Tech Support-Betrug nutzt neuen Trick

Originalartikel von Samuel P Wang, Fraud Researcher

Die Sicherheitsforscher von Trend Micro haben eine neue Technical Support Scam (TSS)-Kampagne entdeckt, die iframe in Kombination mit Popup-Authentifizierung einsetzt, um den Browser ihres Opfers zu sperren. Diese Technik ist neu und kann somit dazu dienen, der Entdeckung zu entgehen. Wie viele TSS-Kampagnen tarnt sie sich als legitimer oder bekannter Service Provider, um potenzielle Opfer zu täuschen.

Die URL zeigt eine Webseite, die einer typischen Microsoft Tech Support-Seite täuschend ähnlich sieht, doch einige andere Funktionen verbirgt. Beim Eingeben einer solchen URL öffnen sich zwei Popup-Fenster. Eine fordert eine Nutzerauthentifizierung und die andere drängt die Nutzer dazu, technischen Support anzufordern. Ab dann gerät der nichtsahnende Anwender in eine Schleife.

Das Anklicken des Cancel Button für das Authentifizierungs-Popup führt nur zurück zur URL. Auch der Schließen- und Ok-Button funktionieren nicht.


Bild 1. Die gesperrte gefälschte Microsoft Support-Seite, die in der aktuellen Kampagne genutzt wird

Schleifen und Sperren eines Browsers sind allgemein eingesetzte Methoden in TSS-Kampagnen. Doch die hier verwendete Methode und die zweite Vermeidungstaktik sind einzigartig. Die Kampagne fügt iframes (ein HTML-Dokument eingebettet in ein anderes HTML-Dokument) hinzu und setzt damit den Nutzer in eine Schleife. Technische Einzelheiten dazu liefert der Originalbeitrag. Die Hintermänner setzen auf die aufkommende Panik infolge des gesperrten Browsers, sodass der User dem vorgeschlagenen Vorgehen folgt und die auf dem Bildschirm angegebene Nummer anruft und dann den Anweisungen des vorgeblichen Support-Mitarbeiters ausführt. Zusätzlich zeigen die URLs ein unterschiedliches Format, abhängig von der Browser-Version oder Typus, wie Firefox, Chrome, Edge oder andere.

Die zu dieser Kampagne gehörenden URLs wurden mindestens 575 Mal an einem Tag aufgerufen (siehe Bild 2). Die aufgezeichneten Klicks stammen von verschiedenen URLs, denn zur Vermeidungstaktik der Kampagne gehört auch das 12-malige Ändern der Host IP-Adresse pro Tag.


Bild 2. Zahl der täglich aufgezeichneten Hits für die in der Kampagne eingesetzten URLs

Fazit

Der Erfolg von TSS-Angriffen hängt zum Großteil davon ab, wie Nutzer auf die Tricks reagieren. Benutzer könnten auf verdächtige Merkmale einer Webseite achten, wie unbekannte URLs, Popups, die nach Authentifizierung fragen, oder auf jede Art von Informationen und Nachrichten, die Panik und Alarm auslösen.

Benutzer sollten sich daran denken, dass es andere Möglichkeiten gibt, ihren Browser wiederherzustellen. Sie könnten den Browser einfach über den Task Manager schließen. Sollten sie sich wirklich um die Sicherheit ihres Geräts und Systems sorgen, können sie andere legitime Mittel für die Bestätigung des Status ihrer Systeme finden.

Anwender und Unternehmen sollten auch über den Einsatz von Sicherheitslösungen nachdenken, die durch eine Kombination aus generationsübergreifenden Verteidigungstechniken vor verschiedenen Bedrohungen schützen können. Dazu gehören auf Endpoint-Ebene Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced, die mit verschiedenen Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken Schutz anbieten. Die Email- und Web Gateway-Lösung Trend Micro™ Deep Discovery™ Email Inspector erkennt bösartige Anhänge und URLs.

Trend Micro XGen™ Security wiederum liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.