Tech-Support-Scammer nutzen nun HTML5-Lücke aus

Malwarebytes hat unter Berufung auf den Sicherheitsforscher @TheWack0lian auf eine neue Masche sogenannter Tech-Support-Scammer aufmerksam gemacht. In der Vergangenheit riefen die oft wahllos Nutzer an, gaben sich als Support-Mitarbeiter großer IT-Firmen aus – besonders häufig von Dell und Microsoft – und versuchten die Angerufenen unter diversen Vorwänden dazu zu verleiteten, ihnen – oft mittels Fernwartungssoftware – Zugriff auf den Computer zu gewähren. Dort täuschten sie dann Wartungsarbeiten vor, stahlen aber tatsächlich entweder persönliche Informationen, griffen beim Zahlungsvorgang Bankdaten ab oder erhöhten durch Tricks den Zahlungsbetrag erheblich.

Einer kürzlich von Microsoft veröffentlichten Untersuchung zufolge häufen sich Betrugsversuche falscher Support-Mitarbeiter inzwischen. Laut Microsoft sollen weltweit zwei Drittel der Anwender bereits Erfahrungen mit solchen Betrugsversuchen gemacht haben. In Deutschland hat sogar rund die Hälfte der Umfrageteilnehmer bereits solche Betrugsversuche erlebt. Die Erklärung für die starke Zunahme dürfte die im Vergleich zu anderen Online-Betrügereien traumhaft hohe Erfolgsquote sein: Den Zahlen von Microsoft zufolge sind weltweit etwa 20 Prozent der anvisierten Opfer schon auf den “Tech Support Scam” hereingefallen und haben eine zum Betrug verwendete Software heruntergeladen.

Selbst einzelne, wenn auch beachtliche, Fahndungserfolge gegen die bislang überwiegend aus Indien operierenden Betrüger haben an der Lage offenbar wenig geändert. Im Gegenteil: Die Betrüger haben sich im Laufe der Zeit professionalisiert und Abläufe automatisiert beziehungsweise massentauglicher gemacht. Statt durch einen aufwändigen Anruf wird der Erstkontakt mit dem Opfer inzwischen immer häufiger durch Malvertising gesucht.

Indem die Kriminellen in vermeintlichen Anzeigen versteckte Malware über eines der zahlreichen, nur oberflächlich kontrollierenden Anzeigennetzwerke verteilten, konnten sie bei Nutzern Meldungen anzeigen lassen, dass der Rechner infiziert sei. Alternativ platzierten sie in Suchmaschinen Anzeigen, die auf gut gemachte Imitationen zu Webseiten von Microsoft und bekannten Antivirus-Anbietern verwiesen, auf denen aber prominent eine gefälschte Support-Hotline angegeben war.

Laut Malwarebytes wurde dabei bislang vor allem JavaScript Code benutzt, um das Pop-up mit der Warnung in einer Endlosschleife anzuzeigen. Oft ließen sich die Warnungen nur durch Aufrufen des Task Managers unter Windows oder eines vergleichbaren Tools auf anderen Plattformen und das Beenden des dafür zuständigen Prozesses abstellen.

Jetzt scheint sich eine grundsätzlich nicht neue, aber beim Tech-Support-Scam bislang nicht verwendete Methode immer stärker durchzusetzen. Dabei wird ein schon im Juli 2014 erkannter Fehler im Zusammenhang mit HTML5 ausgenutzt. Mit der neuen Methode wird die als Hang bug in history.pushState() bekannte HTML5-Lücke ausgenutzt, um den Browser zum Absturz zu bringen. Vorteilhaft aus Sicht der Betrüger ist es, dass die gefälschte Warnmeldung wie bislang im Browser angezeigt wird, sich dieser aber nicht mehr mit dem Task-Manager schließen lässt.

Außerdem führt der Bug nicht zum kompletten Absturz des Browsers, sondern “lediglich” dazu, dass er sich aufhängt. Dadurch ist es möglich, dass die angezeigte, vermeintliche Warnmeldung mit der prominent platzierten, (falschen) Support-Rufnummer von Microsoft sichtbar bleibt. Da der Rechner in den meisten Fällen auf keinerlei Eingaben mehr reagiert, scheint für viele Nutzer der Anruf bei der Nummer der einzige Ausweg. Laut Malwarebytes hilft in vielen Fällen allerdings das Ausschalten des Rechners über den Power-Knopf.