Die meisten Malware-Angriffe haben einen wirtschaftlichen Hintergrund, d. h. jemand möchte damit Geld verdienen. Werbenetzwerke sind eine beliebte Möglichkeit, um leicht Geld zu verdienen, ohne dem Benutzer notwendigerweise zu schaden, jedenfalls nicht direkt. Im aktuellen Fall haben wir einen anspruchsvollen Ansatz entdeckt, der nahelegt, dass diese Art von Angriffen lohnenswert sein muss!
Es beginnt mit einem Eintrag auf der Facebook-Pinnwand eines Nutzers.
Die verkürzte URL führt zu einer langen URL, die ausschließlich dazu dient, das Herkunftsland des Nutzers festzustellen. Je nach Ergebnis gerät der Nutzer in eine eindrucksvolle Weiterleitungskette mit zahlreichen, per iFrames eingebundenen Werbediensten. Jeder “Besuch” dieser Websites lässt beim Angreifer die Kasse klingeln.
Die Grafik der Weiterleitungskette zeigt, was passiert, wenn in Deutschland jemand auf die kurze URL des gefakten Pinnwandeintrags klickt. Die Website, die das Herkunftsland des Besuchers überprüft, unterscheidet zwischen drei Möglichkeiten, wobei drei URLs involviert sind:
Wenn das Land GB ist:
arLinks[0] = "the*****ter.com/313/index.php";
arLinks[1] = "the*****ter.com/313/index.php";
arLinks[2] = "the*****fly.com/final2.php";
Wenn das Land NL, IE, FR ist:
the*****ter.com/313/index.php
Wenn das Land US, AU, ZA, CA, BE, ES ist:
the*****fly/final2.php
Jedes andere Land:
justforfunapps.com
Wenn die Website also von Großbritannien aus besucht wird, besteht die 2/3-Wahrscheinlichkeit, dass der Besucher nach the*****ter.com/313/index.php weitergeleitet wird, und die 1/3-Wahrscheinlichkeit, dass er auf the*****fly/final2.php landet. Alle anderen Länder haben eine feste HTTP-Destination.
Wie Sie sehen, wird die von Deutschland aus aufgerufene Ziel-Website mit Werbung für verschiedene Produkte und Webdienste geladen. Glücklicherweise sind die eingebetteten Links und Bilder zwar nicht schädlich, aber die Angreifer können den Traffic auf jede gewünschte Website weiterleiten – und das ist der Punkt, an dem sich ein guter HTTP-Filter als nützlich erweist, mit dem Sie sich und Ihren Computer schützen können!
Auf den anderen Websites haben wir verschiedene Versionen von Gutschein-Spam und Lotteriespielen gefunden, bei denen der Nutzer nach persönlichen Daten wie Handynummer, E-Mail-Adresse usw. gefragt wird. Wenn Sie mehr über diese Art von Spam erfahren möchten, dann lesen Sie unsere früheren Blog-Einträge, insbesondere “Gutschein-Manie” oder “Ein Gratis-Gutschein im Wert von 50 €?! ‘Hey, ich bin doch nicht blöd!’” – Jedenfalls ist es keine gute Idee, auf diesen Websites persönliche Daten weiterzugeben!
Wie verbreitet sich dieser gefakte Profil-Checker?
Die betreffende Facebook-App wird als "Checker" bezeichnet. Sobald sie von jemandem in einem Facebook-Profil installiert wird, postet sie auf der Pinnwand einen qualitativ minderwertigen Screenshot einer angeblich vorhandenen Toolbar mit der Bezeichnung "Kürzliche Profilaufrufe" (siehe oben). Eine solche Toolbar existiert nicht und wir haben bereits mehrmals vor derartigen gefälschten Ankündigungen gewarnt. Facebook weist im öffentlichen Hilfebereich ebenfalls darauf hin.
Weil die App auf der Pinnwand des Opfers nicht nur ein qualitativ minderwertiges Bild postet, sondern darauf auch den Besitzer des Profils und viele, wenn nicht sogar alle, seiner Freunde markiert, erhalten sogar die Freunde, die den Pinnwandeintrag nicht sehen, eine Benachrichtigung, dass sie markiert wurden. Dadurch wird die Wahrscheinlichkeit erhöht, dass mehr Nutzer auf den Link klicken, denn Nachrichten von Freunden werden zumeist als glaubwürdig betrachtet. Aber selbst ein Freund kann auf solch einen Betrug hereinfallen und deshalb sollte jede Nachricht mit Vorsicht behandelt werden.
Wenn Sie aufgefordert werden, in Ihrem sozialen Netzwerk-Profil eine App zu installieren, sollten Sie sich erst einmal anschauen, welche Berechtigungen die App bei der Installation verlangt. Dabei sollten Sie sorgfältig abwägen, ob Sie diese Berechtigungen tatsächlich vergeben wollen!
Was Sie tün können
- Wenn Sie einem solchen Betrugsversuch aufgesessen sind und den Link auf Ihrer Facebook-Pinnwand geteilt haben, sollten Sie diesen unverzüglich löschen! Andernfalls werden auch Ihre Freunde dazu verleitet, auf den Link zu klicken und diesen ebenfalls zu teilen.
- Wenn Sie eine App installiert haben, die den Facebook-Pinnwandeintrag verursacht hat, sollten Sie diese App in Ihrem Profil unverzüglich entfernen. Noch besser: Überprüfen Sie jede App, bevor Sie sie installieren. Die App zeigt die Berechtigungen an, die zur Installation benötigt werden. Wägen Sie sorgfältig ab, ob Sie die verlangten Berechtigungen tatsächlich vergeben wollen.
- Verwenden Sie eine aktuelle, umfassende Sicherheitslösung mit Virenscanner, Firewall, HTTP-Scan und Echtzeitschutz. Ein Spam-Filter zur Abwehr von unerwünschten E-Mails ist ebenfalls ein Muss.
- Klicken Sie nicht unbedacht auf Links und laden Sie keine Dateien herunter, wenn Sie eine Nachricht von einem Unbekannten erhalten. Die Websites und Dateien können Ihrem PC schaden. Auch bei einer Nachricht, die scheinbar von einem Freund stammt, jedoch ungewöhnlich aussieht, sollten Sie besser nachfragen und sich vergewissern, ob diese wirklich von Ihrem Freund stammt.
- Surfen Sie nicht im Internet, wenn Sie gleichzeitig bei einem Dienst, wie z. B. einem sozialen Netzwerk, angemeldet sind. Betrüger können Ihre Browsersitzung manipulieren und das Konto Ihres sozialen Netzwerks nutzen, um unerwünschte Nachrichtenetc. zu verbreiten.
- Melden Sie sich nach dem Besuch eines sozialen Netzwerks stets ab. Insbesondere wenn der Computer von mehreren Personen genutzt wird oder wenn es sich dabei um einen öffentlichen Rechner handelt, z. B. in Universitäten, Internetcafés etc.