Die Experten der G DATA SecurityLabs haben es tagtäglich mit Cyber-Kriminellen zu tun, aber es gibt immer wieder auch jahreszeitliche Besonderheiten. Gerade jetzt im Frühjahr treten wieder die auf den Plan, die fragwürdige Angebote für populäre Marken-Sonnenbrillen auf den Markt werfen und über Spam-Mails, Social Media Plattformen und sogar Handy-Kurznachrichten locken wollen. Die Analysten sind den Spuren gefolgt, erklären die Hintergründe und geben Tipps, damit der Einkauf kein Reinfall wird.
Die aktuelle Untersuchung beschäftigt sich explizit mit dubiosen Angeboten für sehr angesagte Marken-Sonnenbrillen – ganz speziell Ray-Ban und Oakley. Brillen dieser beiden Marken sind bei Spammern besonders beliebt und passend zur Jahreszeit sprießen die Angebote wie Pilze aus dem Boden. In den allermeisten Fällen erreicht die Werbung den Computernutzer völlig ungewollt, bzw. sie werden sogar unfreiwillig bei Facebook zu Werbeträgern gemacht.
Spam ist ohne Frage seit langer Zeit ein Thema für IT-Security Experten. Früher wurden Computernutzer nur durch ungewünschte E-Mails genervt, doch die Cyber-Kriminellen haben sich auch die neu entstandenen digitalen Kanäle zu Eigen gemacht. Schauen wir uns die verschiedenen Wege an, auf denen wir Werbung für fragwürdige Sonnenbrillen-Shops erhalten haben:
Die Bandbreite der Versprechungen ist erwartungsgemäß groß. In den untersuchten Mails werden uns Rabatte zwischen 65% und 85% für Sonnenbrillen versprochen. Keine der untersuchten E-Mails enthielt einen Anhang. Jede hatte jedoch Verweise auf Webshops, in denen die angepriesenen Brillen vermeintlich gekauft werden könnten.
Wie die Auswahl der Screenshots zeigt, ist das Design der E-Mails in der HTML-Ansicht durchaus unterschiedlich. Einige machen einen recht professionellen Eindruck und könnten optisch durchaus eine legitime Werbebotschaft der bekannten Marken sein. Andere sind dagegen eher trist und sollten dem Empfänger sofort negativ auffallen. Weitere Indikatoren für diesen Spam:
Sie alle haben eines gemeinsam: Sie beinhalten Links zu Webseiten dubioser Shops, auf die wir später im Zuge der möglichen Gefahren für den Nutzer eingehen wollen.
Die Funktion, Freunde in einem Foto zu markieren (englisch: to tag), ist schon lange verfügbar. Facebook hat das Markieren inzwischen auch für Statusmeldungen freigegeben. Die Spammer machen sich diese Funktion zu Nutze. Dabei benutzen sie einerseits gehackte Facebook-Profile oder aber neue und nur für diesen Zweck angelegte Konten und auch umgewidmete Konten, die früher einem anderen Zweck dienten.
Sie posten über ein Profil eine Veranstaltung mit Bildern und Infos zu Ray-Ban Lockangeboten und laden dann arglose Benutzer zu dieser Veranstaltung ein.
Wie in den Screenshots zu erkennen ist, wurde hier vermutlich ein Konto missbraucht, das lange Zeit inaktiv war – es sei denn, die Angreifer haben absichtlich alle Chronikeinträge bis auf den einen aus dem Jahr 2013 gelöscht. Insgesamt wurden 9.553 Personen zu dieser Veranstaltung eingeladen und es gibt tatsächlich Zusagen!
Der Zweck der Veranstaltung ist, die URL zu einem der dubiosen Shops publik zu machen und zu verbreiten. Die URL wird in den Beiträgen zu der Veranstaltung immer wieder angezeigt, wie der Screenshot (oben rechts) beweist. Die Veranstaltungen an sich sind nicht gefährlich für den Facebook-Nutzer, aber die Hintermänner können ihre mitunter gefährlichen Webseiten präsentieren.
Benutzer, die den Missbrauch ihres guten Namens mitbekommen, informieren häufig sehr schnell ihre Freunde darüber und können nur hoffen, dass niemand auf die Masche hereingefallen ist:
Clickjacking ist eine der Möglichkeiten. Dabei bauen die Initiatoren zum Beispiel unsichtbare Like-Buttons auf Webseiten ein, legen sie über einen legitimen Button und „zwingen“ den Nutzer so zu einem für die Bösewichte positiven Klick. Auch die tatsächlich organische Verbreitung von Person zu Person ist eine Verbreitungsmethode, die nicht vergessen werden darf. Eine andere Option sind „unsaubere“ Facebook-Applikationen: manchmal sei laut Veranstalter die Installation einer Facebook-App nötig, um bei einem Event teilzunehmen oder einem ähnlich angelegten Gewinnspiel zu gewinnen. Diese Masche nennt man auch Sharebaiting. Die angepriesene App verlangt in aller Regel vielfältige Rechte für das Social Media Konto des Benutzers und kann dann neuen Spam an Freunde und Freundesfreunde verteilen - der digitale Schneeball rollt weiter und wird größer. |
Sie knacken das Konto eines vorhandenen Facebook-Users und posten in seinem Namen die aufdringlichen Werbebilder. Dazu markieren sie auch die Personen in der Freundesliste mit sogenannten Tags, denn eine Empfehlung eines Freundes ist bekanntlich viel vertrauenswürdiger, als eine Empfehlung von Fremden. Um nicht direkt aufzufallen, markieren die Spammer dann meist nur ein paar wenige Freunde, was die Werbung noch authentischer machen soll. Außerdem könnte die Benutzung von nur wenigen Tags eventuelle Spam-Schutzmechanismen des Portals weniger aggressiv agieren lassen.
Die bunten Bilder und unverschämt niedrigen Preise sollen die markierten Personen dazu verleiten, die angegebenen Webseiten zu besuchen und dort einzukaufen.
Auch hier gibt es zwei Möglichkeiten der Verbreitung: Angreifer können Konten anlegen und dann in Chroniken Nachrichten hinterlassen, in denen das Posten nicht reglementiert ist. Außerdem können Angreifer das Konto eines Facebook Benutzers oder gar einer Facebook Seite hacken und dann Werbungen auf die Chronik des gehackten Kontos stellen oder aber auch in dessen Namen in fremde Chroniken posten. Die Variante mit dem Hack ist einem neuseeländischen Hotel passiert, dessen Facebook-Auftritt plötzlich für mehrere Wochen unfreiwillig dubiose Werbungen geteilt hat und dafür sogar 132 Likes kassierte – das sind mehr Likes für den eingeschleusten Beitrag als für die eigentliche Seite!
US-Amerikaner erlebten im Sommer 2014 eine erwähnenswerte Welle dieser Art von Spam zur modischen Eye Wear. Besonders der Apple Dienst iMessage wurde damals von Spammern mit Hilfe von kurzen Skripten missbraucht. Die Versender konnten an einem Mac schnell Code schreiben, um gefühlt jedem Benutzer eine Lock-Nachricht zukommen zu lassen. Der iMessage Dienst gibt noch vor dem Absenden einer Nachricht an eine Telefonnummer oder E-Mail Adresse Rückmeldung darüber, ob der Empfänger für iMessage registriert ist. Das führt zu einer sehr hohen Trefferquote!
Eine Auswahl von Screenshots der Webseiten zeigt, dass sie sich sehr ähneln. Die Hintermänner benutzen dazu häufig Kopien der Originalseiten, die zum schnellen Anpassen in sogenannte Phishing-Kits integriert werden. Der Betreiber der Seite muss dann nur noch die Zieldaten für Formularfelder und Co. eingeben und kann ohne großen Aufwand eine vermeintliche originale Shop-Seite online stellen.
Kann man die nachgebauten Seiten optisch häufig kaum von den Originalen unterscheiden, so fallen jedoch oft schlecht gemachte Übersetzungen auf, z.B. „Verrückt Rabatt“, „schauen, finden Sie ihr Stil hier“ „Neuer Eintrag block schädliches Licht“ oder auch „Freies Verschiffen für Mini Order 1 Pieces“. Die Sprache, auf der die Webseite gestaltet ist – sofern der Webserver keine Anpassung durch die Standortfreigabe macht – lässt häufig auch auf die intendierte Zielgruppe schließen. Fehlende oder arg ungewöhnliche Angaben auf den Impressums-Seiten können ein Indiz für Nachahmer sein. Teilweise schmücken sich die Webseiten mit angeblichen Echtheits-Siegeln und Sicherheitszertifikaten, die in diesem Fall aber auch nur Bildkopien von Originalseiten darstellen. Weitere Tipps zum Entlarven solcher Seiten geben wir in unserer Infografik zum sicheren Online-Shopping.
Es ist nicht eine einzelne Person oder Organisation, die sich hinter diesen Maschen verbirgt, aber es gibt durchaus Überschneidungen in den von uns aktuell untersuchten Fällen aus E-Mails und Social Media Spam: Von 40 untersuchten Domains waren 24 noch aktiv: Alle aktiven Domains wurden mit chinesischen Resgistrar-Informationen angemeldet und dabei gibt es durchaus Doppelungen in den Namen der Registrar-Firmen (Registrar), den registrierenden Organisationen (Registrant Organization) und auch den Namen der anmeldenden Personen (Registrant Name). Fünf der aktiven Domains sind aktuell auf Servern in Istanbul (Türkei) abgelegt, zwei in Florida (USA) und 17 in Kalifornien (USA). 16 Webseiten sind dagegen schon Teil einer juristischen Untersuchung, die von der Firma Luxottica S.p.A gegen die Betreiber der Webseiten angestrebt wird.
Luxottica S.p.A (NYSE und MTA) ist die weltweit größte Firma für „Eye Wear“ und hat ihren Hauptsitz in Italien. Sie vereint unter ihrem Dach Brillen, Sonnenbrillen, Einzelhändler aus diesem Fachbereich und auch medizinische Dienstleistungen. Die bekanntesten Marken sind dabei eben Ray-Ban und Oakley, neben vielen anderen.
Ray-Ban, eben die Marke, mit der wir es bei diesem Scam hauptsächlich zu tun haben, ist eine amerikanische Marke, die jedoch inzwischen dem italienischen Konzern gehört. Der frühere Eigentümer, Bausch&Lomb, stellte unter dem Namen Ray-Ban die Sonnenbrillen für die US-Armee her (erinnern Sie sich noch an den Film Top Gun?!) und verkaufte Ray-Ban im Jahr 1999 an Luxottica. Nach einem Jahr Abstinenz wurden die Produkte dann wieder auf den Markt gebracht und sind seitdem der Best-Seller des italienischen Hauses mit Preisen rund 150 US-Dollar pro Stück, wobei die Brillen heutzutage den Schätzungen nach für den 20-fachen Produktionspreis über die Ladentheke gehen. Im vorherigen Jahrhundert lagen die Verkaufspreise bei rund 30 US-Dollar.
Insofern ist es wenig verwunderlich, dass sich Cyber-Kriminelle daran machen, aus diesem boomenden Geschäft ihren Nutzen zu ziehen und sich auch beim Thema Sonnenbrillen mit ihren Maschen bewusst am Weltmarktführer orientieren.
Nein, ganz und gar nicht. Viele andere Branchen und Marken sind ebenfalls betroffen. Es gibt ebenso „unwiderstehliche Angebote“ für Designer-Handtaschen, luxuriöse Armbanduhren, top-aktuelle Sportartikel und nicht zuletzt auch für Medikamente.
Die möglichen Auswirkungen sind mindestens so vielfältig wie die beschriebenen Maschen: