Symantec: Cyberkriminelle verschrecken Nutzer, um ihnen dann gefälschte Sicherheitssoftware anzudrehen
München, 20. Oktober 2009 – Spiel mit der Angst um des Profits willen - Cyberkriminelle schüren die Furcht bei Anwendern vor einer Malware-Infektion und verleiten sie dadurch zum Kauf gefälschter oder bösartiger Sicherheitssoftware. Dies belegt der neue Symantec-Sicherheitsbericht, der Schadprogramme unter die Lupe nimmt, die sich als seriöse Sicherheitssoftware ausgeben. Diese gefälschten Programme bringen oft gar keinen Nutzen. Im Gegenteil - sie infizieren den Rechner unter Umständen mit neuem Schadcode. Die Daten für den aktuellen Report hat Symantec zwischen Juli 2008 und Juni 2009 erhoben.
Als Lockmittel nutzen die Cyberkriminellen Pop-up-Fenster und andere Warnmeldungen, in denen sie unter anderem offizielle Windows-Alarme imitieren. Darin wird dem Anwender vorgegaukelt, sein Rechner sei unzureichend gesichert oder gar infiziert. Er müsse nur die per Link angebotene Sicherheitssoftware kaufen und installieren, um seinen Computer zu säubern. Bis Juni 2009 hatte Symantec mehr als 250 dieser auch "Rogue AV" oder "Scareware" genannten betrügerischen Programme aufgespürt. Wie die Studie von Symantec zeigt, haben bei den 50 erfolgreichsten Täuschungsversuchen 93 Prozent der Anwender das Schadprogramm tatsächlich freiwillig heruntergeladen.
Im Durchschnitt geben Anwender für die Downloads dieser Scareware zwischen 30 und 100 US-Dollar (etwa 20 bis 70 Euro) aus. Der mögliche Folgeschaden ist jedoch ungleich größer. Die installierte Scareware öffnet Einfallstore für weitere Attacken und liefert die persönlichen oder finanziellen Daten des Nutzers weiterem Missbrauch aus. Zu dem Zweck verlangt sie unter anderem vom Nutzer, während der Installation andere Sicherheitseinstellungen ganz auszuschalten.
Der Präsident des Bundeskriminalamts (BKA) Jörg Ziercke warnte erst vor kurzem davor, dass Internetnutzer oftmals sorglos mit persönlichen Daten hantieren und die Möglichkeiten moderner Schadsoftware unterschätzen. "Schadprogramme beeinträchtigen nicht nur die Funktion von PCs, sondern werden zunehmend zur Ausspähung digitaler Identitäten eingesetzt", so Ziercke.1
Hohe Profite für die Mittelsmänner
Wie der Symantec-Report weiter offen legt, suchen Cyberkriminelle wie in der legalen Wirtschaft gezielt nach "Geschäftspartnern", die sie dann mit leistungsorientierten Absatz- und Bonusmodellen motivieren. Wie auch im regulären Online-Handel üblich, sind diese Geschäftsbeziehungen in so genannten Affiliate-Partnerprogrammen geregelt. Pro erfolgreicher Nutzer-Installation erhalten die "Vertriebspartner" der Schadsoftware-Entwickler einen Anteil zwischen einem und 55 US-Cent. In Deutschland beläuft sich diese "Prämie" durchschnittlich auf 12 Cent (etwa 8 Euro-Cent). Einige Anbieter entlohnen besonders erfolgreiche Partner mit Bonuszahlungen, VIP-Punkten oder Sachpreisen wie Elektrogeräten oder Luxuswagen. Ein Beispiel: Die zehn erfolgreichsten Partner der Seite TrafficConverter.biz verdienen Symantec zufolge durchschnittlich 23.000 US-Dollar pro Woche. Das entspricht mehr als dem dreifachen Verdienst von Bundeskanzlerin Angela Merkel.
Seriöse Verpackung täuscht über gefährliche Inhalte hinweg
Cyberkriminelle bewerben Scareware nicht nur auf schadcodehaltigen Webseiten. Sie missbrauchen auch gezielt seriöse Seiten wie Blogs, Foren und soziale Netzwerke oder manipulieren Such-Ergebnislisten, um Anwender auf die Downloadseiten für Scareware zu locken. Letztere sind häufig seriös und benutzerfreundlich gestaltet, so dass selbst ein unversierter Anwender die Scareware in wenigen Schritten herunterladen kann. Die betrügerischen Sicherheitsprogramme selbst besitzen meist ein authentisch wirkendes Design, das bekannte Sicherheitsprogramme imitiert. Auch die Bezahlung wickeln Cybergangster mitunter über etablierte Online-Bezahlservices ab. Sie senden den Käufern zudem eine Kaufbestätigung via E-Mail inklusive Serien- und Kundennummer.
Um sich vor dieser Scareware zu schützen, rät Symantec-Sicherheitsexperte Candid Wüest Anwendern: "Links in E-Mails können zu schadcodehaltigen Seiten führen. Deshalb sollten Anwender die URL-Adressen ihnen bekannter Internetseiten stets von Hand eintippen. E-Mail-Anhänge unbekannter Absender sollten sie niemals ansehen oder öffnen und stets misstrauisch gegenüber Nachrichten sein, die nicht direkt an die eigene Adresse gerichtet sind. Das gleiche gilt für seriös erscheinende Pop-Ups, Bannerwerbung oder Alarmmeldungen im Web-Browser, die den Anwender dazu verleiten, unbekannte Programme herunterzuladen und zu installieren."
Symantec empfiehlt Unternehmen und Privatanwendern außerdem, sich mit Sicherheitslösungen renommierter Anbieter gegen Schadsoftware zu wappnen. Beispiele sind Symantec Endpoint Protection oder Norton Internet Security. Der Appendix A des "Report on Rogue Security Software" nennt darüber hinaus weitere wirkungsvolle Schutzmöglichkeiten.
Wichtige Fakten aus dem Symantec-Bericht zu betrügerischer Sicherheitssoftware
Die Top Fünf der Scareware sind SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure und XP AntiVirus.
53 Prozent aller Server weltweit, die diese schadcodehaltige Sicherheitssoftware hosten, stehen in den USA, Deutschland folgt mit einem Anteil von 11 Prozent an zweiter Stelle.
93 Prozent der betrügerischen Sicherheitssoftware werden über speziell für diesen Zweck erstellte Webseiten beworben.
61 Prozent der von Symantec im Beobachtungszeitraum registrierten Betrugsfälle mit den 50 erfolgreichsten Scareware-Programmen ereigneten sich in Nordamerika, 31 Prozent in der EMEA-Region (Europa, Mittlerer Osten und Afrika), sechs Prozent in der Region Asien, Pazifik und Japan sowie zwei Prozent in Lateinamerika.
Der höhere Anteil an Software-Betrugsfällen in den USA und der EMEA-Region erklärt sich damit, dass sich auch die Aktivität von Schadcode auf diese Gebiete konzentriert. Ein weiterer Grund ist, dass in den USA die "Vertriebspartner" einen höheren Preis pro Installation erhalten.
Auf den beobachteten illegalen Distributionsseiten verdienten die "Vertriebspartner" in den USA 55 US-Cent pro Installation einer betrügerischen Sicherheitssoftware, in Großbritannien und Kanada waren es 52 Cent.
Installationen pro Anwender in Spanien, Irland, Frankreich und Italien brachten mit 16 US-Cent deutlich weniger ein. Deutschland liegt mit 12 Cent an neunter Stelle.
Der Preis pro Installation ist abhängig davon, wie wahrscheinlich es ist, dass ein Nutzer die betrügerische Sicherheitssoftware bezahlt.
Als Lockmittel nutzen die Cyberkriminellen Pop-up-Fenster und andere Warnmeldungen, in denen sie unter anderem offizielle Windows-Alarme imitieren. Darin wird dem Anwender vorgegaukelt, sein Rechner sei unzureichend gesichert oder gar infiziert. Er müsse nur die per Link angebotene Sicherheitssoftware kaufen und installieren, um seinen Computer zu säubern. Bis Juni 2009 hatte Symantec mehr als 250 dieser auch "Rogue AV" oder "Scareware" genannten betrügerischen Programme aufgespürt. Wie die Studie von Symantec zeigt, haben bei den 50 erfolgreichsten Täuschungsversuchen 93 Prozent der Anwender das Schadprogramm tatsächlich freiwillig heruntergeladen.
Im Durchschnitt geben Anwender für die Downloads dieser Scareware zwischen 30 und 100 US-Dollar (etwa 20 bis 70 Euro) aus. Der mögliche Folgeschaden ist jedoch ungleich größer. Die installierte Scareware öffnet Einfallstore für weitere Attacken und liefert die persönlichen oder finanziellen Daten des Nutzers weiterem Missbrauch aus. Zu dem Zweck verlangt sie unter anderem vom Nutzer, während der Installation andere Sicherheitseinstellungen ganz auszuschalten.
Der Präsident des Bundeskriminalamts (BKA) Jörg Ziercke warnte erst vor kurzem davor, dass Internetnutzer oftmals sorglos mit persönlichen Daten hantieren und die Möglichkeiten moderner Schadsoftware unterschätzen. "Schadprogramme beeinträchtigen nicht nur die Funktion von PCs, sondern werden zunehmend zur Ausspähung digitaler Identitäten eingesetzt", so Ziercke.1
Hohe Profite für die Mittelsmänner
Wie der Symantec-Report weiter offen legt, suchen Cyberkriminelle wie in der legalen Wirtschaft gezielt nach "Geschäftspartnern", die sie dann mit leistungsorientierten Absatz- und Bonusmodellen motivieren. Wie auch im regulären Online-Handel üblich, sind diese Geschäftsbeziehungen in so genannten Affiliate-Partnerprogrammen geregelt. Pro erfolgreicher Nutzer-Installation erhalten die "Vertriebspartner" der Schadsoftware-Entwickler einen Anteil zwischen einem und 55 US-Cent. In Deutschland beläuft sich diese "Prämie" durchschnittlich auf 12 Cent (etwa 8 Euro-Cent). Einige Anbieter entlohnen besonders erfolgreiche Partner mit Bonuszahlungen, VIP-Punkten oder Sachpreisen wie Elektrogeräten oder Luxuswagen. Ein Beispiel: Die zehn erfolgreichsten Partner der Seite TrafficConverter.biz verdienen Symantec zufolge durchschnittlich 23.000 US-Dollar pro Woche. Das entspricht mehr als dem dreifachen Verdienst von Bundeskanzlerin Angela Merkel.
Seriöse Verpackung täuscht über gefährliche Inhalte hinweg
Cyberkriminelle bewerben Scareware nicht nur auf schadcodehaltigen Webseiten. Sie missbrauchen auch gezielt seriöse Seiten wie Blogs, Foren und soziale Netzwerke oder manipulieren Such-Ergebnislisten, um Anwender auf die Downloadseiten für Scareware zu locken. Letztere sind häufig seriös und benutzerfreundlich gestaltet, so dass selbst ein unversierter Anwender die Scareware in wenigen Schritten herunterladen kann. Die betrügerischen Sicherheitsprogramme selbst besitzen meist ein authentisch wirkendes Design, das bekannte Sicherheitsprogramme imitiert. Auch die Bezahlung wickeln Cybergangster mitunter über etablierte Online-Bezahlservices ab. Sie senden den Käufern zudem eine Kaufbestätigung via E-Mail inklusive Serien- und Kundennummer.
Um sich vor dieser Scareware zu schützen, rät Symantec-Sicherheitsexperte Candid Wüest Anwendern: "Links in E-Mails können zu schadcodehaltigen Seiten führen. Deshalb sollten Anwender die URL-Adressen ihnen bekannter Internetseiten stets von Hand eintippen. E-Mail-Anhänge unbekannter Absender sollten sie niemals ansehen oder öffnen und stets misstrauisch gegenüber Nachrichten sein, die nicht direkt an die eigene Adresse gerichtet sind. Das gleiche gilt für seriös erscheinende Pop-Ups, Bannerwerbung oder Alarmmeldungen im Web-Browser, die den Anwender dazu verleiten, unbekannte Programme herunterzuladen und zu installieren."
Symantec empfiehlt Unternehmen und Privatanwendern außerdem, sich mit Sicherheitslösungen renommierter Anbieter gegen Schadsoftware zu wappnen. Beispiele sind Symantec Endpoint Protection oder Norton Internet Security. Der Appendix A des "Report on Rogue Security Software" nennt darüber hinaus weitere wirkungsvolle Schutzmöglichkeiten.
Wichtige Fakten aus dem Symantec-Bericht zu betrügerischer Sicherheitssoftware
Die Top Fünf der Scareware sind SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure und XP AntiVirus.
53 Prozent aller Server weltweit, die diese schadcodehaltige Sicherheitssoftware hosten, stehen in den USA, Deutschland folgt mit einem Anteil von 11 Prozent an zweiter Stelle.
93 Prozent der betrügerischen Sicherheitssoftware werden über speziell für diesen Zweck erstellte Webseiten beworben.
61 Prozent der von Symantec im Beobachtungszeitraum registrierten Betrugsfälle mit den 50 erfolgreichsten Scareware-Programmen ereigneten sich in Nordamerika, 31 Prozent in der EMEA-Region (Europa, Mittlerer Osten und Afrika), sechs Prozent in der Region Asien, Pazifik und Japan sowie zwei Prozent in Lateinamerika.
Der höhere Anteil an Software-Betrugsfällen in den USA und der EMEA-Region erklärt sich damit, dass sich auch die Aktivität von Schadcode auf diese Gebiete konzentriert. Ein weiterer Grund ist, dass in den USA die "Vertriebspartner" einen höheren Preis pro Installation erhalten.
Auf den beobachteten illegalen Distributionsseiten verdienten die "Vertriebspartner" in den USA 55 US-Cent pro Installation einer betrügerischen Sicherheitssoftware, in Großbritannien und Kanada waren es 52 Cent.
Installationen pro Anwender in Spanien, Irland, Frankreich und Italien brachten mit 16 US-Cent deutlich weniger ein. Deutschland liegt mit 12 Cent an neunter Stelle.
Der Preis pro Installation ist abhängig davon, wie wahrscheinlich es ist, dass ein Nutzer die betrügerische Sicherheitssoftware bezahlt.