Krypto e.V.

Das FBI hat bekannt gegeben, dass in den USA Anklage gegen drei Männer erhoben wird, die den zuständigen Ermittlern zufolge Nutzern weltweit mehr als 100 Mio. US-Dollar mit Scareware abgeknöpft haben. Das ist eine Form des Betrugs, bei der mit den Ängsten der Nutzer gespielt wird, um sie um ihr Geld zu erleichtern. Im konkreten Fall waren es angebliche Scanner, die das Finden von Fehlern oder Viren im System vorgaukeln. Damit wurde den Nutzer angebliche Programme zur Problemlösung angedreht.

Diese Taktik zählt laut FBI zu den “schnellst wachsenden und gängigsten Formen des Internet-Betrugs”. Das hängt sicherlich mit den enormen Profiten zusammen, die solche Machenschaften versprechen. Denn die Schadensumme, die den Angeklagten vorgeworfen wird, ist noch relativ gering. Trend Micro kommt in einer aktuellen Analyse zum Schluss, dass eine auf falsche Antiviren-Software (Fake-AV) spezialisierte Online-Gang jährlich 180 Mio. US-Dollar einnimmt.

Falsche Anzeigen, falsche Hilfsprogramme
Das Trio aus zwei US-Bürgern und einem Schweden war dem FBI zufolge an einem Betrug beteiligt, bei dem Nutzer mithilfe falscher Online-Werbung auf von den Cyber- Kriminellen kontrollierte Webseiten umgeleitet wurden. Popups, die wie Systemmeldungen aussehen, spielen dem Nutzer vor, dass ein Systemscan auf kritische Fehler oder Malware gestoßen ist. Damit wurden Anwender gedrängt, die angeblichen Hilfsprogramme der Betrüger zu kaufen, um so die angeblichen Probleme zu beseitigen.

Der Anklage zufolge haben die Cyber-Kriminellen auf diese Art Nutzern in gut 60 Ländern über eine Mio. nutzlose Software-Produkte andreht und den Geschädigten dabei 30 bis 70 US-Dollar pro Programm entlockt. Doch auch Internet-Unternehmen, welche die angeblichen Anzeigen geschaltet haben, wurden geschädigt. Denn die Scareware-Bande hat sie den Ermittlern zufolge dafür nie bezahlt. Die wenigstens 85.000 Dollar an vorenthaltenen Entgelten sind allerdings ein Klacks im Vergleich zum Schaden durch den eigentlichen Scareware-Betrug.

Riesige Schattenindustrie
Scareware ist ein beliebter Gauner-Trick. Gerade Fake-AV ist einer Google-Schätzung zufolge bereits für mehr als die Hälfte aller verseuchten Werbeanzeigen verantwortlich. Andere Spielarten umfassen beispielsweise die im Frühjahr erstmals beobachteten Copyright-Scanner, welche Nutzer mit Urheberrechts-Klagen wegen Filesharing drohen.

Wenn dem Nutzer bei einem Scareware-Betrug nur Geld abgenommen wird, kann er sich noch glücklich schätzen. Denn wer beispielsweise ein falsches AV-Programm erwirbt, handelt sich oft einen echten Schädling ein. In untersuchten Fall wurden Nutzer via Botnet mit dubioser Werbung überschwemmt, was Teil des Schatten-Geschäftsmodells war. Den Log-Dateien eines Kontrollservers der Bande zufolge hat allein dieser Server über solche Werbe-Impressionen 25.000 US-Dollar pro Tag erwirtschaftet. Doch die Kriminellen dürften eine Vielzahl entsprechender Botnetze betreiben.

Der bekannte Wurm Conficker hat erneut bei einem prominenten Opfer zugeschlagen. Der Schädling hat Computer der Greater Manchester Police (GMP) befallen. Diese wurden daraufhin vom Zentralrechner der britischen Behörden, dem Police National Computer (PNC), getrennt, um einer weiteren Ausbreitung vorzubeugen, berichtet die BBC. Damit zeigt sich, dass Conficker immer noch eine Gefahr bleibt.

“Ich bin überrascht, dass eine so wichtige und noch dazu sensible Organisation Conficker zum Opfer gefallen ist. Ich will doch hoffen, dass bei deren Rechnern die Schwachstelle gepatcht wurde, durch die sich der Wurm letztes Jahr im Internet so stark verbreiten konnte”, meint Rik Ferguson von Trend Micro. Denkbar ist, dass der Schädling über einen externen Datenträger ins GMP-Netz gelangt ist.

Verwunderliche Infektion
Wie genau Conficker am Freitag den Weg auf die Polizeirechner gefunden hat, ist bisher noch unklar. Für die zur Verbreitung via Internet genutzte Windows-Lücke gibt es seit Oktober 2008 einen Patch, dessen Dringlichkeit schon Anfang 2009 durch große Infektionen etwa bei der französischen Luftwaffe deutlich wurde. Die Schwachstelle sollte also gerade bei Behörden, die Zugang zu vertraulichen Daten haben, längst geschlossen sein.

“Wenn die Malware aber beispielsweise über einen infizierten USB-Stick in ein Netzwerk gelangt, kann sie sich dort je nach Variante dank Netzwerkfreigaben oder Brute-Force-Attacken leicht ausbreiten”, meint Ferguson. Dieser realen Gefahr ist offenbar die GMP zum Opfer gefallen. “Ich verstehe allerdings nicht, warum die AV-Lösung, welche die Polizei doch sicherlich nutzt, die Bedrohung nicht beim Versuch der Erstinfektion erkannt und neutralisiert hat”, so der Sicherheitsexperte.

Conficker-Vormarsch gestoppt?
Zwar dürfte Conficker nach wie vor auf Mio. PCs zu finden sein, doch die schnelle Ausbreitung des Wurms scheint mittlerweile gestoppt. Die Statistiken der Conficker Working Group deuten darauf hin, dass die Zahl der infizierten PCs seit dem letzten Quartal 2009 annähernd stabil bleibt. Das könnte mit dem Start von Windows 7 zusammenhängen. “Es verbessert definitiv, wie die Autorun-Funktion bei austauschbaren Medien funktiniert”, meint Ferguson. Diese wird unter anderem von Conficker ausgenutzt, um PCs zu befallen. Allerdings kenne er noch keine Statistiken, ob Windows 7 damit wirklich die Infektionsraten senkt.

Der britischen Polizei als jüngstem prominenten Conficker-Opfer stehen jetzt jedenfalls die Aufräumarbeiten bevor. Die GMP bleibt dabei vom zentralen Kriminalcomputer abgeschnitten bis Experten die Systeme in Manchester gesäubert haben und sich sicher sind, dass keine weitere Ausbreitungsgefahr mehr besteht. (pte/tc)