wurde, können sie ausgefeilten Hackerangriffen standhalten.