Geschäft mit „Scareware“ boomt
Sophos warnt vor Fake-Alarmen
Angst ist ein Brandbeschleuniger für Kriminelle – kein Wunder also, dass „Scareware“ boomt, warnt Sophos. Die Forscher der SophosLabs berichten in ihrem jüngsten Report, dass Angreifer fertige Bausätze verwenden und es mit „Panikanzeigen“ auch auf deutsche Websites und Mobilgeräte abgesehen haben. Werbenetzwerke seien dabei Tathelfer, so der britische Security-Anbieter.
„Fake Alerts“ nutzen laut den Sicherheitsforschern von Sophos häufig Werbenetzwerke für die Verbreitung potentiell unerwünschter Anwendungen. Insbesondere „Pop-under“-Werbung, die die Pop-up-Blockierungsfunktionen der Browser umgeht, sei dabei ein Problem: Sie könne dem Nutzer sehr glaubhaft vorgaukeln, dass etwas mit seinem Gerät nicht stimmt. Und da sie keinen offensichtlich bösartigen Code enthalten, lösen die meisten keine Anti-Malware-Erkennung aus. Für diese „Scareware“-Version böswilliger Werbung gibt es sogar schon ein eigenes Kunstwort: Scarevertising (für englisch „to scare“ = erschrecken und „advertising“ = Werbung).
Während sich derlei Betrügereien früher weitgehend auf englischsprachige Ziele konzentrieren, fanden die SophosLabs vermehrt Angriffe, die auf japanisch-, deutsch- und französischsprachige Benutzer abzielen. Einige verwenden laut den Forschern dasselbe Windows-10-Thema, das in den aktuellsten englischen Sprachkits entdeckt wurde, und alle verwenden bösartige Cursor-Skripte.
Die überwiegende Mehrheit ziele auf mobile Browser ab. Android und iOS sind zu einem beliebten Ziel für bösartige Werbung geworden, da sie zu einem immer größeren Anteil für den Internetverkehr verantwortlich sind. Die meisten gefälschten iOS-Benachrichtigungen verknüpften sich zum Beispiel mit App-Store-Angeboten für eine Gruppe von Anwendungen, die sich als VPN- und Site-Blocker-Tools ausgaben.
Auf Desktop-Seite sind laut Sophos Support-Betrügereien nach wie vor ein altbewährtes Modell, um an das Geld weniger erfahrener Gerätebenutzer zu kommen. Was als Kaltakquise-Telefonmarketing-Betrug begann, habe sich in den letzten Jahren allmählich zu einem „Pull“-Modell entwickelt: Die Kriminellen nutzen Web-Inhalte, um die Opfer zum Callcenter-Anruf zu verleiten. Dort wolle man ihnen üblicherweise legitime oder betrügerische Malware-Schutzsoftware oder andere Dienstleistungen verkaufen, oft inklusive einer dauerhaften Hintertür für spätere Aktivitäten.
„Pop-up“-Kampagnen seien hier wohl die wirtschaftlichsten und effektivsten Mittel für diese Art von Betrügereien: Da sie das Opfer zum Anruf auffordern, filtern die gefälschten Pop-up-Warnungen standardmäßig weniger skeptische Ziele aus, und sie kosten in der Regel nur Centbeträge pro Zielperson, so Sophos.
Seiten für bösartige Werbung („Malvertising“) seien in der Regel als Kits erhältlich, also als Bündel vorgefertigter HTML-, JavaScript- und PHP-Dateien, die auf einem Web-Server entpackt werden können. Die Kriminellen kaufen sie laut Sophos in Foren oder stehlen sie einfach von anderen Betrügern.
Pop-up-Blocker im Browser bieten laut Sophos zumindest einen gewissen Schutz auch vor Pop-under-Werbung. Mittels reputationsbasierter Blockierung und Malware-Schutz könne man ebenfalls viele dieser Websites blockieren. Ein Problem beim Mobilgeräteeinsatz bleibe jedoch eine mangelnde Aufmerksamkeit der Nutzer.
Der Report findet sich unter https://news.sophos.com/en-us/2020/09/09/faking-it-the-thriving-business-of-fake-alert-web-scams/, eine Liste der Hashes und Domänen für die beobachteten Landing Pages unter https://github.com/sophoslabs.
Lesen Sie mehr zum Thema
