Normalerweise erreichen uns schädliche, verdächtige Dateien oder Links per Mail. In diesem Fall jedoch wurde uns ein Foto zugesandt, auf dem ein „Werbebanner“ aus Papier zu sehen war und das für Kryptomining per Browser Werbung machte. Der Einsatz von Browser-Plugins für das Schürfen von Kryptowährungen ist nicht neu.
Neu ist allerdings, auch außerhalb des Internets in der „analogen Welt“ Nutzer für diese Art des Minings zu gewinnen. Ein aufmerksamer Leser hat uns das nebenstehende Bild mit der Bitte zugesandt, doch einmal einen Blick darauf zu werfen. Neugierig wie wir sind, konnten wir natürlich nicht widerstehen. Wir haben bereits in der Vergangenheit im G DATA SecurityBlog über aktuelle Trends beim Kryptomining berichtet. Grob zusammengefasst stellen Benutzer die Rechenleistung ihres Computers für das Mining zur Verfügung. Idealerweise passiert dies mit Wissen und Einverständnis des Benutzers.
Entwarnung für die Zielgruppe - vorerst
Konkret spricht der Aushang Nutzer von Chrome und Firefox an – diese sollten über einen Link ein Add-on in ihrem Browser installieren, um „ohne Risiko und kostenlos“ Bitcoins zu minen. Wir haben uns das hier beworbene Add-on „Cryptotab“ angesehen. Die gute Nachricht: Wir konnten keine Auffälligkeiten feststellen (Stand: 30.5.2018). Es handelt sich dabei nicht um Schadsoftware, aber man könnte den Programmzusatz als „Potenziell unerwünschtes Programm“ klassifizieren. Andererseits: Der Benutzer muss das Add-on aktiv selbst installieren. Auf dem Aushang befindet sich zudem ein QR-Code, der auf eine Registrierungsseite verweist. Dieser Link wird im Verlauf noch wichtig.
Zusätzlicher Ballast
Also ist eigentlich alles gut, oder? Jein. Das Add-on selbst besitzt zwar keine Schadfunktion, allerdings gibt es zwei Auffälligkeiten: Zum einen wird der Anwender nach Installation des Add-ons gebeten, einen weiteren Programmzusatz namens „mybit“ zu installieren. Dabei handelt es sich um eine sogenannte „Custom-Suchmaschine“, wie sie zum Beispiel bei Firefox oben rechts im Fenster zu finden ist (siehe Screenshot).
Wer das Add-on installiert und eine Onlinesuche über das „mybit“-Suchfeld startet, erhält eine Ergebnisseite der Suchmaschine von Yahoo. Was mit den eingegebenen Suchbegriffen geschieht, lässt sich nur vermuten. Sicher ist, dass die Eingaben an den Anbieter des Add-ons gesendet werden.
Motivation und Marketing
Wer sich jetzt fragt, warum jemand ausgerechnet mit Papieraushängen Werbung für das Mining Add-on macht, befindet sich in guter Gesellschaft – wir haben uns diese Frage ebenfalls gestellt. Die Antwort steckt im QR-Code auf dem Zettel und ist auf der Webseite des Anbieters zu finden: Es handelt sich um eine altbekannte Marketingstrategie namens „Affiliate Marketing“. Macht jemand erfolgreich Werbung für das Add-in, so erhält er eine Prämie in Höhe von 15 Prozent des durch den neu geworbenen Nutzer geschürften Kryptogeldes (auch wenn nicht ganz klar ist, über welchen Zeitraum diese Rechnung gilt). Um die Prämie ausgezahlt zu bekommen, muss derjenige, der für das Add-on wirbt, nur sicherstellen, dass „sein“ eindeutiger Registrierungslink genutzt wird – und dieser steckt im QR-Code auf dem Aushang.
Aus reiner Nächstenliebe wird diese Art Werbung also nicht gemacht. Jedoch hätten wir eher im Internet mit dieser Werbung gerechnet – und nicht auf einem Supermarktparkplatz. Fazit:
Kurios und nicht wirklich gefährlich, aber interessant.
Was ist eigentlich "Affiliate Marketing"?
Affiliate Marketing bezeichnet einen eigentlich rein internetbasierten Vertriebsweg, in dem Werbepartner (die „Affiliates“) Werbung für ein bestimmtes Produkt machen. Dafür bekommen sie je nach Modell einen Link oder ein bestimmtes Anzeigenbanner zur Verfügung gestellt, welches sie dann nach eigenem Ermessen verteilen können. Nutzt jemand den Link eines solchen Werbepartners, dann weiß der Auftraggeber so, dass der Besucher auf den Link dieses Werbepartners geklickt hat. Die Vergütung des Werbepartners kann auf verschiedenen Grundlagen beruhen – eine Provision kann beispielsweise ausgezahlt werden, wenn der Besucher, der auf den Link geklickt hat, etwas in einem bestimmten Onlineshop kauft (dieses Modell wird z.B. von Amazon genutzt). Andere Modelle zahlen pro Installation einer bestimmten Software oder auch pro erfolgreicher Registrierung eines neuen Nutzers.