Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr    
     
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Osterhasen für alle Lebenslagen


  Tatyana Kulikova       23 April 2014 | 12:38  MSK

Ihr Kommentar  

Am Vorabend der Osterfeierlichkeiten registrierten wir eine ungewöhnliche thematische Versendung. Spammer warteten mit Werbung für die unterschiedlichsten Dienstleistungen auf: von der Minderung der Hypothekenkosten und Hilfe bei der Kreditrückzahlung bis hin zur Steigerung der männlichen Potenz. Weder der Betreff noch der Mitteilungstext selbst enthielten Anspielungen auf das bevorstehende christliche Fest, dafür beinhalteten die Links auf die Sites, auf die die Werbeslogans lockten, Wörter, die mit Ostern in Verbindung stehen: eastertime, easterbunnies, greateastern.



Die entdeckten Domains wurden erst vor kurzem erstellt und hatten nur eine geringe Lebensdauer. Alle Seiten, auf die dem Empfänger zu gehen empfohlen wurde, um finanzielle und andere Probleme zu lösen, waren leer. Allerdings enthielten die Sites selbst Ordner, von denen in den Mails der Spam-Versendung auch die Bilder zu den unterschiedlichen Themen geladen wurden – von der Werbung für zahnärztliche Dienstleistungen bis zu Angeboten für schnelle Verdienstmöglichkeiten. Dabei ließ sich der Inhalt des Bildes vollständig dem Inhalt einer Mitteilung zuordnen.


Für die Spammer ist jede Art von Feiertag ein willkommener Anlass die Effizienz ihre Versendungen und die Reaktionen darauf zu verbessern. Daher wird – auch wenn das Thema des Schreibens rein gar nichts mit der jeweiligen Festlichkeit zu tun hat – immer versucht, eine Verbindung zum Festtag herzustellen, sei es, indem man die Domain nach dem Osterhasen benennt oder andere Festtagsschablonen einsetzt.


Neue Bedrohung: Trojan-SMS.AndroidOS.Stealer.a


  Victor Chebyshev       18 April 2014 | 13:15  MSK

Ihr Kommentar  

Das Gesamtbild der Infektionsversuche durch mobile Malware ändert sich ständig, und auf eine der jüngsten Tendenzen auf diesem Gebiet möchte ich an dieser Stelle näher eingehen. Innerhalb des letzten Jahres setzte sich der mobile Trojaner Trojan-SMS.AndroidOS.Stealer.a nach Anzahl der Versuche, unsere Anwender zu infizieren, an die Spitze, und belegt stabil den ersten Platz im Rating der aktuellen Bedrohungen. So entfielen im ersten Quartal 2014 etwas weniger als ein Viertel aller registrierten Attacken auf diesen Schädling.


Geografie


Der Grund dafür ist nicht nur die Nachdrücklichkeit, mit der Cyberkriminelle ihn in Russland verbreiten, sondern es sind auch die nicht abreißenden Versuche, Anwender in Europa und Asien anzugreifen. Fälle von Infektionen mit diesem SMS-Trojaner werden überall registriert:



Es gibt noch einen weiteren Faktor, der davon zeugt, dass der Trojaner sich gegen Anwender aus verschiedenen Ländern der Welt richtet. Die Rede ist von seiner Konfigurationsdatei. Denn der Trojaner kann feststellen, in welcher Region er gestartet wird, und ändert dementsprechend den Inhalt der SMS und den Adressaten. Zum gegenwärtigen Zeitpunkt umfasst das „Arbeitsgebiet“ von Trojan-SMS.AndroidOS.Stealer.a die folgenden Länder:



  • Belgien

  • Frankreich

  • Litauen

  • Lettland

  • Russland

  • Ukraine

  • Weißrussland

  • Moldawien

  • Deutschland

  • Armenien

  • Abchasien

  • Aserbaidschan

  • Kasachstan

  • Kirgisien


Funktionalität


Besonders ungewöhnlich ist Trojan-SMS.AndroidOS.Stealer.a nicht, er verbreitet sich getarnt als legitime Anwendung und setzt eine für SMS-Trojaner durchaus übliche Auswahl an Funktionen ein.


  • Stealer kann von einem C&C die folgenden Befehle empfangen und ausführen:

    • server –C&C wechseln

    • sms – eine SMS mit in der Konfigurationsdatei vorgegebenen Daten abschicken.

    • delete – eingehende Mitteilungen, die den Masken entsprechen, in vorgegebenen Intervallen löschen

    • update – Trojaner aktualisieren

    • removeAllSmsFilters – SMS-Filter löschen

    • sendInfo – Daten über das Telefon senden

    • sendPackagesList – Liste der Anwendungen senden

    • sendConfig – laufende Einstellungen senden

    • uninstall – ausgewählte Anwendung löschen

    • notification – Mitteilung im Bereich Benachrichtigungen zeigen

    • inbox_sms_remote_log – Abfangen der Mitteilungen aktivieren

  • Die Steuerung des Trojaners erfolgt über HTTP, dabei werden zwei verschiedene Steuerungszentren genutzt, von denen eins die Aufgaben stellt und das andere die Ergebnisse empfängt.

  • Für die Verschlüsselung der Daten benutzt Stealer ein modifiziertes BASE64 und GZip.

In sich selbst verwahrt der Schädling eine chiffrierte Konfigurationsdatei in Form eines JS-Skripts. In Abhängigkeit vom Inhalt der Datei kann der Trojaner sofort nach dem Laden und dem Start die folgenden Aktionen ausführen:



  • openUrl – Webseite öffnen (URL)

  • getLat, getLng – Koordinaten des Geräts empfangen

  • setInboxSmsFilter – Maske zum Blockieren von SMS erstellen

  • disableInboxSmsFilter – Maske zum Blockieren von SMS verwerfen

  • doPayment – SMS versenden – mit Nummer und Mitteilungstext aus der Konfigurationsdatei.

  • installApp – Anwendung installieren

  • enableDebug – Debugging-Informationen aktivieren

  • disableDebug – Debugging-Informationen deaktivieren

  • log – Aufzeichnung in logcat aktivieren

  • minimize – Anwendung, die als Tarnung für den Trojaner dient, minimieren (im Hintergrundmodus)

  • exit – Anwendung schließen

  • startHider – Anwendung verbergen

  • stopHider - Anwendung wiederherstellen

  • enableAOS – Modus zum Verbergen von Bestätigungs-SMS aktivieren

  • addShortcut – Shortcut auf den Trojaner einem Desktop des Betriebssystems hinzufügen

  • isAirplaneModeOn – überprüfen, ob Flugmodus aktiviert ist

  • isPackageExists – überprüfen, ob es im System eine der Maske entsprechende Anwendung gibt

  • sS – SMS mit vorgegebener Nummer und Präfix versenden

  • sDS –SMS mit Verzögerung versenden


So können die Virenschreiber das Verhalten des Trojaners verändern, indem sie den Inhalt der Konfigurationsdatei ändern.


Es ist erstaunlich, dass die Entwickler des Trojaners noch immer ein Schema benutzen, bei dem die Konfiguration von Trojan-SMS.AndroidOS.Stealer.a zusammen mit dem Schädling selbst verbreitet wird, während ein großer Teil der Schädlinge schon ausschließlich online gesteuert wird. Ein solcher Ansatz garantiert allerdings das Funktionieren von Stealer auch in dem Fall, wenn keine Verbindung zum Internet besteht.


Wir prognostizieren eine weitere Zunahme der Infektionsversuche mit Trojan-SMS.AndroidOS.Stealer.a. Höchstwahrscheinlich werden die Virenschreiber die Konfigurationsdatei weitestgehend minimieren und den Trojaner ausschließlich online steuern und seine Funktionalität dabei erhalten.

Kaffee mit Schädling gefällig?


  Maria Vergelis       16 April 2014 | 11:56  MSK

Ihr Kommentar  

Um einen Empfänger dazu zu bringen, einen schädlichen Anhang zu öffnen, setzen Cyberkriminelle in der Regel auf Mail-Schablonen. Und hier kommen meist zwei Hauptbestandteile zum Einsatz: ein bekannter Absendername (Bank, soziales Netzwerk, Provider oder irgendeine andere Organisation, mit der der Empfänger sehr wahrscheinlich etwas zu tun hat) plus ein neugierig machender oder erschreckender Betreff. Diese beiden Kriterien versuchten die Cyberkriminellen auch zu berücksichtigen, als sie im Namen der weltgrößten Kaffeehauskette, Starbucks, eine Attacke auf die Anwender organisierten.

 

In den Mitteilungen der von Kaspersky Lab entdeckten Versendung hieß es, dass wenige Stunden zuvor ein Freund des Empfängers eine Bestellung für diesen zu einem besonderen Anlass aufgegeben habe. Dabei habe der Freund um Wahrung seiner Anonymität gebeten, um die Spannung aufrecht zu erhalten und den Empfänger dazu zu veranlassen, zu dem Treffen zu erscheinen. Zu diesem Anlass hätten die Mitarbeiter des Cafés nun ein traumhaftes Menü zusammengestellt, mit dem der Empfänger sich schon im Vorwege vertraut machen könne, indem er den Anhang öffnet, in dem ihm auch gleichzeitig der Ort und die genaue Zeit der Zusammenkunft mittgeteilt würden. Die Mails schlossen mit den besten Wünschen für den bevorstehenden Abend.

Allen Mitteilungen der Versendung wurde höchste Priorität zugeschrieben. Dabei änderten sich die Adressen der Absender, die bei den kostenlosen Services Gmail и Yahoo! registriert waren, von Mail zu Mail, wobei es sich um willkürlich generierte Wortgefüge des folgenden Typs handelte incubationg46@, mendaciousker0@ usw.

Der Anhang enthielt eine ausführbare Datei, wobei sich die Cyberkriminellen noch nicht einmal die Mühe gemacht hatten, sie mit Hilfe eines Archivs oder einer doppelten Erweiterung zu tarnen. Offensichtlich hatten sie gehofft, dass der erfreute Empfänger die Datei öffnet, ohne lange nachzudenken. Kaspersky Lab detektiert die angehängte Datei als Trojan-Spy.Win32.Zbot.sapu, eine Modifikation eines der populärsten Spionageprogramme der Familie Zbot (ZeuS). Diese Programme werden von Gangstern benutzt, um verschiedene vertrauliche Informationen zu stehlen. Und dieser Zbot ist zudem in der Lage, den Schädling Rootkit.Win32.Necurs oder Rootkit.Win64.Necurs zu installieren, der die Arbeit von AV-Programmen und anderen Schutzlösungen stark behindert.


Allgegenwärtiger Familienvater


  Maria Rubinstein        8 April 2014 | 18:50  MSK

Ihr Kommentar  

Viele Websites zeigen dem Anwender je nach dem, in welchem Land er sich befindet, unterschiedliche Texte an. Einige Portale können beispielsweise auf der Startseite standardmäßig Nachrichten oder Wettervorhersagen aus der Region, in der der Anwender sich gerade befindet, anzeigen - in der berechtigten Annahme, dass solche Informationen ihn in erster Linie interessieren.

Diese Möglichkeit steht selbstverständlich auch Spammern und Betrügern jeglicher Couleur zur Verfügung.

Die folgende E-Mail in spanischer Sprache bewirbt einen einfachen Weg, sich im Netz etwas dazu zu verdienen:



Der Link aus der Mail führt auf die Seite times-financials.com, die den Daten von whois zufolge im Oktober letzten Jahres registriert wurde:





"Familienvater aus Moskau verdient 14.000 Dollar im Monat " verkündet die Überschrift.

Aus Moskau? Hmmm…

Versuchen wir einmal auf dieselbe Site über den Proxy proxyvpn.se zu gelangen:





Hier stammt der Familienvater bereits aus New York.

Tauscht man übrigens in der Adresse der Seite die Sprache aus, und schreibt dort EN an Stelle von ES, so wird die Website nicht auf Spanisch, sondern in englischer Sprache angezeigt:





Und schreibt man FR, so erscheint sie dementsprechend auf Französisch:





Bedient man sich eines deutschen Proxys, so weiß der „Vater“ gar nicht mehr, wo er sich befindet, und in der Überschrift wird auf gar keine Stadt der Welt verwiesen:





Der Link aus den „Artikeln“ bleibt dagegen immer unverändert – er führt auf die Website yourbinarysystem.com, die im Januar 2014 registriert wurde. Diese Website verspricht dem Nutzer märchenhafte Reichtümer, und ein Link dort führt seinerseits auf eine dritte Website mit einer ordinären Finanzpyramide.

Uns stehen bisher noch keine Mails mit Links auf den „Familienvater“ in anderen als der spanischen Sprache zur Verfügung, aber wir sind sicher, dass die „Autoren“ der Pyramide auch solche Versendungen zusammenstellen werden, denn wie sollten sie sonst die Aufmerksamkeit auf die Versionen ihrer Website in anderen Sprachen lenken? Sollten Sie so eine Mail erhalten, schicken Sie sie uns bitte zu!

Ein „Geschenk“ für treue Apple-Kunden


  Tatyana Shcherbakova       26 Februar 2014 | 15:30  MSK

Ihr Kommentar  

Im Januar stießen wir auf Phishing-Mails, die Cyberkriminelle im Namen von Apple verschickten. Die Schreiben enthielten das verlockende Angebot, eine Rabattkarte im Wert von 150 Euro in jedem beliebigen AppStore in Europa für insgesamt nur 9 Euro käuflich zu erwerben. Überdies wurde darauf hingewiesen, dass das Angebot ausschließlich für langjährige Kunden als Dank für ihre Loyalität gilt. Um den Antrag auf Erhalt der Karte auszufüllen, musste der treue Apple-Fan lediglich eine an die Mail angehängte HTML-Seite öffnen und die fehlenden Angaben eintragen, unter anderem seine vollständigen Kreditkarteninformationen, inklusive CVV – die dreistellige Prüfziffer – auf der Rückseite der Karte.

Im Gegenzug versprachen die Betrüger im Laufe von 24 Stunden, die Rabattkarte via E-Mail zu übermitteln. Doch das war natürlich wieder mal nur ein Trick, um die Anwender in die Irre zu führen – genau so wie die Verwendung des Apple-Logos und die automatische Signatur am Ende des Schreibens.

 

Cyberkriminelle haben es nicht nur auf die Login-Daten von persönlichen Accounts abgesehen, sondern auch auf die Bank- und Kreditkartendaten der User. Um an die gewünschten Informationen zu gelangen, versprechen sie das Blaue vom Himmel herunter. Für einen unerfahrenen Nutzer ist es nicht immer einfach, einen Betrug als solchen zu erkennen, doch die Aufforderung, seine vertraulichen Bankinformationen oder Login-Daten für persönliche Accounts bereitzustellen, ist ein zuverlässiges Merkmal für eine Phishing-Mail.


Geheimer Käufer: Vorsicht vor Fälschungen


  Tatyana Kulikova       26 Februar 2014 | 14:45  MSK

Ihr Kommentar  

Das Angebot, als „geheimer Käufer“ zu arbeiten, ist eine weit verbreitete Falle von Internet-Betrügern. Sie bieten Verdienstmöglichkeiten in der Freizeit an und senden – bei Einverständnis – einen gefälschten Scheck über eine sehr hohe Summe, die der neue Mitarbeiter mit dem Kauf von Waren und der Durchführung von Nachforschungen kompensieren soll. Das nach Ausführung der Arbeit verbleibende Geld gibt das Opfer den Betrügern zurück. Wenn also die Bank den gesendeten Scheck als Fälschung annulliert, kommt der unglückliche „geheime Käufer“ in die roten Zahlen.

Allerdings werden die Anwender in punkto Internet-Sicherheit immer beschlagener, und die Verbrecher müssen sich daher immer wieder etwas Neues einfallen lassen, um ihre Ziele zu erreichen. Ein Beispiel für eine solche neue Methode sind als Versendung einer großen Website, die auf „geheime Käufer“ spezialisiert ist, getarnte betrügerische Mails. In einem solchen Schreiben, das angeblich von dem Unternehmen Mystery Shopper Inc stammte, wurde auf eine Stellenbeschreibung verwiesen. Doch der dazugehörige Link hing mit einer anderen Ressource zusammen, die ebenfalls auf diese Art der Marktforschung spezialisiert ist. Die Adresse der echten Seite der Betrüger wurde erst nach dem Aufruf des angegebenen Links sichtbar. Selbstverständlich hatte er mit den offiziellen Ressourcen von Mystery Shopper Inc nicht das Geringste zu tun.

 

Auf der betrügerischen Seite wurden die Vorteilen der Arbeit als „geheimer Käufer“ angeführt, und um den gewünschten Job zu erhalten, forderten die Autoren den Empfänger auf, einen kurzen Antrag mit seinen persönlichen Daten auszufüllen (vollständiger Name, Alter, Post- und E-Mail-Adresse).

 

Ich habe den Antrag ausgefüllt und als Antwort eine Mail mit detaillierten Instruktionen zur Durchführung meiner Forschungstätigkeit als „geheimer Käufer“ erhalten. Am Ende des Briefes folgte die Versicherung, dass ein Scheck für alle nötigen Ausgaben an die im Antrag angegebene Adresse geschickt würde. Der wichtigste Beweis für den betrügerischen Charakter des Schreibens bestand in der Tatsache, dass als Kontaktinformation nicht die E-Mail-Adresse des Unternehmens angegeben wurde, in dessen Namen der Brief verfasst worden war, sondern die Adresse eines kostenlosen Mail-Accounts.

Um den Spammern nicht auf den Leim zu gehen, muss man lediglich einige Vorsichtsmaßnahmen beachten: Man sollte Mails ignorieren, die von Ressourcen stammen, auf denen man selbst nicht registriert ist. Man sollte zudem immer genau im Auge haben, auf welche Adresse der Link in einer Mail führt. Und schon geht die Versuchung, einen Haufen Geld von einem gefälschten Scheck auszugeben, ganz schnell wieder vorüber.

Erster TOR-Trojaner unter Android


  Roman Unuchek       25 Februar 2014 | 17:35  MSK

Ihr Kommentar  

Virenschreiber, die Android-Trojaner entwickeln, verwenden als Muster traditionell die Funktionalität von Windows-Schädlingen. Jetzt wurde eine weitere „Spielart“ von Windows-Trojanern in Android-Schädlingen umgesetzt, und zwar haben wir den ersten Android-Trojaner entdeckt, der als C&C eine Domain in der Pseudo-Zone .onion verwendet. Auf diese weise nutzt der Trojaner das anonyme Netzwerk Tor, das auf einem Netz von Proxy-Servern fußt. Tor gewährleistet den Anwendern nicht nur Anonymität, sondern ermöglicht auch die Platzierung von „anonymen“ Websites in der Domain-Zone .onion, auf die nur in Tor zugegriffen werden kann.

 

Bei dem Schadprogramm Backdoor.AndroidOS.Torec.a handelt es sich um den geänderten populären Tor-Client Orbot. Cyberkriminelle haben dieser Anwendung ihren Code hinzugefügt, wobei sich der Trojaner nicht als Orbot ausgibt - er verwendet einfach die Funktionalität dieses Clients.

 

Der Trojaner kann die folgenden Befehle vom С&C empfangen:

 


  • Abfangen eingehender SMS beginnen/beenden.

  • Diebstahl eingehender SMS beginnen/beenden.

  • USSD-Anfrage stellen.

  • Daten über das Telefon an das C&C senden (Telefonnummer, Land, IMEI, Modell, Betriebssystemversion).

  • Liste der auf dem mobilen Gerät installierten Anwendungen an das C&C senden.

  • Eine SMS an die im Befehl angegebenen Nummer senden.

Die Verwendung von TOR hat für Cyberkriminelle sowohl Vor- als auch Nachteile. Zu den Vorteilen gehört, dass ein derartiges C&C nicht abgeschaltet werden kann. Als Nachteil könnte man ansehen, dass zusätzlicher Code nötig ist. Um die Nutzung von Tor für den Schädling Backdoor.AndroidOS.Torec.a möglich zu machen, war weitaus mehr Code nötig als für seine eigentliche Funktionalität.


Nigerianisches Gelübde


  Tatyana Kulikova       21 Februar 2014 | 19:36  MSK

Ihr Kommentar  

Die Geschichten der nigerianischen Spammer zeichnen sich oft durch das Vermögen aus, ein und denselben betrügerischen Schachzug in verschiedenen Kontexten auszuspielen. In der Mehrheit geht es dabei um überaus tragische Situationen, die mit irgendjemandes Tod oder politischen Unruhen zu tun haben. Daher kann das Begehren, sein Geld in gute, wenn auch fremde Hände zu geben, unerwartet kommen, wenn es dabei um die Einlösung eines Gelübdes geht, das Gott gegenüber abgelegt wurde.

Doch genau aus diesem Grund hat sich angeblich ein gewisser Ingenieur entschlossen, eine Viertelmillion Dollar einem zufällig ausgewählten Internetnutzer zukommen zu lassen. Der Legende zufolge hat er vor einiger Zeit einen einträglichen Auftrag in Australien ausgeführt, wurde für seine Leistungen allerdings nicht bezahlt. In seiner Verzweiflung versprach der Ingenieur dem lieben Gott, irgendjemandem 250.000 Dollar zu zahlen, wenn er je in Besitz seines ehrlich verdienten Geldes kommen sollte. Selbstverständlich musste diese Geschichte ein Happy End haben. Gerade erst vor wenigen Tagen stimmte die australische angeblich Regierung zu, ihre Schulden bei Mister Brady vollständig zu begleichen. Und nun möchte auch der glückliche Ingenieur sein Versprechen einlösen und die Summe von 250.000 Dollar einem Unbekannten auszahlen – bei dem es sich natürlich um den Empfänger des Briefes handelt.

 

Und obgleich man bei Google unter der angegebenen Adresse eine Firma findet, die Herrn Brady gehört, sollte man die Mail mit dem Versprechen auf eine Viertelmillion Dollar nicht wirklich ernst nehmen. Auf den betrügerischen Charakter des Schreibens weist beispielsweise die Tatsache hin, dass der Gründer dieser großen Firma von der Domain fbi.gov aus schreibt.

Bleibt zu hoffen, dass sich niemand findet, der Mister Brady bei der Einlösung seines heiligen Gelübdes unterstützt und sich als zu Beschenkender zur Verfügung stellt. Denn ein Happy End für Betrüger erweist sich häufig als Tragödie für ihre Opfer.


Wollen Sie Ihre Spam-Versendungen wirklich abbestellen?


  Maria Vergelis       21 Februar 2014 | 13:12  MSK

Ihr Kommentar  

Die Spammer werden nicht müde, neue Wege zu suchen, um die Antispam-Filter zu umgehen und die Empfänger der Spam-Mitteilung in die Irre zu führen. Vor kurzem entdeckten wir eine Versendung, deren Autoren ihre Mails als automatische Antwort auf die Abmeldung von verschiedenen Newslettern tarnten. Im Betreff wurde das Bedauern über den Verlust eines Abonnenten ausgedrückt und auch noch einmal nachgefragt, ob der Empfänger tatsächlich auf diese Dienstleistung verzichten wolle.

 

Phrasen wie „Schade, dass Sie sich abgemeldet haben“ finden sich tatsächlich in automatischen Antworten auf die Abbestellung von Newslettern. Darauf folgte allerdings ein weniger typischer Text. Die Autoren der Mail informierten den Anwender, dass er sich nicht nur von einem Newsletter, sondern gleich von mehreren Versendungen mit Informationen zu beispielsweise den folgenden Themen abgemeldet habe:

  • Führerschein ohne MPU;
  • Privatinsolvenz;
  • Banklizenzen;
  • Firmengründung im Ausland;
  • Immobilien mit 50% Rabatt.

All das sind typische Themen von Spam-Versendungen, die in diesem Fall als thematische Newsletter ausgegeben werden. Was aber bringt einen nun dazu, an der Echtheit dieser „Abmeldungen“ zu zweifeln? Die Tatsache, dass an keiner Stelle der Mail darauf hingewiesen wird, vom Newsletter welchen Informationsportals, welcher Nachrichtenseite oder welcher Online-Zeitung der Anwender denn nun eigentlich abgemeldet wird.

Eine derartige Information fehlte auch in den Absenderdaten: Die Adresse der Mail-Domain des Absenders lautete „führerschein-jetzt.com“ (Spammer benennen neu erstellte Domains sehr häufig mit Phrasen oder Wörtern, die mit den angebotenen Dienstleistungen zusammenhängen), und die Domain wurde in demselben Monat erstellt, in dem diese Mails versendet wurden. Es gibt keinerlei Links auf die Ressource, wo man das Abonnement erneuern könnte. Es scheint, als hofften die Autoren darauf, dass der Anwender, wenn er sich für eins der Themen interessiert, selbst auf die Mail antwortet und dann das gesamte Spektrum an Spam zum ausgewählten Thema erhalten wird.

Durch eine noch größere Unverschämtheit zeichneten sich die Autoren einer anderen Versendung aus. Gegen die Bezahlung einer geringen Summe versprachen die Spammer dem Empfänger zu erzählen, woher sie seine E-Mail-Adresse haben und warum in seinem Postfach so viel Spam landet. Für die Auskunft, die letztlich dazu beitragen kann, sich die unerwünschten Nachrichten vom Halse zu halten, verlangten die unbekannten „Wohltäter“ ganze 3,5 Dollar. Für die Bezahlung der Dienstleistung sollte der Anwender den in der Mail enthaltenen Link aufrufen.

 

Der Link führte auf eine Seite mit der Bezeichnung „End of Spam“, wo die Preisliste schon etwas länger war. Gegen eine über PayPal gezahlte „Spende“ von $1,50 konnte der Nutzer sich angeblich von allen Spam-Versendungen freikaufen. Und gegen die etwas höhere Summe von 3,50 Dollar sollte er das „Geheimnis“ erfahren, wie die einen oder anderen Spammer an seine E-Mail-Adresse gekommen sind. Dabei empfahlen die Autoren der Versendung nachdrücklich, bei der Zahlung als Überweisungszweck die eigene E-Mail-Adresse anzugeben, damit „sie auch wüssten, wen sie abmelden sollen“.

 

Alle Links führten auf eine PayPal-Seite mit fertigem Bezahl-Dokument. Wenn der Anwender bereits in dem Bezahlsystem registriert war, musste er lediglich auf den Button „Bezahlen“ klicken und damit sein Geld in die unendlichen Weiten des Internets senden.

Selbstverständlich bereiten die beschriebenen Maßnahmen dem Strom aufdringlicher Spam-Mails kein Ende – es ist sehr unwahrscheinlich, dass die Autoren der Versendung alle Spammer dieser Welt kennen und diese wiederum auf Anfrage des Anwenders alle von ihnen organisierten Spam-Versendungen stoppen. Vielmehr könnten die „Wohltäter“, nachdem sie das Geld erhalten haben, nicht nur die unerwünschte Korrespondenz nicht einstellen, sondern sie, im Gegenteil, noch ausweiten, da sie sich von der Gültigkeit der Adresse und der Naivität ihres Inhabers überzeugt haben. Und im schlimmsten Fall nutzen sie die bei der Bezahlung angegebenen persönlichen Daten zu unlauteren Zwecken aus.

Virtuelle Bitcoins vs. reales Geld


  Tatyana Kulikova       20 Februar 2014 | 17:38  MSK

Ihr Kommentar  

Die Feiertage zum Ende des Jahres mit all den Geschenken, dem guten Essen, der Deko und der Festtagsgarderobe sind eine Herausforderung für jedes Budget. Daher ist es nicht erstaunlich, dass die Spammer nach dem Jahreswechsel verstärkt angeblich lukrative Verdienstmöglichkeiten im Netz bewerben. In massenhaften Versendungen setzen sie immer häufiger Bitcoins als Köder ein – die Kryptowährung, die man gegen Rechenleistung erhält. In Zeitungen und Zeitschriften ist immer mal wieder von Millionären zu lesen, die ihr Vermögen mit Hilfe dieser virtuellen Währung gemacht haben, was wiederum den Spammern in die Hände spielt, die hoffen, die Popularität dieser Geldeinheit zu ihren Zwecken ausnutzen zu können. Diese Hoffnung ist umso begründeter, da der Kurs dieser Währung nach jüngsten Beobachtungen stetig steigt (derzeit kostet 1 Bitcoin beispielsweise ca. 285 Euro), und die Bereicherung durch den Verdienst von Bitcoins durchaus real und attraktiv erscheint.

Das Thema „Verdienen mit Bitcoins“ wird von den Spammern völlig unterschiedlich eingesetzt. In einer von uns entdeckten Versendung wird auf den Investment-Trick eines Bitcoin-Millionärs verwiesen. Den Versprechungen in der Mail zufolge lassen sich mit Hilfe dieses Tricks anderthalbtausend Dollar pro Tag verdienen, selbst ohne Bitcoins zu kaufen.

 

Der Link in der Mail führt auf eine farbenfrohe Webseite, auf der ein gigantisches Einkommen versprochen wird! Um auf die Software, die den gewünschten Gewinn erst möglich macht, zugreifen zu können, muss lediglich die E-Mail-Adresse angegeben werden.

 

Wer sich bei einem solchen Projekt einschreibt, wird wohl kaum reicher werden. Bei derartigen Angeboten handelt es sich um verdeckten Finanzschwindel, aus dem ausschließlich der Organisator seinen Vorteil zieht. Dafür gelangt die auf der Website hinterlassene E-Mail-Adresse in eine Spammer-Datenbank und ihr Inhaber wird noch lange Zeit verschiedene „verlockende Angebote“ erhalten.

Eine andere von uns entdeckte Versendung enthielt das Angebot, Bitcoins in einer Lotterie zu erspielen. Dem Schreiben zufolge wurde der Anwender für die Teilnahme von dem Lotterie-Unternehmen ausgewählt, und er müsse jetzt lediglich eine Datei laden und installieren, bevor die Ziehung vorbei sei. Leider erwies es sich als technisch unmöglich, die Datei zu öffnen und deren Inhalt einzusehen, daher lassen sich über den weiteren Gang der Ereignisse nur Vermutungen anstellen. In jedem Fall sollte ein Schreiben von einer unbekannten Person, in dem der Gewinn einer märchenhaften Summe in einer ebenfalls völlig unbekannten Lotterie in Aussicht gestellt wird, Misstrauen erwecken. Und der Download einer Datei über einen Link, der in einer solchen Mail enthalten ist, kann eine absolut reale Bedrohung für den Computer darstellen.

 

In einem weiteren Schreiben wurde ein spezielles Programm zum Kauf angeboten, mit dem die bekannte Kryptowährung angeblich erwirtschaftet werden kann. Um ein hohes und stabiles Einkommen zu erzielen, ist nach Angaben der Spammer lediglich eine Investition von 7 Dollar nötig. Nachdem er diese Summe gezahlt hat, wird der Nutzer allerdings kaum irgendeinen Gewinn erzielen. Vielmehr wird versucht werden, ihn in einen Finanzschwindel hineinzuziehen, wobei jegliche Einnahmen in den Händen der Organisatoren landen.

 

Derzeit wird das Bitcoin-Mining mit der Suche nach Goldadern zu Zeiten des großen Goldrausches verglichen. Je mehr Bitcoins produziert werden, desto schwerer ist es, sie zu schürfen. Während ursprünglich nur ein gewöhnlicher PC erforderlich war, um Einnahmen in Form der Kryptowährung zu erzielen, so müssen nun zunächst spezielle „Miningfarmen“ geschaffen werden, was große finanzielle Investitionen erforderlich macht. Doch nur so können heute neue Bitcoins erwirtschaftete werden, wobei Aufgaben von solcher Komplexität gelöst werden müssen, dass ein einfacher PC 5-6 Jahre damit beschäftigt wäre. All das zeugt davon, dass es technisch nicht möglich ist, irrsinnige Reichtümer in virtueller Währung zu verdienen – so verlockend die Versprechungen der Spammer auch klingen mögen. Und das heißt wiederum, dass es sich nicht lohnt, über Angebote nachzudenken, in denen es heißt, man könne „viel Geld mit nur wenigen Stunden pro Tag am Computer verdienen“.


Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen