“Diese Form des Identitäts-Diebstahls ist kein Phishing per se, denn der Hauptunterschied im Gegensatz zu ‘echten’ Phishing-Sites ist, dass sie nicht versuchen, das Opfer von einer falschen Identität zu überzeugen. Vielmehr wird dem Opfer versprochen, dass es eine Dienstleistung erhält. Das ist jedoch nicht der Fall”, sagte Guillaume Lovet, Manager bei Fortinet.
Ein exemplarisches Beispiel ist eine professionell gestalteten Webseite namens Scan-Messenger. Die Macher der Seite versprechen den potenziellen Opfern zu überprüfen, ob andere Messenger-Mitglieder den User von ihrer Kontaktliste gelöscht oder geblockt haben. Dabei werden sie aufgefordert, sowohl E-Mail-Adresse als auch Passwort anzugeben. Der Hinweis, dass die Daten nicht gespeichert werden, ist aber eine glatte Lüge. In Wirklichkeit wird mithilfe der Login-Daten das Profil des Users verändert. Der Nickname wird durch die URL von Scan-Messenger ausgetauscht, wodurch weitere Opfer auf die Seite gelockt werden sollen.
“Das ultimative Ziel ist es, Geld durch Werbung, die auf den Seiten platziert wird, zu verdienen”, so Lovet. Anzeigen haben in der Regel eine statische Click-Rate – beispielsweise klicken von 100 Personen, die die Seite besuchen, fünf auf die Anzeige. Der Weg um mehr Profit zu machen, führt also über die Anzahl der Besucher auf der Seite. Um diese zu erhöhen, bedienen sich die Webseitenbetreiber einer wurmartigen Strategie. “Indem sie die Spitznamen der getäuschten Nutzer mit der URL der Site ersetzen, sollen die Kontakte dieser Nutzer ebenfalls auf die Seite gebracht werden. Diese werden, sollten sie ebenfalls auf den Trick hereinfallen, ebenfalls umbenannt und ziehen weitere Nutzer an”, erklärt Lovet.
Diese Methode hat sich bereits als erfolgreich erwiesen, schließlich gibt es die Webseite bereits in 20 Sprachen. “Service-Luring Websites werden seltener deaktiviert als Phishing-Sites, da im Grunde keine wirkliche Rechtsverletzung stattfindet und die Websites jeweils eigene Bedingungen und Konditionen haben”, erklärt Lovet. Diesen Betrügern gehen laut Lovet vor allem User auf den Leim, die noch nie mit Phishing zu tun hatten: “Sie erkennen die Gefahr nicht, dass leichtfertig weitergegebene Login-Daten rasch für falsche Zwecke missbraucht werden können.” Generell sollten User nie ihre Login-Daten einem Onlineservice geben, ungeachtet der Begründung für die Anfrage, so Lovets Appell.
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…