Eine aktuelle, gefälschte Werbe-Kampagne verspricht gratis Geschenkgutscheine eines der populärsten Kaffeehaus-Spezialisten weltweit. Doch die Teilnehmer erhalten sehr wahrscheinlich Schadcode, der ihren Rechner infiziert, und keinerlei Gutschein!
Die falsche Werbekampagne verbreitet sich auf Facebook-Pinnwänden rund um den Globus. Die verwendeten Texte sind Englisch und somit erhöht sich die Chance, dass die Zahl der Facebook-Nutzer steigt, die die „Köder-Nachricht“ anklicken.
Starbucks wurde auch schon im vergangenen Jahr als Köder für eine ähnliche Masche benutzt und schon damals warnten sie ihre Kunden über den firmeneigenen Twitter-Account davor, solchen Werbungsimitaten keinen Glauben zu schenken.
Die Hauptseite der Kampagne ist in einem sehr schlichten Design gehalten, angelehnt an das des sozialen Netzwerkes. Die Benutzer müssen zunächst den Pinnwandeintrag auch auf ihre eigene Pinnwand stellen (Step 1) und danach den bereitgestellten Knopf „Like“ (deutsch: „Gefällt mir“) drücken (Final Step). Es ist dabei nicht möglich, den „Gefällt mir“-Knopf zu drücken, ohne Schritt 1 auszuführen.
Der Klick startet dann eine Weiterleitungs-Kette über mehrere Webseiten und öffnet ein Pop-Up Fenster, das suggeriert, der Websurfer sei „ein Gewinner heute“ und er müsste nur noch einen der nachfolgenden Preise auswählen. Wir haben diese Pop-Up Nachricht in mehreren Sprachen gesehen und alle waren eher mäßig übersetzt – sehr wahrscheinlich mit einem automatisierten Übersetzungsprogramm. Dasselbe gilt für die Webseiten, die sich nach dem Klick auf „OK“ öffnen. Die Sprache wird dabei mithilfe einer Geolokalisierung der IP-Adresse des Webseitenbesuchers bestimmt.
Man kann nun aus einer Reihe von technischen Spielereien und allerlei anderen Luxusgütern wählen… zumindest suggerieren die Betrüger das. Das eigentliche Angebot, die Starbucks Geschenkkarte, spielt zu diesem Zeitpunkt schon keinerlei Rolle mehr! Hier ein paar weitere Gewinn-Seiten: englisch, deutsch, französisch und russisch.
All diese Seiten haben einen Sekundenzähler eingebaut, der die Sekunden rückwärts zählt und damit suggeriert, dass der Besucher der Webseite nur dann etwas gewinnen kann, wenn er/sie schnell genug eine Wahl trifft, bevor die Zeit abgelaufen ist. Wir bezweifeln das – Niemand wird irgendwann irgendetwas der Angebote bekommen, egal wie schnell geklickt wird.
Die Infektion
Eine der vielen (Quiz-) Webseiten, die wir besuchten, enthielt JavaScript Code, bei dem unsere Scanner anschlugen und den sie als JS:ScriptPE-inf [Trj] erkannten. Das ist eine generische Erkennung für JavaScript Dateien, die verschlüsselte iFrame Links enthalten, welche dann zum Beispiel zu verseuchten Webseiten umleiten. Das bedeutet: Eine der besuchten Webseiten enthielt solch einen verschleierten Code und hätte uns unbemerkt zu irgendeiner anderen Webseite schicken können, die verseuchte Inhalte, Phishing Formulare, mehr Quizseiten, Pay-per-Click Werbung oder sonst irgendwas enthalten könnte.
Was passiert, wenn man einen der Gewinne auswählt und den Anweisungen folgt?
Das Auswählen eines der oben beschriebenen Angebote führt den potentiellen Gewinner zunächst zu einer Quiz-Webseite oder einer Seite mit Mini-Spielchen. Letztendlich werden jedoch immer persönliche Informationen erfragt, um die Teilnahme an dem Spiel/der Gewinnausschüttung zu verifizieren. Wer nun tatsächlich Details wie den Namen, die Adresse, die E-Mail Adresse, eine Telefonnummer oder sonstiges angibt, wird mit sehr hoher Wahrscheinlichkeit Opfer von Spam-Kampagnen und/oder anderen Formen von Betrug und Täuschungen. Schon das Lesen der verkürzten Teilnahmebedingungen unter den Adresseingabefeldern deutet auf den potentiellen Missbrauch der persönlichen Daten hin – jedoch werden diese Texte von Benutzern häufig ignoriert oder übersehen.
Wie schon erwähnt, haben wir verschiedene Quiz-Seiten entdeckt. Einige von Ihnen verlangen mehrere persönliche Daten und andere lediglich die Mobilfunknummer des Teilnehmers. Sobald die Mobilfunknummer angegeben wird, ist man kurz davor, ein Abo mit hohen Kosten von 4,99€ pro Woche (in Deutschland) abzuschließen. Und obwohl diese Kosten auf der Mobil-Quiz Webseite sichtbar sind, zweifeln wir daran, dass jeder Besucher der Webseite diese Texte wahrnimmt. Daher erhöht sich die Chance, dass jemand ein Abo abschließt, dass er/sie eigentlich gar nicht haben wollte.
Wir fanden außerdem einen Fall, in dem die Angebote nach der Auswahl eines Technik-Spielzeuges gar nicht enden wollten. Wir bekamen die Möglichkeit, uns für Sprachkurse anzumelden; eine kostenlose (!) prepaid Kreditkarte gegen eine jährliche Gebühr (!) zu beantragen; wir haben sogar ein Luxusauto gewonnen oder aber 15.000€ in bar. Zusätzlich bekamen wir mehrfach die Gelegenheit, uns für Newsletter anzumelden, Kataloge aus dem Versandhandel zu ordern oder uns für verschiedene Portale mit Touristen-Informationen einzutragen. Jedes einzelne dieser Angebote erforderte die Angabe persönlicher Information – ganz klar – und einige davon sogar die Angabe der Bankdaten!
Andere, ähnliche Betrugsfälle
Während unseren Untersuchungen fanden wir noch mindestens zwei weitere Themen, die die Betrüger aktuell nutzen, um Opfer in ihre Falle zu locken: Eine weitere 100$ Starbucks Geschenkkarte, ein Olive Garden Restaurant Geschenkkarte im Wert von 250$ und ein Paar angesagte Dr. Der Beats Kopfhörer. Abgesehen von den abweichenden Lock-Themen, handelt es sich um die gleichen dubiosen Deals, dasselbe simple Design der Seiten und denselben Domain-Registrator. Die benutzen Motive und Köder werden mit der Zeit weiter wechseln, denn die Gauner versuchen so, mit ihren Webseiten nicht auf inhaltsbasierten Sperrlisten zu landen.
Was Sie tun können
- Benutzen Sie eine aktuelle, umfassende Sicherheitslösung mit Virenscanner, Firewall, http-Scan und Echtzeitschutz. Ein Spam-Filter, um vor ungewollten Spam-Nachrichten geschützt zu sein, ist ein Muss.
- Geben Sie ihre persönlichen Daten auf keiner dieser Webseiten an! Die Datensammler werden sie sonst für weitere Betrugsdelikte benutzen oder aber auch an andere Gauner weiterverkaufen!
- Klicken Sie Links nicht unbedacht an und laden sie keine Dateien herunter, wenn sie eine Nachricht von einem Fremdem erhalten. Die Webseite oder die Datei könnten ihrem Computer Schaden zufügen. Selbst wenn die Nachricht von einem Freund kommt, aber anders aussieht, als sie es gewohnt sind, dann fragen sie den Freund und versichern Sie sich, dass er Ihnen die Nachricht wissentlich geschickt hat.
- Surfen sie nicht mit dem Browser im Internet, während Sie mit ihm gleichzeitig in Dienste wie soziale Netzwerke eingeloggt sind. Betrüger könnten die Browser-Sitzung manipulieren, diese übernehmen und dann zum Beispiel mit dem aktiven Account Spam-Nachrichten verbreiten.
- Melden Sie sich immer von einem Dienst wie den sozialen Netzwerken ab, nachdem Sie ihn benutzt haben. Dies gilt besonders dann, wenn sie einen Computer benutzen, an dem auch andere Personen arbeiten oder es sogar ein öffentlicher Computer ist, etwa in einer Universität oder Bibliothek.
- Wenn Sie Opfer dieser Kampagne wurden und die gefälschte Werbenachricht auf Ihrer Facebook-Pinnwand teilen, dann löschen Sie diesen Eintrag so schnell wie möglich! Ansonsten könnten Ihre Freunde versucht sein, die Nachricht anzuklicken und sie dann auch verbreiten.