211service.com
Der perfekte Betrug
Nicht lange nachdem Prinz William und Kate Middleton am 29. April ihre Gelübde ausgetauscht hatten, erschien ein Hochzeitsporträt der verstorbenen Mutter des Bräutigams, Prinzessin Diana aus dem Jahr 1981, als eines der drei besten Bilder für Leute, die an diesem Morgen den beliebtesten Suchbegriff bei Google eingeben: königliche Hochzeit Abdeckung. Aber die Verbindung war ein Stolperdraht. Betrüger hatten mit dem Algorithmus von Google eine bösartige Website erwischt. Der Link führte zu einer gehackten Seite eines Web-Comics namens Kiwiblitz.com, die den Browser auf eine andere Site umleitete – eine mit einem Domainnamen aus einem obskuren australischen Inselgebiet, die in Schweden gehostet wird. Diese Site zeigte ein realistisch aussehendes Programm namens XP Anti-Spyware, das gefälschte Warnungen ausgab – Ihr Computer ist infiziert! Ein paar Klicks führten zu einer angeblichen Lösung für 59,95 US-Dollar: einem Download eines Fixes, der tatsächlich nicht existierte.

Königlicher Schmerz: Ein vergiftetes Bild von Prinzessin Diana landete am Frühlingstag, an dem ihr Sohn Prinz William heiratete, bei Google Image-Suchen nach königlicher Hochzeitsberichterstattung auf Platz drei.
Kreieren Sie einen weiteren Erfolg für den sogenannten gefälschten Antiviren-Betrug. Bundesermittler und Sicherheitsexperten schätzen, dass seine verschiedenen Iterationen in den letzten Jahren mindestens 1 Milliarde US-Dollar von Opfern abgezogen haben und dies zum sichtbarsten Ausdruck eines allgemeinen Anstiegs von online verbreiteter bösartiger Software oder Malware geworden ist (siehe Diagramme unten) . Der Schaden geht über den Diebstahl von Bargeld hinaus: Selbst wenn Sie nicht Ihr Portemonnaie zücken, können manchmal durch einfaches Klicken auf die gefälschten Come-Ons andere Formen von Malware übertragen werden, die Ihre Passwörter stehlen oder Ihren Computer zu einer ferngesteuerten Bande namens . einberufen können ein Botnetz. Da es im Allgemeinen darauf beruht, Menschen dazu zu bringen, freiwillig Malware zu installieren – eine Strategie, die als Social-Engineering-Angriff bezeichnet wird –, kann es sogar gut gewartete Computer infizieren, sowohl PCs als auch Macs. Als ein Akt der Täuschung auf menschlicher Ebene ist es einfach klassisch schön, sagt David Clark, ein Forscher am Computer Science and Artificial Intelligence Laboratory des MIT, der in den 1980er Jahren der leitende Protokollarchitekt des Internets war.
Diese Geschichte war Teil unserer Juli-Ausgabe 2011
- Siehe den Rest der Ausgabe
- Abonnieren
Diese Bedrohung ist das Produkt einer agilen Technologie und eines Geschäftsmodells, das Innovation belohnt. Betrüger haben Tausende von Varianten des gefälschten Antivirus-Köders in Dutzenden von Sprachen gerendert, automatisierte Mittel entwickelt, um gewöhnliche Websites zu infizieren, und viele Vektoren oder Methoden zur Bereitstellung von Weblinks mit ihrer schändlichen Nutzlast ausgedacht. Gespielte Suchergebnisse sind nur eine Methode. Online-Werbung ist ein weiterer Vektor, ebenso wie Spam-E-Mails, Links in sozialen Netzwerken und sogar Robo-Calls über Skype oder Telefon, die Menschen zum Besuch von Websites raten, die den Angriff ausstoßen. Es ist eine wirklich dominante Bedrohung für Computerbenutzer, die im Laufe der Zeit andauert und sich ständig weiterentwickelt und wächst, sagt Maxim Weinstein, Direktor von StopBadware, einer gemeinnützigen Organisation in Cambridge, Massachusetts, die Websites dabei hilft, sich von Malware-Hacks zu befreien und bösartige Websites zu schließen. . Der Erfolg des Betrugs zeigt die Plattfüßigkeit vieler Hauptakteure des Internets, die nicht in der Lage waren, eine Strategie für den Umgang damit zu koordinieren.
In mindestens 60 Ländern gab es Opfer. Ich habe Stunden damit verbracht, ein System zu bereinigen, das infiziert wurde, weil ein Mitarbeiter auf eine dieser Warnungen geklickt hat, sagt Brian D’Arcangelo, IT-Techniker am Lynn Community Health Center in Lynn, Massachusetts. Das passiert hier häufiger. Ein Schmuckhersteller in Toronto, der nur seinen Nachnamen Moser verwenden wollte, fand letztes Jahr seinen Windows-PC mit blinkenden Warnungen gesperrt, nachdem er nach Artikeln gesucht hatte, die mit seinem Handel zu tun hatten, also kaufte er die Lösung für 79,95 US-Dollar. Er musste den Computer reinigen lassen. Die Suche nach so banalen Begriffen wie Ballons hat zu Angriffsstellen geführt. Apple-Foren wurden mit Bitten von Kunden aufgehellt, die sich von Betrügereien befreien möchten, wie zum Beispiel, in dem sie aufgefordert wurden, nicht vorhandene Mac Defender-Software zu kaufen. Die Mutter von Melissa Hathaway, die 2009 als Cybersicherheitsberaterin von Präsident Obama diente, hat im vergangenen Dezember ein gefälschtes Antivirenprodukt installiert. Computersicherheitsexperten warnen, dass viele Opfer nicht einmal bemerken, dass sie betrogen wurden.
Wirtschaft
Die Anziehungskraft der gefälschten Antivirensoftware – oft als Scareware bezeichnet – wurzelt in Angst. Dieser Betrug beruht nicht darauf, das Opfer von etwas Absurdem zu überzeugen – zum Beispiel, dass ein nigerianischer Prinz Hilfe beim Umziehen seines Geldes braucht. Stattdessen ist die Lieferung so kalibriert, dass sie von den echten Warnungen profitiert, die wir alle erhalten haben. Menschen, die nicht genau wissen, was vor sich geht – und denen [erzählt] wurde: „Lassen Sie Ihren Virenschutz laufen, putzen Sie sich jeden Tag die Cyber-Zähne“ – werden dazu getrieben, darauf zu reagieren, sagt Vint Cerf, a Miterfinder der ursprünglichen Protokolle des Internets und heute Chief Internet Evangelist bei Google. Die Angriffe kommen im Allgemeinen aus Ländern, in denen die Gesetze zur Cyberkriminalität lax (oder nicht durchgesetzt) sind und Verträge, die eine Zusammenarbeit mit anderen Nationen verpflichten, nicht in Kraft sind. Viele kriminelle Banden betreiben vor allem Netzwerke aus Osteuropa. (Einige Malware überprüft, ob der Computer eines potenziellen Opfers auf osteuropäische Gebietsschemas eingestellt ist oder über eine russischsprachige Tastatur verfügt, woraufhin sie ordnungsgemäß beendet wird.)

Im Großen und Ganzen: Shaileshkumar Jain (oben links) und Bjorn Daniel Sundin (rechts) wurden wegen Überweisungsbetrugs angeklagt und mit einem Urteil in Höhe von 163 Millionen US-Dollar belegt, nachdem sie angeblich Verbraucher durch den Verkauf gefälschter Antivirenprodukte über ihr inzwischen aufgelöstes Unternehmen Innovative Marketing mit Sitz in Kiew belästigt hatten.
Es ist leicht zu verstehen, warum der Betrug mit gefälschten Antivirenprogrammen bei Kriminellen so beliebt ist. Die Auszahlung ist sofort und die Gewinne groß. Jemand, der andere digitale Beute wie Kreditkartennummern oder Passwörter stiehlt, muss zusätzliche Schritte unternehmen, um Geld einzulösen. Aber ein gefälschtes Antivirenprodukt bringt Geld direkt in die Tasche des Gauners. Im Jahr 2008 verklagte beispielsweise die US-Bundeshandelskommission die Prinzipien von Innovative Marketing, die in Belize gegründet wurde und zu dieser Zeit Büros in der Nähe von Kiew, Ukraine, unterhielt. Die FTC sagte, das Unternehmen habe von 2004 bis 2008 mehr als 163 Millionen US-Dollar eingenommen, indem es Verbraucher dazu gebracht habe, gefälschte Software mit so cleveren Titeln wie Winfixer, WinAntivirus, Drivecleaner, SystemDoctor und XP Antivirus 2008 herunterzuladen ein Urteil in dieser Höhe gegen die Firmenchefs Shaileshkumar Sam Jain und Bjorn Daniel Sundin, die später vor einem Bundesgericht in Chicago wegen Drahtbetrugs angeklagt wurden. Sie bleiben auf freiem Fuß. Ein dritter Angeklagter, James Reno aus Amelia, Ohio, der sich bei der FTC niedergelassen hatte, wurde ebenfalls angeklagt; Ihm wird vorgeworfen, ein Callcenter zu betreiben, in dem die Betreiber versuchten, Beschwerdeführer abzuwehren, obwohl die Mitarbeiter wütenden Kunden manchmal Rückerstattungen gewährten, um sich von Kreditkartenunternehmen fernzuhalten. Sein Anwalt hat keine Nachrichten zurückgegeben, die er hinterlassen hatte Technologieüberprüfung .
Der Schaden, den diese Organisation angerichtet hat, könnte sogar noch schlimmer gewesen sein, als die FTC behauptete. Ein Forscher des Sicherheitsunternehmens McAfee konnte feststellen, dass Innovative Marketing rund 600 Mitarbeiter und 34 Server hatte, die Malware verbreiteten, die meisten davon in einem traditionellen Bürokomplex in Kiew. Das Unternehmensimperium umfasste Abteilungen, die Kreditkartenzahlungen abwickelten, das Callcenter in Ohio und mehrere Websites für Erwachsene, die gleichzeitig als Vektoren für die gefälschte Antivirensoftware fungierten. McAfee stellte fest, dass Innovative Marketing im Jahr 2008 über einen Zeitraum von 11 Monaten 4,5 Millionen Bestellungen verzeichnete; bei 35 US-Dollar pro Bestellung lag der Jahresumsatz offenbar bei 180 Millionen US-Dollar. Das ist besser als die 150 Millionen Dollar, die Twitter in diesem Jahr einbringen wird, so eine Schätzung des Marktforschungsunternehmens eMarketer.
Innovatives Marketing gibt es nicht mehr. Aber das hat das weltweite Geschäft mit gefälschten Antivirenprogrammen nicht gebremst. Laut Eric Howes, Research-Analyst bei GFI Software in Clearwater, Florida, haben in den letzten fünf Jahren mehrere Malware-Gangs konsequent an betrügerischen Antiviren-Betrug gearbeitet. Um den Betrieb am Laufen zu halten, adaptieren die Anbieter dieser und anderer Formen von Malware eine Geschäftstechnik von Unternehmen wie Amazon: das Affiliate-Modell. So wie jede Website einen Link zu einem Amazon-Kaufformular enthalten und für alle Verkäufe eine Gebühr erheben kann, ziehen Antiviren-Betrüger Drittanbieter, sogenannte Partner, an, die für jede Installation eine Gebühr erhalten können – d. h. jedes Mal, wenn jemand Malware die Tür öffnet. indem Sie auf die falsche Warnung klicken – plus eine Provision für jeden resultierenden Verkauf des gefälschten Produkts. Ein Distributor, Avprofit.com, versprach auf seiner Website, zwischen 300 und 750 US-Dollar für jeweils 1.000 Installationen in den Vereinigten Staaten, Kanada, Großbritannien oder Australien zu zahlen, wo die Wahrscheinlichkeit höher ist, auf Opfer zu stoßen, die es sich leisten können, was zu zahlen die gefälschten Warnungen verlangen. Erforderliche Erfahrung: Avprofit suchte Hacker mit durchschnittlich mindestens 250 Installationen pro Tag.
Viele der Affiliates schneiden sehr gut ab. SecureWorks, eine Einheit von Dell, analysierte die Verbreitung eines gefälschten Antivirenprogramms namens Antivirus XP 2008 über ein in Russland ansässiges Unternehmen namens Bakasoftware. Laut Dokumenten des Hackers hinter Bakasoftware, der den Spitznamen Krab trug, konnte einer seiner Top-Partner innerhalb von 10 Tagen 154.825 Menschen dazu bringen, Kopien von Malware auf ihren Computern zu installieren, wobei 2.772 Opfer ihre Kreditkarte eingeben Zahlen. Wenn die Dokumente korrekt sind, hat sich Krabs Tochtergesellschaft in dieser kurzen Zeit mit 146.524 US-Dollar davongejagt.
Innovation
Partner haben eine beeindruckende Menge dunkler Innovationen hervorgebracht, um neue Wege zur Infektion von Computern über das Web zu schaffen. Ein wichtiges Werkzeug ist eine legitime Website, die heimlich kompromittiert wurde. Wenn Sie eine solche Site besuchen, werden Sie oft automatisch zu einer Site weitergeleitet, die die blinkenden Warnungen anzeigt und versucht, Sie dazu zu bringen, auf die Genehmigung zum Herunterladen des gefälschten Antivirenprogramms zu klicken. Andere Malware sucht häufig nach ungepatchten Lücken in gängiger Software wie Java und Adobe Flash – Lücken, durch die sie andere schädliche Nutzlasten installieren kann, z. B. Malware, die auf Ihrem Computer gespeicherte Passwörter stiehlt. Dies wird als Drive-by-Download bezeichnet.

Falsche Warnungen wie die obige – in Dutzenden von Sprachen – sind Millionen von Computerbenutzern weltweit ein vertrauter Anblick.
Bemerkenswerte Technologie liegt dem gesamten Prozess zugrunde. Um einen konstanten Vorrat an infizierten Websites aufrechtzuerhalten, schreiben Kriminelle Code, der das Web durchsucht und nach bekannten Schwachstellen in gängigen Veröffentlichungsplattformen wie Wordpress oder in Webhosting-Software wie cPanel sucht, sagt Weinstein. (Jeden Monat hilft seine StopBadware-Organisation dabei, 1.200 Websites zu bereinigen, ein winziger Bruchteil der Hunderttausenden, von denen angenommen wird, dass sie zu jeder Zeit infiziert sind.) Alternativ können die Kriminellen gestohlene Passwörter verwenden, um sich bei Websites einzuloggen und schädlichen Code hinzuzufügen. Um diese Arbeit zu erleichtern, erledigen Botnets einen Großteil der Arbeit automatisch.
Das Abfangen von Websites mit Sprengfallen ist nur ein Schritt. Der bösartige Code muss nicht entdeckt werden, wenn diese Websites für die Kriminellen nützlich bleiben sollen. Um echte, täglich aktualisierte Antivirenprogramme zu überlisten, nehmen die Kriminellen kosmetische Änderungen am Code vor – oft mit einfachen und weit verbreiteten Verschlüsselungstricks. (Der bösartige Code hinter dem Image von Princess Di war beispielsweise derselbe, der in anderen gefälschten Antiviren-Betrügereien verwendet wurde, wurde jedoch von 38 von 42 echten Antiviren-Scannern übersehen.) Und um auf den schwarzen Listen von Sicherheitsunternehmen und Web-Unternehmen versuchen, Webadressen zu blockieren, von denen bekannt ist, dass sie bösartige Software enthalten, und nutzen Techniken zur schnellen Registrierung und Änderung von Tausenden von Adressen.
Ein Blick auf eine Domain-Registrierung zeigt, wie einfach das geht. Ein Unternehmen in Südkorea hat sich auf den Verkauf von Millionen von Adressen in der nationalen Domäne .cc spezialisiert – der der Kokosinseln (Keelinginseln), einem australischen Territorium. Der koreanische Shop hat co.cc registriert. Dazu kann es unzählige Namen hinzufügen. Für 1.000 US-Dollar erhalten Sie sogar 15.000 davon. Es rühmt sich, 57 Millionen co.cc-Sites von Google indiziert zu haben, was zeigt, wie einfach es sein kann, eine breite Masse von Opfern zu erreichen. Und kostenlose Webhosting-Dienste auf der ganzen Welt machen es einfach, diese Sites in Betrieb zu nehmen.
Vektoren
Um ihre Links den Opfern zugänglich zu machen, die sie wahrscheinlich sehen und anklicken, benötigen Antivirus-Hoaxer Vektoren, und sie haben viele verwendet: Pornoseiten, Online-Werbung, Suchergebnisse, Software, die auf Filesharing-Sites gehandelt wird, und Links auf Facebook und Twitter. In zunehmendem Maße werden bösartige Websites, die diese Vektoren verwenden, täglich oder sogar stündlich erstellt, um den Bemühungen, sie zu blockieren und zu schließen, voraus zu sein.
Online-Werbung zu infizieren ist ganz einfach: Die Bösen kaufen Anzeigen und manipulieren sie mit Schadcode oder Links. Nach Angaben der FTC gaben sich Vertreter von Innovative Marketing als Vertreter echter Unternehmen und Organisationen aus – darunter Travelocity, Priceline und Oxfam International – und kauften angeblich in ihrem Namen Anzeigen. Diese Online-Anzeigen verwendeten eine ausgeklügelte Variante des standortbezogenen Targetings. Sie erschienen legitim, wenn sie von den IP-Adressen der Mitarbeiter des Werbenetzwerks aus betrachtet wurden, aber Zuschauer unter anderen Adressen wurden auf Betrugsseiten umgeleitet. In jüngerer Zeit sind laut einem Bericht des Sicherheitsunternehmens Websense infizierte Anzeigen auf Gizmodo, TechCrunch und der Website des New York Times .

Diagramme vergrößern.
Aber Suchmaschinen könnten heute der vorherrschende Vektor sein, sagt Stefan Savage, Informatiker an der University of California in San Diego. Die Betrüger spielen eine Vielzahl von Tricks zur Suchoptimierung, um die Algorithmen zu täuschen, die Google, Bing und andere Suchmaschinen verwenden, um zu bestimmen, welche Weblinks als Reaktion auf Suchanfragen angezeigt werden. Im Allgemeinen ist eine Seite auf einer infizierten Site (wie Kiwiblitz.com) leise mit trendigen Suchbegriffen und Links zu Bildern vollgestopft. Dann verlinken die böswilligen Spieler Seiten – Hunderte oder Tausende davon –, sodass die Web-Crawling-Programme der Suchmaschinen die infizierte Seite nach offensichtlicher Popularität und Relevanz an die Spitze ordnen. Denis Sinegubko, ein Malware-Forscher in Russland, glaubt, dass es Kriminellen gelungen ist, Suchergebnisse auf den ersten Seiten der Google Bildersuche nach Millionen von Schlüsselwörtern zu kapern. Er schätzt, dass Menschen im vergangenen Frühjahr 15 Millionen Mal im Monat auf vergiftete Bildersuchergebnisse geklickt haben. Google hat nach eigenen Angaben die Zahl der bösartigen Links bei der Bildsuche seither um 90 Prozent gegenüber dem Höchststand reduziert, und ein Sprecher betonte, dass es weiterhin Lücken in seinen Algorithmen schließe, um neue Angriffsmethoden abzuwehren. Google sagt, dass 0,5 Prozent der Suchanfragen Ergebnisse liefern, die mindestens eine bekannte bösartige Website enthalten. Das klingt vielleicht wenig, aber da Google täglich mehr als eine Milliarde Suchanfragen bearbeitet, bedeutet dies, dass täglich fünf Millionen Suchanfragen einen bösartigen Link enthalten.
Wenn Google ein potenziell schädliches Suchergebnis nach Berichten von Benutzern oder Sicherheitsunternehmen erkennt, kennzeichnet es es mit Warnmeldungen. Und wenn eine Site die Suchmaschine ausgetrickst hat und gar nicht hätte ausgeliefert werden sollen, entfernt Google sie aus den Suchergebnissen. Google gibt seine Liste bösartiger Websites auch an Internet-Sicherheitsunternehmen und Webbrowser-Unternehmen weiter, die ihre eigenen Warnungen ausgeben können, wenn Sie versuchen, die Adressen einzugeben. Unsere Reaktionszeit ist von Wochen oder Tagen auf Stunden und sogar Minuten gestiegen, sagt Panayiotis Mavrommatis, ein Malware-Forscher bei Google.
Aber die Webindustrie ist immer noch nicht in der Lage, mit dem Problem Schritt zu halten. Facebook zum Beispiel blockiert seinen Nutzern den Zugriff auf Websites auf der schwarzen Liste von Google und auf Websites, die intern und aus anderen Quellen als bösartig identifiziert wurden. Dennoch sind es und andere Social-Networking-Sites wie Twitter immer noch wichtige Vektoren, teilweise weil Kriminelle gefälschte Konten einrichten oder legitime hacken. Etwa 40 Prozent der Facebook-Statusupdates enthalten Links; davon führen 10 Prozent zu Spam oder bösartigen Websites, so ein Bericht von Websense vom November. Mavrommatis gibt wie andere Sicherheitsforscher zu, dass die Herausforderung groß ist. Mit der Rotation der Domains werden die URL-basierten Filter weniger leistungsfähig. Und mit inhaltsbasierten Filtern – auch hier bricht die Verschlüsselung sie, sagt er. Deshalb ist es so schwer.
Blind fliegen
Forscher sagen, dass es fast unmöglich sein wird, die Geißel gefälschter Antiviren-Malware – oder anderer Malware – zu beenden, es sei denn, Web- und Sicherheitsunternehmen sammeln und teilen mehr Informationen über alles, von den Vektoren, die in einer bestimmten Woche vorherrschen, bis hin zu den Banken, die Betrüger sind verwenden, um Zahlungen zu akzeptieren. Private Unternehmen geben nur begrenzte Daten über Sicherheitsverletzungen auf ihren Websites oder böswillige Links in ihren Netzwerken preis. Es gebe überraschend weniger Informationen in der Branche, als man meinen könnte, sagt Michael Barrett, Sicherheitschef beim Online-Bezahldienst PayPal.
Das liegt zum Teil daran, dass der Besitz proprietärer Informationen über Malware einen Wettbewerbsvorteil für Internetsicherheitsunternehmen darstellt. Es muss mehr Community-Sharing geben, was die Sicherheitsbranche nicht gewohnt ist, sagt Philippe Courtot, CEO von Qualys, einem Sicherheitsunternehmen. Da kein Unternehmen einen vollständigen Überblick über die Angriffe und Schwachstellen haben kann, kann nur eine breitere und von der Community getragene Anstrengung das Problem lösen.
StopBadware arbeitet an einer Teillösung: einem Meldesystem, zu dem eine kritische Masse von Internetunternehmen Meldungen über infizierte Websites beitragen soll. Es überprüft die Richtigkeit der Berichte, leitet die Informationen an Webhosting-Unternehmen weiter, damit diese die Websites deaktivieren können, und gibt bekannt, welche Hosting-Unternehmen nicht hart durchgreifen. Erhöhter Druck auf diese Unternehmen könnte die Kriminellen dazu zwingen, ihre Taktik zu ändern, was zusätzliche Kosten für sie bedeutet.
Eine andere Möglichkeit, die Kriminellen zu belästigen, könnte darin bestehen, die Banken, die ihre Kreditkartenzahlungen verarbeiten, genauer zu überprüfen. Savage weist darauf hin, dass Kreditkartenunternehmen und Strafverfolgungsbehörden nicht viele Banken ins Visier nehmen müssen, um eine große Wirkung zu erzielen. Er und seine Kollegen haben kürzlich eine Stichprobe von 120 durch Spam beworbenen Produkten untersucht und festgestellt, dass 95 Prozent ihrer Verkäufe über nur drei Banken in Aserbaidschan (Lettland) und St. Kitts und Nevis (Westindien) gingen. Savage ist der Ansicht, dass eine Untersuchung der Zahlungen für gefälschte Antivirensoftware zu vergleichbaren Ergebnissen führen würde.
Unterdessen haben zu jeder Zeit mindestens mehrere Hunderttausend Websites – bekannt diejenigen – verbreiten Malware durch gefälschte Antiviren- und andere Betrügereien. Die Kriminellen koordinieren ihre Offensive besser als die Guten unsere Verteidigung, sagt Weinstein. Das bedeutet, dass die falschen blinkenden Warnungen... Ihr Computer ist infiziert! – spiegeln zunehmend die Wahrheit wider.
David Talbot ist Technologieüberprüfung der Chefkorrespondent.
