Pharma-„Phishing“

Werbung für alle nur erdenklichen Präparate zur Steigerung der Manneskraft ist ein traditionelles Spammergewerbe. Wie auch alle anderen unerwünschten Mitteilungen haben sich auch die Junk-Mails dieser Thematik im Laufe der Zeit weiterentwickelt, daher können die modernen Versionen nicht nur das Versprechen auf Potenzsteigerung, sondern auch einen Link auf eine Site enthalten, auf der zweifelhafte Präparate verkauft werden. So haben wir im Zeitraum von August bis September eine Reihe von Versendungen im Namen bekannter Unternehmen registriert, wobei die von uns erhaltenen Schreiben alle gewöhnlichen Phishing-Mails ähnelten. Allerdings öffnete sich mit einem Klick auf den mitgeschickten Link keine Phishing-Website, sondern eine Seite mit Werbung für „Männlichkeitspillen“.

Alle von uns entdeckten Versendungen wurden im Namen von Vertretern der Unternehmen FedEx, Google, Twitter, Yahoo und anderen Firmen und Dienstleistern verschickt. Die Namen der aufgezählten Unternehmen waren in der Regel jeweils als Absender des Schreibens im Header genannt. Im Mail-Körper kopierten die Cyberkriminellen die offizielle Aufmachung von Schreiben der jeweiligen Unternehmen, inklusive Logo oder Unterschrift eines erfundenen Mitarbeiters. All das sollte das potentielle Opfer von der Legitimität der Mitteilung überzeugen. Der aufmerksame Anwender konnte allerdings mit einem Blick auf die E-Mail-Adresse des Absenders problemlos feststellen, dass diese der entsprechenden legitimen Adresse nicht im Geringsten ähnelt, und vermutlich automatisch generiert wurde. Wir weisen darauf hin, dass es innerhalb einer Versendung bezüglich der Aufmachung verschiedene Mail-Varianten geben konnte.

Um den Nutzer dazu zu bringen, auf den Link zu klicken, ließen sich die Spammer verschiedene Geschichten einfallen. Einige Mails waren beispielsweise Imitate von legitimen Benachrichtigungen über die Unzustellbarkeit eines Schreibens, über die Registrierung eines Profils, über das Löschen ungelesener Mails. Die Nachrichten waren äußerst kurz, und um weitere Informationen zu erhalten, sollte der Empfänger auf den Link klicken, der in Wahrheit auf eine Seite mit Werbung für Pharma-Spam führte.

 

Eine andere „Köder“-Variante war die Erinnerung an den Erhalt einer neuen Mitteilung oder Benachrichtigung. Die Mail enthielt das Empfangsdatum sowie einen unter dem Textfeld „View messages“ verborgenen Link auf Werbung für Potenzpräparate.

 

Einige Versendungen waren sogar bunt gestaltet, wobei grelle Farben die Links und die Namen der Unternehmen schmückten. Als Themen solcher gefälschten Nachrichten mussten Standardphrasen über den Erhalt einer Mitteilung, die Notwendigkeit der Aktivierung eines Accounts und ähnliches in dieser Art herhalten.

 

Anfang August registrierten wir eine weitere Versendung, die den oben beschriebenen sehr ähnlich, doch insgesamt auf höherem Niveau umgesetzt war. Das Schreiben wurde im Namen von Google verschickt, genauer gesagt war es als automatische Benachrichtigung des Dienstes Google Message Center getarnt. Die Absenderadresse der Mail befand sich angeblich in der Domain google.com und war einer legitimen Mitteilung insgesamt sehr ähnlich, was den Nutzer durchaus in die Irre führen konnte. In dem Schreiben informierten die Cyberkriminellen den Empfänger über eine neue Mitteilung, die angeblich an seine Adresse gesendet worden war, und stellten einen Link auf diese Mitteilung bereit. Interessant ist, dass die Spammer in diesem Fall – um die Spam-Filter und den Anwender auszutricksen – einige Buchstaben des Links gegen analoge austauschten, allerdings im ASCII-Code. So wurde aus dem Buchstaben „s“ beispielsweise die Zahl 73. Überdies nutzten die Spammer den populären Service Google Translate, um den realen Link zu tarnen. Dieser Trick ist wohlbekannt und – in Kombination mit dem Thema des Briefes und der Verrauschung – durchaus effektiv. Allerdings braucht man nur mit dem Cursor über diesen Hokuspokus zu streichen, und vor einem erscheint – Simsalabim – der reale Link ohne Verrauschung.

 

Die im Zusammenhang mit dieser Versendung verbreitete URL führt ebenfalls auf eine Werbeseite mit Pharma-Spam. Interessant ist, dass die Spammer dank der Verrauschung in der Lage sind, ein und denselben Link für jedes Schreiben zu individualisieren, da jedes Mal mit Hilfe von ASCII andere Buchstaben kodiert werden.

Es scheint, als würden die meisten Nutzer Mails mit für Pharmaspam klassischen Betreffs schon gar nicht mehr öffnen. Daher sind die Spammer gezwungen, sich etwas anderes einfallen zu lassen, oder sich – wie hier – bei ihren kriminellen Phisher-Kollegen zu bedienen. Und wenn man mit sehr viel gutem Willen die Links der Spammer noch als harmlos bezeichnen kann, so können derartige von Phishern verbreitete Fälschungen auf betrügerische Webseiten oder schädliche Dateien führen, die Ihnen und Ihrem Computer ernsthaften Schaden zufügen können. Daher raten wir bei allen offiziellen Mitteilungen zu äußerster Vorsicht und empfehlen, nicht auf verdächtige Links zu klicken.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.