Die betrügerischen Mails setzten Empfänger gezielt unter Zeitdruck: Nur zwei Stunden blieben, um auf das vermeintliche Angebot zu reagieren. Dieses Vorgehen soll Nordstrom-Kunden zu einer überstürzten Entscheidung drängen und davon ablenken, typische Betrugsmerkmale zu bemerken – etwa die falsche Schreibweise des Firmennamens in der Überschrift, die dort „Normstorm" lautete.

Gerade weil die Nachrichten von der echten Marketing-Adresse nordstrom@eml.nordstrom.com kamen, ließen sich solche Anzeichen jedoch leicht übersehen. Mehrere Kunden berichteten in sozialen Netzwerken über die Mails, einige davon an Adressen, die nach ihren Angaben nie online offengelegt oder geleakt worden waren.

Nach Kundenangaben verschickte Nordstrom anschließend eine Warnung und forderte Mitglieder auf, die vorherige Nachricht zu ignorieren. „Nordstrom wird Kunden niemals auffordern, Geschäfte zu tätigen oder Gelder mittels Kryptowährung zu transferieren", hieß es darin. Man ergreife umgehend Maßnahmen, um den Vorfall zu untersuchen und zu beheben.

Wie weit die nicht autorisierte Nachricht reichte, ist unklar – ob sie den gesamten registrierten Kundenstamm erreichte, blieb offen. Einige Empfänger überwiesen bereits Geld an die Wallet-Adresse der Betrüger. Die verwendeten Wallets zeigen, dass der Angreifer seit dem Versand der Mails etwas mehr als 5.600 US-Dollar in Kryptowährung erhalten hat.

Eine mit dem Vorfall vertraute Quelle erklärte gegenüber BleepingComputer, die Sicherheitsverletzung sei über eine Kompromittierung von Okta SSO und Salesforce erfolgt; die Betrugsmails seien anschließend über die Salesforce Marketing Cloud an Kunden verschickt worden. BleepingComputer konnte dies nicht bestätigen, verweist aber auf Ähnlichkeiten mit jüngsten Angriffen auf Betterment und GrubHub, bei denen ebenfalls Krypto-Betrug verbreitet wurde.

Nordstrom ist ein großer US-Modehändler, der Kleidung, Schuhe, Beautyprodukte und Accessoires über Kaufhäuser und Online-Shops verkauft. Das 1901 gegründete Unternehmen hat Millionen Kunden, beschäftigt 55.000 Menschen und erzielt einen Jahresumsatz von über 15 Milliarden US-Dollar.

Kunden wird geraten, die Werbenachricht zu ignorieren, kein Geld zu senden und keine sensiblen Daten preiszugeben. Verdächtige Inhalte sollten auch dann mit Vorsicht behandelt werden, wenn sie von einer vertrauenswürdigen Absenderadresse stammen; Angebote lassen sich über die offizielle Website und die offiziellen Kanäle des Unternehmens überprüfen.