10.05.2022 - Der Meldeeingang beim NCSC bewegte sich auch letzte Woche im Rahmen der Vorwoche. Es häuften sich Meldungen über E-Mails, welche vorgeben, dass der Computer infiziert sei. Interessanterweise landet man nach einigen Klicks tatsächlich auf den Seiten von bekannten Antiviren-Herstellern. Hinter dem Ganzen stehen findige Geschäftemacher, die die Provisionsangebote bekannter Anbieter von Antiviren-Software ausnutzen.
Die Varianten von sogenannten Fake-Support Anrufen sind vielfältig und seit Jahren bekannt. In einer Variante wird beispielsweise auf einer Webseite eine Warnung eingeblendet, dass der Computer ein Sicherheitsproblem habe und dass man auf eine angegebene Telefonnummer anrufen soll. Während des Telefonats wird dann das Opfer dazu gebracht ein Programm herunterzuladen, welches den angeblichen Supportern den Zugriff auf den Computer ermöglicht und diese so den Computer manipulieren können. Meistens versuchen die Angreifer, dem Opfer auch eine Dienstleistung («Systemreinigung») zu verkaufen, wozu Kreditkarteninformationen abgefragt werden.
Letzte Woche häuften sich Meldungen zu einer ähnlichen Vorgehensweise. E-Mails mit dem Betreff «Virenbedrohung! Möchten Sie Ihr System schützen» wurden an diverse Empfänger versendet. In der E-Mail wurde behauptet, dass das Abonnement des Antiviren-Programms abgelaufen und der Computer mit fünf Viren infiziert sei. Statt wie üblich auf eine Telefonnummer anzurufen, wurde der Empfänger oder die Empfängerin aber mit dem Versprechen eines 30 % Rabatts auf Abonnement für ein Antiviren-Programmdazu verleitet, auf einen Link zu klicken.
Beim Anklicken des Links öffnete sich allerdings nicht die Webseite mit dem versprochenen Rabatt-Angebot, sondern eine Seite mit zahlreichen Popups, welche einen Viren-Scan von diversen Computerverzeichnissen vortäuscht. Wenig überraschend werden die fünf angekündigten Viren gefunden. Kleines Detail am Rande: Beim Scan werden immer Windows-Verzeichnisse durchsucht, egal ob man die Seite mit einem Windows-, Mac-System oder mit einem Mobiltelefon öffnet.
Nach einigen Sekunden wurde der Besucher auf die Webseiten von bekannten Antiviren-Herstellern weitergeleitet. Darauf sind tatsächlich auch die versprochenen Angebote mit 30% Rabatt aufgeführt und bestellbar.
Die E-Mails und der Viren-Scan sind gefälscht und dienen nur dazu, den Empfänger zu verängstigen und diesen dazu zu bringen, das entsprechende Produkt zu kaufen. Doch wer steckt dahinter und was ist die Absicht? Es handelt sich ja hierbei sicherlich nicht um eine Werbeaktion eines Herstellers von Antiviren-Programmen. Gemäss den Recherchen des NCSC werden in diesen Fällen Partner- oder Provisionsprogramme der jeweiligen Antiviren-Hersteller missbraucht, um unrechtmässig Geld zu verdienen. Bei diesen Programmen bekommt jemand Geld, wenn dieser eine Person davon überzeugt, ein entsprechendes Produkt zu kaufen. Bekannt sind solche Provisionen vor allem im Zusammenhang mit Versicherungs- respektive Immobilienmaklern. Das Prozedere hat sich aber mittlerweile auch in der virtuellen Welt durchgesetzt und viele Internet-Dienstleister bieten solche Programme an. Neben den Vorteilen, welche solche Prämienprogramme bieten, zeigt das beschriebene Beispiel exemplarisch, dass Partnerprogramme auch missbraucht werden können.
Empfehlungen:
- Antiviren-Pprogramme gehören zum Grundschutz. Benutzen Sie jedoch beim Kauf eines solchen Programmes die offiziellen Webseiten und keine dubiosen Lockangebote.
- Klicken Sie auf keine Links in E-Mails, deren Herkunft Sie nicht zweifelsfrei identifizieren können;
- Weder Antivirenhersteller, Microsoft noch andere Software-Firmen tätigen unangemeldet oder unaufgefordert Support-Anrufe oder versenden unaufgefordert E-Mails, um Computerprobleme zu beheben.
- Gestatten Sie niemandem einen Fernzugriff auf Ihren Computer. Sollten Sie Fernzugriff gewährt haben, besteht die Möglichkeit, dass Ihr Computer infiziert wurde. Deinstallieren Sie in einem ersten Schritt das Fernzugriffs-Programm.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 10.05.2022
