Angst einjagen und abkassieren: Mit

Transcription

Bericht
Angst einjagen und abkassieren:
Mit vorgeblicher Sicherheits-Software
wird weltweit viel Geld ergaunert
François Paget
McAfee® Labs™
BerichtAngst einjagen und abkassieren: Mit vorgeblicher SicherheitsSoftware wird weltweit viel Geld ergaunert
Verbrauchern werden gefälschte Produkte jeder Art angeboten. Die Bandbreite geht von Luxusgüter
und Massenware, von Medizin bis hin zur Software. Eine höchst profitable Kategorie sind gefälschte
Sicherheitsanwendungen, auch als FakeAlert-, nicht autorisierte Software oder ganz klar als Scareware
(Software, die Benutzer verunsichern soll) bezeichnet. Hierbei handelt es sich um wirkungslose oder
schädliche Software, die Kunden ködert, indem sie vorgebliche Bedrohungen „erkennt“ und meldet
und das Opfer auffordert, ein „Bereinigungsprogramm“ für sein System zu kaufen. In den vergangenen
Jahren katalogisierte McAfee Labs fast 3.000 solcher Programme. Im Jahr 2009 fanden wir fast 700 und
im ersten Quartal 2010 bereits mehr als 300. Alle diese Produkte stammen von Forschungs- und
Entwicklungsteams in etwa 30 Unternehmen. Das bekannteste von ihnen beschäftigte im Jahr 2008
Hunderte Personen weltweit.1 Nach unseren Schätzungen gingen beim Unternehmen Innovative
Marketing Ukraine innerhalb von 11 Monaten mehr als 4,5 Millionen Bestellungen allein für gefälschte
Sicherheitsprodukte ein, was einem Jahresumsatz von mehr als 180 Mio. USD entsprach. Dieses
Unternehmen betrieb auch nicht jugendfreie sowie Social-Networking-Webseiten.
Im vorliegenden Bericht werden hauptsächlich die folgenden vier Themen behandelt:
• Wesentliche
Trends bei Messmethoden für den Umfang von Betrug dieser Art
eines führenden Scareware-Unternehmens
• Übersicht über die Verteilungswege
• Tipps, mit denen Sie sich gegen Scareware schützen können
• Porträt
1.„Une entreprise criminelle au microscope“ (Ein kriminelles Unternehmen unter der Lupe), François Paget, Threat Researcher, McAfee Labs.
https://www.clusif.asso.fr/fr/infos/event/#conf100113
BerichtAngst einjagen und abkassieren: Mit vorgeblicher
Sicherheits‑Software wird weltweit viel Geld ergaunert
Inhaltsverzeichnis
Der Umfang des Betrugs
4
Innovative Marketing
10
Weitere wichtige Akteure im Scareware-Vertrieb
15
Tipps für den Umgang mit Scareware
18
Fazit
19
Über den Autor
20
Über McAfee Labs™ 20
Über McAfee, Inc.
20
Der Umfang des Betrugs
Die neue Welle gefälschter Sicherheitsprodukte, die von fiktiven Unternehmen oder Internetkriminellen
verkauft werden, zeigt, dass Software-Fälschungen zu einer höchst einträglichen Nische geworden sind.
Scareware wird von ihren Entwicklern häufig als Viren- oder Spyware-Schutz verkauft. Es handelt sich
jedoch um wirkungslose oder schädliche Software, die Kunden aufs Glatteis führt, indem sie imaginäre
Bedrohungen „erkennt“ und dann behauptet, dass das Opfer ein Reparaturprodukt für die „infizierten“
Systeme erwerben muss. In unserer Malware-Sammlung befinden sich Millionen von Dateien, die mit
Scareware zusammenhängen. McAfee VirusScan® erkennt die meisten dieser Bedrohungen und
kennzeichnet sie als FakeAlert. Unter diesen Begriff fallen die gefälschten Produkte und das gesamte
„Zubehör“, das zum Setup verwendet wird (z. B. Downloader, Dropper oder versteckte Skripts in
betrügerischen Webseiten).
FakeAlert-Dateien
800.000
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
3. Q.
07
4. Q.
07
1. Q.
08
2. Q.
08
3. Q.
08
4. Q.
08
1. Q.
09
2. Q.
09
3. Q.
09
4. Q.
09
1. Q.
10
2. Q.
10
Abbildung 1: Neue als FakeAlert erkannte Dateien in unseren Sammlungen nach Quartal
Hinter den fast drei Millionen von uns gesammelten Dateien verbergen sich Tausende Produkte.
Deren Lebensdauer reicht von wenigen Tagen bis zu mehreren Jahren. Einige im Jahr 2006 veröffentlichte
Produkte stehen immer noch zum Verkauf, unter demselben Namen und derselben URL wie am Anfang.
Für andere werden Name und URL regelmäßig infolge rechtlicher Schritte geändert.
Von Januar 2004 bis heute identifizierten wir mehr als 3.000 Produkte. Für die Hälfte von ihnen konnten
wir ein ungefähres Veröffentlichungsdatum bestimmen.
Jahr/Monat
Anzahl
2004
142
2005
124
2006
134
2007
138
2008
302
2009
690
2010/Januar
66
2010/Februar
53
2010/März
61
Tabelle 1: Anzahl von Scareware-Produkten mit bekanntem Veröffentlichungsdatum
Tabelle 1 erinnert daran, dass gefälschte Sicherheits-Software keine neue Malware-Kategorie ist.
Weiter unten in diesem Bericht sehen wir, dass einige Urheber schon vor dem Jahr 2000 verurteilt wurden –
was sie aber nicht davon abgehalten hat, weiter Scareware zu vermarkten. Außerdem sehen wir, wie
sehr die Anzahl betrügerischer Angebote explodiert ist. Während die Anzahl der Unternehmen weiterhin
begrenzt zu sein scheint (vermutlich weniger als 50), steigt die Anzahl der Produkte (die sich teilweise
nur durch ihren Namen unterscheiden) und der zur Verbreitung eingesetzten Webseiten stetig.
Google analysierte innerhalb von 13 Monaten mehr als 240 Millionen verdächtige Seiten und gab
bekannt, dass dabei mehr als 11.000 Domänen entdeckt wurden, über die Malware verteilt wird,2
und dass gefälschte Sicherheitsprodukte 15 Prozent aller im Umlauf befindlichen Malware ausmachen.
2..„The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution“ (Der Nocebo-Effekt im Web: Eine Analyse der Verbreitung
gefälschter Viren-Software). http://www.usenix.org/event/leet10/tech/techAbstracts.html#Rajab
4
Auf der Website MalwareURL.com werden URLs aufgelistet, die zu online vorhandenen Schadprogrammen
führen.3 Zwischen März 2009 und Mai 2010 wurde etwa 150.000 Links identifiziert. Nach unseren
Berechnungen dienten fast 35.000 dieser URLs (ca. 23 %) der Verbreitung von Scareware.
Neue FakeAlert-URLs
4.000
3.500
3.000
2.500
2.000
1.500
1.000
500
0
Mrz
09
Apr
09
Mai
09
Jun
09
July
09
Aug
09
Sep
09
Okt
09
Nov
09
Dez
09
Jan
10
Feb
10
Mrz
10
Apr
10
Mai
10
Abbildung 2: Anzahl neuer URLs, über die Scareware verbreitet wird (Statistik ermittelt mithilfe einer Analyse
der Datenbank unter MalwareURL.com)
Abbildung 2 zeigt einen Spitzenwert im Januar, nach der Zeit der Weihnachtseinkäufe. Möglicherweise
hängt dies damit zusammen, dass neue PCs neue Benutzer bedeuten und die Hersteller von Scareware ihre
Bemühungen in diesem Zeitraum verstärken, um ahnungslose Anfänger zu betrügen, die mit besonders
hoher Wahrscheinlichkeit nach dem Auftauchen einer Warnung eine „Virenschutz-Software“ kaufen.
Tabelle 2 zeigt für alle Jahre zusammengefasst die Namen von Erkennungen, die sich auf den größten
Umfang von Scareware beziehen.
Name
Anmerkungen
FakeAlert (allgemein)
Allgemeine mehrfache Erkennungen von Scareware
FakeAlert-DZ
FakeAlert-AB
XPAntivirus
FakeAlert-IN
FraudPack
FakeAlert-MY
FakeRean, XPSecurity, XPAntiSpyware2009, Katusha. Zeigt ein gefälschtes MicrosoftSicherheitscenter an.
FakeAlert-JC
FraudPack
FakeAlert-JQ
SecurityTool
FakeAlert-KW
WinWebSecurity, WinWebSec
FakeAlert-XPAntivirus
XPAntivirus
FakeAlert-KE
FakeAlert-NZ
Downloader, der sich als Video-Codec tarnt.
FakeAlert-WinWebSecurity
WinWebSecurity, Security Tool
FakeAlert-KN
FakeXPA
FakeAlert-AG
Wird über E-Mail verbreitet. Enthält eine Weiterleitung zur Webseite mit dem
Hauptinstallationsprogramm (einschließlich AdvancedPCDefender und WinFixer).
FakeAlert-Spypro
SpywareProtector, Sysguard, AntivirusSystemPRO, FakeSpypro, AntivirusLive
FakeAlert-XPSecCenter
XPSecurityCenter
FakeAlert-B
SpywareQuake
FakeAlert-C
Braviax, PCAntivirus2010
FakeAlert-BO
VirusResponse Lab2009
FakeAlert-AntiVirusPro
InternetAntiVirusPro
Tabelle 2: Namen der wichtigsten Malware im Zusammenhang mit Scareware-Erkennungen
3..http://www.malwareurl.com/
5
Name
Anmerkungen
FakeAlert-FakeSpy!ENV.A
Eine Variante von FakeAlert-SpyPro.
FakeAlert-SpyPro
SpywareProtector, Sysguard, AntivirusSystemPRO, FakeSpypro, AntivirusLive
FakeAlert (allgemein)
FakeAlert-KW
SecurityTool, WinWebSecurity, WinWebSec
FakeAlert-SecurityTool
SecurityCenter
DNSChanger.BU
SecurityTool
FakeAlert-LX
FakeXPA, PersonalSecurity
FakeAlert-KN
SecurityTool
FakeAlert-MO
SecurityMasterAV, CleanUp, MSSecurityEngine
FakeAlert-WPS
FakeRean, XPSecurity, XPAntiSpyware2009, Katusha
FakeAlert-MY
Zeigt ein gefälschtes Microsoft-Sicherheitscenter an.
FakeAlert-KS
InternetSecurity2010
FakeAlert-AFI
FakeAlert-Kryptik, InternetSecurity2010
Tabelle 3: Namen der wichtigsten Scareware-Varianten in den ersten 5 Monaten des Jahres 2010
Scareware arbeitet meist auf die folgende Weise: Sie wird infolge einer Anforderung des (getäuschten)
Benutzers oder ganz ohne Wissen des Benutzers über einen verborgenen Download installiert
(Drive‑By‑Installation). Die Ausführung der Malware beginnt im Allgemeinen mit einer ausführbaren
Datei oder einer Browserfunktion, die ein Pop-Up-Fenster öffnet oder eine Nachricht an das Opfer
sendet, die besagt, dass das System infiziert ist und das Problem sofort behoben werden muss.
Abbildung 3: Scareware wechselt schnell von der „Warnung“ zur Kaufaufforderung
6
An diesem Punkt ist die Anwendung häufig bereits installiert. Mit Bilddateien, Animationen oder zuvor
aufgezeichneten Videos werden Datenträgeranalysen oder sogar Bluescreens simuliert, die dem Benutzer
kritische Fehler vorgaukeln. Diese Köder verführen das Opfer allzu häufig zum Kauf.
Unvorsichtiges Surfen im Internet ist nicht die einzige Ursache für Scareware-Angriffe. Spam, Würmer,
Trojaner und sogar Botnets sind häufige Verbreitungswege. Zum Verbergen von FakeAlert-Programmen
wird – wie bei anderer krimineller Software auch – häufig ein Rootkit verwendet. Eine Zusammenfassung
finden Sie in Tabelle 4.
Scareware
Zusammenhang mit aktuellen Bedrohungen
SpyProtect2009 (Juli 2009)
Botnet: W32/Conficker.worm (Variante E)
Win7 AV (September 2010)
Kompromittierte Webseite
Security Master AV (Juli 2010)
Gefälschtes/kompromittiertes Suchergebnis
Antivirus 2009 (Juli 2008)
Schädliche Browserhilfsobjekte, verborgener iframe
AntiVirProtect (April 2008)
Attraktive Webseiten
System Security 2009 (Juli 2009)
Schwachstellen
AntiSpySpider (März 2008)
Attraktive Software (z. B. Freeware, Videos)
Desktop Security 2010 (August 2010)
Spam-Kampagnen
WinPCDefender (Juli 2009)
Gefälschte Instant-Messaging-Kampagnen (Twitter, MSN)
AVSecuritySuite (Juli 2010)
Gefälschte Social-Network-Postings (W32/Koobface)4
AntiSpywareXP2009 (Oktober 2008)
Rootkit W32/TDSS5
Tabelle 4: Scareware tritt häufig in Verbindung mit anderen Bedrohungen auf
Für ein einziges FakeAlert-Produkt werden oft mehrere Namen verwendet, damit immer neue Opfer
darauf hereinfallen. Ein gutes Beispiel ist die Produktlinie „WiniGuard“, die zu Innovagest 2000 SL
zurückverfolgt werden kann. Zwischen September 2009 und Februar 2010 wurden Exemplare von
AntiAdd, einer der vier Versionen dieser Scareware-Produktfamilie, unter mehr als 30 Namen gefunden.
Die Software „WiniFighter“, die etwa im Februar 2008 erstmals auftrat, wurde unter mehr als
40 Namen verbreitet.
Abbildung 4: Scareware-Entwickler senken ihre Kosten, indem sie ihre Software in neuer Aufmachung erneut
veröffentlichen – eine einfache Namensänderung bedeutet ein neues Produkt
4.„Koobface Going for Broke?“ (Tobt sich Koobface aus?), McAfee Labs-Blog. http://blogs.mcafee.com/mcafee-labs/koobface-going-for-broke
5.„Fake Antivirus and a Real Threat“ (Gefälschte Viren-Software und eine echte Bedrohung), McAfee Labs-Blog.
http://blogs.mcafee.com/mcafee-labs/fake-antivirus-and-a-real-threat
7
Führende Produkte in der
WiniGuard-Produktfamilie
Erstmaliges Auftreten
Andere Namen für dasselbe Produkt
WiniFighter
Februar 2008 bis
Januar 2010
BlockDefense, BlockKeeper, BlockProtector, BlockScanner,
BlockWatcher, QuickHealCleaner, SafeFighter, SafetyKeeper,
SaveArmor, SaveDefender, SaveDefense, SaveKeep, SaveKeeper,
SaveSoldier, SavetyKeeper, SecureFighter, SecureVeteran,
SecureWarrior, SecurityFighter, SecuritySoldier, ShieldSafeness,
SoftBarrier, SoftCop, SoftSafeness, SoftSoldier, SoftStronhold,
SoftVeteran, SystemCop, SystemFighter, SystemVeteran,
SystemWarrior, TrustCop, TrustFighter, TrustNinja, TrustSoldier,
TrustWarrior, WinBlueSoft, WiniBlueSoft, WiniGuard, WiniShield,
WinSecurity360
AntiAdd
September 2009 bis
Februar 2010
AntiAID, AntiKeep, AntiTroy, APcDefender, APCprotect, APcSafe,
APcSecure, DefendAPc, GreatDefender, GuardPcs, GuardWWW,
IguardPC, InSysSecure, KeepCop, LinkSafeness, MyPcSecure,
Pcprotectar, PcSecureNet, PcsProtector, PcsSecure, ReAnti,
RESpyWare, SafePcAV, SecureKeeper, SecurePcAV, SiteAdware,
SiteVilain, SysDefence, SysDefenders, SysProtector, TheDefend
TREAntivirus
Oktober 2009 bis
Mai 2010
ArmorDefender, ProtectDefender, ProtectSoldier, SystemArmor
VirusProtector
März 2010
Keine (neue Produktfamilie)
Tabelle 5: Der Stammbaum der WiniGuard-Produktfamilie zeigt ihre vielen Klone
Im Bereich der Internetkriminalität entstand eine spezialisierte Branche, die diese Produkte entwickelt
und verbreitet. Es gibt Dutzende unauffälliger Unternehmen, die in dieser Umgebung fest Fuß gefasst
haben und vorgebliche Sicherheitslösungen und nicht vorhandenen technischen Support für 50 bis
100 USD verkaufen. Auf ihren Webseiten werben sie mit Hinweis auf eine hübsche Provision neue Partner.
Diese Partner verbreiten die Software dann, häufig über illegale oder immerhin zweifelhafte Methoden.
Zu den bekanntesten der in dieser Studie beschriebenen Unternehmen gehören Innovative Marketing
Inc. und Innovagest 2000 SL.
Abbildung 5: Innovative Marketing, ein führender Scareware-Entwickler (seit Mai 2003)
8
Seit 2008 stören die US-amerikanische Bundeshandelskommission (Federal Trade Commission, FTC),
Strafverfolgungsbehörden und IT-Sicherheitsforscher den reibungslosen Betrieb von FakeAlertOrganisationen. Selbst Urteile und Warnungen, die in den Medien weit verbreitet wurden, konnten
diesem illegalen Geschäft jedoch nicht den Wind aus den Segeln nehmen. Wie Phönix aus der Asche
ändern die für schuldig befundenen Unternehmen einfach ihren Namen und verbergen ihre Verbindung
mit den zahlreichen Webseiten, die ihre Produkte hosten, noch sorgfältiger. Ein verbreiteter Trick ist die
Verwendung anonymer Hosting-Dienste.
Neben den international tätigen Scareware-Unternehmen Innovative Marketing und Innovagest bieten
mehrere Forschungsunternehmen, die mit ihnen in Partnerschaft stehen, ähnliche Produkte. Bei einer
Google-Suche von wenigen Minuten fanden wir mehrere verdächtige Angebote.
Abbildung 6: Partnerschaftsangebote für die Verbreitung fragwürdiger Virenschutz-Software
9
Innovative Marketing
Dieser Unternehmensname ist seit 2004 im Umlauf, er wurde jedoch erst gegen Ende 2008 weithin
bekannt. Im Dezember 2008 strengte die FTC (die US-Behörde, die für den Verbraucherschutz und die
Überwachung des Wettbewerbs zuständig ist) eine Klage gegen Innovative Marketing, Inc. (IMI), einige
Führungskräfte dieses Unternehmens und einige mit ihm in enger Beziehung stehende Unternehmen an.6
Abbildung 7: FTC-Pressemitteilung zum Verfahren gegen Innovative Marketing vom 10. Dezember 20087
Anderthalb Jahre später teilte das US-Justizministerium mit, dass es ein Verfahren gegen drei Führungs
kräfte von IMI angestrengt hatte.8 Untersuchungen zu diesem Verfahren kamen zu dem Schluss,
dass die Entwickler mit der betrügerischen Software mehr als 100 Mio. USD eingenommen hatten:
• Björn
Daniel Sundin, 31, ein schwedischer Staatsangehöriger, der vermutlich in Schweden lebt. IT- und
Betriebsleiter von IMI, zuvor Vorsitzender von Vantage Software und Winsoftware, Ltd. Im Jahr 1999
verklagte ihn Microsoft für den Vertrieb gefälschter Versionen von Microsoft Windows 98 und Office
Pro 97. Angeklagt war dabei ein Unternehmen namens KT Services, auch als Vantage Software
bekannt.9 Sundin baute die ukrainische Niederlassung aus dem Nichts auf. Außerdem eröffnete
er Niederlassungen in Argentinien und Indien.
• James Reno, 26, wohnhaft im US-Bundesstaat Ohio. Bekannt als Geschäftsführer von IMI. Im Jahr 1997
gründete er das Unternehmen ByteHosting, das später als Niederlassung von IMI in Ohio galt. Reno reist
regelmäßig nach Kanada, um Server zu konfigurieren, auf denen IMI-Software gehostet wird. Er leitet
den technischen Support und ist Inhaber der entsprechenden Telefonnummern. Der Support erhält
zahlreiche Anrufe von verärgerten Kunden. Die Supportmitarbeiter dienen nur als Blockade, um Kunden
abzuwimmeln und im Extremfall eine Erstattung anzubieten, wenn ein Kunde eine Klage in Erwägung
zieht. Im April 2004 unternahm Symantec rechtliche Schritte gegen Reno und ByteHosting, weil IPAdressen von Symantec verwendet wurden, um WinFixer und einen Norton Antivirus-Klon namens
WinAntivirus, zu vertreiben.10 Symantec kam zu einer außergerichtlichen Einigung mit Reno. Gegen Ende
des Verfahrens stellte sich heraus, dass Shaileshkumar Jain, bekannt unter dem Namen Sam Jain, in den
Fall verwickelt war.11
6. „
Federal Trade Commission v. Innovative Marketing et al.“ (Anklage der FTC gegen Innovative Marketing u. a.), US-Bezirksgericht Maryland.
http://www.ftc.gov/os/caselist/0723137/081202innovativemrktgcmplt.pdf
7. A
ktionen der Federal Trade Commission. http://www.ftc.gov/os/caselist/0723137/index.shtm
8. „
United States of America v. Bjorn Daniel Sundin et al.“ (Anklage der USA gegen Bjorn Daniel Sundin u. a.), US-Bezirksgericht, Northern
District of Illinois Eastern Division. http://lastwatchdog.com/wp/wp-content/uploads/100527_Reno_indictment.pdf
8. „
Microsoft Takes a Bite Out of Software Fraud on the Internet“ (Microsoft erringt einen Sieg über Software-Betrug im Internet), Microsoft
News Center. http://www.microsoft.com/presspass/press/1999/dec99/bitefraudpr.mspx
10. „
Corporate Citizenship“ (Gesellschaftliches Engagement), Fix WinFixer. http://fixwinfixer.wordpress.com/2007/04/10/corporate-citizenship/
11. S onderbericht vom 26. Februar 2007 über ein Gerichtsverfahren mit Beatrice Ochoa, deren Computer mit dem berüchtigten Winfixer
infiziert war, KTVU2 News. http://www.youtube.com/watch?v=zBUZHiKhsog
10
• Shaileshkumar
Jain (alias Sam Jain), 40, ein in der Ukraine lebender US-Amerikaner. Er soll IMI
zusammen mit einigen Partnern im Jahr 2002 gegründet haben. Später wurde er Geschäftsführer des
Unternehmens. In den Jahren 2000 und 2001 wurde er mehrmals verdächtigt, bei seinen Werbe- und
Marketingaktivitäten verschiedene Indiskretionen begangen zu haben. Er ist ein Pionier im Bereich der
Scareware. Seine bewegte Vergangenheit zwang ihn, die USA zu verlassen, wo er mehrmals wegen
Software-Fälschung und Verletzung von Rechten an geistigem Eigentum verurteilt worden war.12
Im Jahr 2009 erließ Interpol einen Haftbefehl gegen ihn.13 Jain scheint neben der Entwicklung von
Scareware noch weitere illegale Aktivitäten zu treiben. In einem Artikel einer südamerikanischen AntiMafia-Webseite wird erwähnt, dass er in einen Geldwäschefall verwickelt ist, der mit der Niederlassung
von Merrill Lynch in Uruguay zu tun hat.14
Sie können alle Entwicklungen und Details dieser Geschichte im Blog „Spyware Sucks“
(Spyware nervt) nachlesen.15
Die bedeutendsten Unternehmen unter den Scareware-Verbreitern sind alles andere als Familien
betrieben, sondern vielmehr internationale Konzerne. Im Fall von IMI war die Hauptniederlassung
in Belize registriert, und zahlreiche Niederlassungen und Briefkastenfirmen waren überall auf der Welt
verteilt. Gegen Ende 2007 stellte Mike Burgess (von winhelp2002) IMI und die bekanntermaßen zu IMI
gehörenden Hosting-Unternehmen in einer Tabelle zusammen.16
Abbildung 8: Innovative Marketing und seine Hosting-Unternehmen (Quelle: Hosts News, Dezember 2007)
12. „
ICQ logs spark corporate nightmare“ (ICQ-Protokolle Ursache für Firmen-Alptraum), cnet news.
http://news.cnet.com/2100-1023-254173.html&tag=txt
13. Interpol-Liste gesuchter Personen. http://www.interpol.int/public/Data/Wanted/Notices/Data/2009/45/2009_13445.asp
14. „
Money-laundering investigation by Uruguayan justice department“ (Untersuchungen der Justiz von Uruguay zu Geldwäsche), Animafia.
http://www.antimafiadosmil.com/articulos/lavado.html
15. „
Spyware Sucks“ (Spyware nervt). http://msmvps.com/blogs/spywaresucks/
16. „
More on Innovative Marketing“ (Mehr zu Innovative Marketing), Hosts News.
http://msmvps.com/blogs/hostsnews/archive/2007/12/08/1386368.aspx
11
In der Tabelle wird LocusSoftware, Inc. (in Großbritannien) erwähnt. Dieses Unternehmen verfügt über
Webseiten, die bei Eukhost_ltd, Euroaccess und Setupahost (Toronto) gehostet werden.
Die Technik- und Vertriebsteams von LocusSoftware befinden sich überwiegend in einem Vorort von
Kyiv (Kiew), Ukraine. Aus Dokumenten, die wir im Internet fanden, geht hervor, dass für die lokale
Organisation Innovative Marketing Ukraine (IMU) zeitweise über 600 Mitarbeiter tätig waren. Es finden
sich über 500 Produktverweise und Tausende von URLs für IMU (einschließlich AdvancedCleaner,
DriveCleaner, ErrorProtector, ErrorSafe, UltimateCleaner, SystemDoctor, WinAntispyware, WinAntivirus
und WinFixer).
Wir gewannen wesentliche Erkenntnisse zu IMU, indem wir zahlreiche Dokumente untersuchten,
die ein Forschungsmitarbeiter der McAfee Labs beschaffen konnte. Ohne sich der Piraterie oder eines
Gesetzesverstoßes schuldig zu machen, besuchte er einfach fast ein Jahr lang mehrere offene Webseiten
von IMU (und dabei TCP-Port 80 verwendet).
Im Jahr 2008 mietete IMU mehrere Büroetagen einige Kilometer vom Stadtzentrum von Kyiv entfernt.
Wie jedes respektable Unternehmen hatte IMU einen Empfangsbereich für Besucher und einen
sehr konventionellen Bürogrundriss mit Besprechungsräumen und Bereichen, in denen Personen
vorübergehend arbeiten konnten. Neben der Verwaltungs- und Finanzabteilung beschreiben
Unternehmensdokumente deutlich Bereiche für Entwicklungsteams sowie eine spezielle Abteilung
für die Produktlokalisierung und ein Callcenter. Die Kundenstrategie wurde von der Adware-Gruppe
angeführt. P18-Bereiche bestätigen, dass IMU an der Entwicklung von nicht jugendfreien Webseiten
sowie Social-Networking-Webseiten beteiligt war. Für die Rechnungsstellung verfügte IMU über
Dutzende Online-Zahlungswebseiten, auf die die Kunden von den Rechnungsbereichen geleitet wurden.
Alle diese Teams und ihre Führungskräfte gaben Datenbanken in ihrem internen Netzwerk frei. Auf diese
war auch ein Zugriff von außen möglich. Ein LDAP-Dienst (Lightweight Directory Access Protocol) steuerte
den Zugriff über TCP/IP. In einer öffentlich zugänglichen Excel-Sicherung fanden wir über 800 Datensätze,
darunter Einträge für James Reno, Daniel Sundin und Sam Jain.
Ein zweites Verzeichnis enthält die Namen von mehr als 600 Mitarbeitern. Dies bestätigt noch einmal
die Größe der Organisation. Viele der Mitarbeiter waren junge Absolventen auf ihrer ersten bezahlten
Arbeitsstelle. Möglicherweise waren ihnen die wirklichen Ziele ihres Arbeitgebers nicht sofort bekannt.
Dauer der Mitarbeit
Anzahl Personen
7 Jahre oder mehr
1
6 bis 7 Jahre
2
5 bis 6 Jahre
3
4 bis 5 Jahre
5
3 bis 4 Jahre
17
2 bis 3 Jahre
31
1 bis 2 Jahre
41
6 Monate bis 1 Jahr
17
3 bis 6 Monate
3
1 bis 3 Monate
6
Tabelle 6: Dauer der Mitarbeit bei IMU, abgeleitet aus einer Analyse der LinkedIn-Profile von Mitarbeitern
Eine Untersuchung der Überblicksdiagramme aus Forschung und Entwicklung zeigt zweifelsfrei,
dass das Unternehmen beabsichtigt, Kunden in die Falle zu locken. Die Personen, die diese Diagramme
erstellt oder sie später implementiert haben, müssen gewusst haben, was vor sich ging. Der gefälschte
Virenscan mit Pop-Up-Nachricht ist unmissverständlich. Es ist kaum vorstellbar, dass eine Person, die
mehr als ein Jahr in einem Unternehmen wie IMU gearbeitet hat, nicht weiß, dass dessen Aktivitäten
unehrlich sind.
12
Abbildung 9: Bei IMU durchgeführte Forschungs- und Entwicklungsarbeiten für Scareware ab August 2008.
(Quelle: McAfee Labs)
Auch die Aktivitäten des technischen Supports von IMU ließen keinen Zweifel. Diese Telefongespräche
wurden häufig mitgeschnitten und standen uns zur Untersuchung zur Verfügung. Von mehr als
3.000 Mitschnitten identifizierten wir mehr als 900 in französischer Sprache. Hier riefen Opfer an,
die keinerlei Computerkenntnisse besaßen. Häufig beabsichtigten sie, ihre Bestellungen zu stornieren.
Die meisten Beschwerden bezogen sich auf Fehler im Zusammenhang mit Kreditkarten. Ziemlich
häufig beklagten sich Käufer über falsche Abbuchungen nach einem „unerwarteten“ Absturz der
Zahlungswebseite. In vielen Fällen stellten sie fest, dass sie ungewünschte Software und Services
erworben hatten. Der Betrug des technischen Supports wurde auch in der Anklage von März 2010
hervorgehoben (auf den Seiten 19 und 20):17
41.Außerdem gehörte es zum System, dass der Angeklagte JAMES RENO und andere in
dem Wissen, dass die von IM vertriebenen Softwareprodukte betrügerisch waren und
unter Vorspiegelung falscher Tatsachen verbreitet und verkauft wurden, CallcenterAgenten anwiesen, Folgendes zu tun:
a. K
unden die Fehlinformation zu geben, dass legitime Virenschutz-Software die von
IM vertriebenen Software-Produkte nur deshalb als Sicherheitsbedrohung erkannte,
weil es sich um ein Konkurrenzprodukt handelte,
b. K
unden mit vorhandener Virenschutz-Software zu überreden, diese Software zu
entfernen und sie durch Software-Produkte von IM zu ersetzen, und
c. K
unden mitzuteilen, dass es sich bei Software-Produkten von IM nicht um Betrug
handele und dass IM ein legitimes Unternehmen sei.
17. „
United States of America v. Bjorn Daniel Sundin et al.“ (Anklage der USA gegen Bjorn Daniel Sundin u. a.), US-Bezirksgericht,
Northern District of Illinois Eastern Division. http://lastwatchdog.com/wp/wp-content/uploads/100527_Reno_indictment.pdf
13
42.Außerdem veranlassten der Angeklagte JAMES RENO und andere die Fehlinformation an die
Callcenter-Mitarbeiter von Byte Hosting, dass die von ihnen geleistete Arbeit nicht zu einem
betrügischen System beitrage, weil die Gesetze der USA nicht für IM und die Geschäfts
praktiken von IM gälten, da sich IM im Ausland befinde. Mit dieser Fehlinformation sollten
die Callcenter-Mitarbeiter überredet werden, ihre Beschäftigung fortzusetzen.
43.Außerdem gehörte es zu dem System, dass die Angeklagten BJÖRN DANIEL SUNDIN,
SHAILESHKUMAR P. JAIN, JAMES RENO und in einigen Fällen Callcenter-Mitarbeiter
von Byte Hosting dazu autorisierten, Erstattungen für von IM vertriebene Produkte zu
gewähren. Damit sollte die guten Beziehungen mit Banken gewahrt werden, die Geld aus
Kreditkartenzahlungen im Zusammenhang mit Software-Produkten von IM erhielten und die
Beschwerden von betrogenen Internetbenutzern einreichten. Außerdem sollten auf diese
Weise Internetnutzer davon abgehalten werden, ihre Kreditkartengesellschaften oder die
Strafverfolgungsbehörden darüber in Kenntnis zu setzen, dass sie durch Täuschung dazu
veranlasst worden waren, betrügerische von IM vertriebene Software-Produkte zu erwerben.
Im Jahr 2008 florierte das Geschäft, und es waren Produkte unter zahlreichen Namen im Umlauf. In einem
Zeitraum von 6 Monaten identifizierte und überwachte McAfee 34 dedizierte Server, von denen Daten
auf die Computer der Opfer heruntergeladen wurden. Bei einer 10 Tage dauernden Analyse wurden mehr
als 4 Millionen Verbindungen erkannt. Das bedeutet mehrere Millionen betrogene Benutzer pro Woche.
Diese Zahl ist zweifellos zu niedrig, da einige IP-Adressen eine sehr kurze Lebensdauer haben (häufig unter
15 Minuten).18 Solche IP-Adressen sind schwer nachzuverfolgen, und es ist unwahrscheinlich, dass alle
Server bekannt sind.
Außerdem erfuhren wir aus diesen öffentlich verfügbaren Daten, wie viele Verkäufe in einem
Zeitraum von 11 Monaten aufgezeichnet wurden: Wir fanden 4.507.366 Bestellungen, also etwas
weniger als 5 Millionen im Jahr. Bei geschätzten 35 USD pro Bestellung betrug der Jahresumsatz fast
180.000.000 USD. Die Zahlungen erfolgen über von der Gruppe erstellte Webseiten.
Neben dem Verkauf von Scareware ist Pornografie eine weitere Einnahmequelle des Unternehmens.
Der Verkauf von Registrierungen für nicht jugendfreie Webseiten sowie Social-Networking-Webseiten,
auf denen Kunden osteuropäische Frauen „kennen lernen“ können, ist höchst lukrativ.
Abbildung 10: Nicht jugendfreie Webseiten waren im Jahr 2009 eine einträgliche Geldquelle für IMU
18. F akeAlert-Software wird häufig von Botnets (Netzwerken aus kompromittierten Computern) unterstützt. Dazu wird eine Tarnungsmethode
eingesetzt, bei der mehrere schnell wechselnde IP-Adressen in einem kurzen Zeitraum einem einzigen Domänennamen zugeordnet werden.
14
Weitere wichtige Akteure im Scareware-Vertrieb
CommerceLab Ltd.
Nach den ersten öffentlichen Warnungen bezüglich IMU tauchte eine neue Organisation auf,
CommerceLab Ltd. Abbildung 11 zeigt das Profil eines IMU-Managers, des zukünftigen Produktions
leiters. In diesem Lebenslauf wird in der linken Spalte angegeben, dass er im Juli 2002 bei IMU seine
Stelle antrat und das Unternehmen im September 2008 verlies – also zu dem Zeitpunkt, an dem IMU
aufgrund der Klage der US-FTC in Schwierigkeiten geriet. Wie zahlreiche andere Mitarbeiter wechselte
dieser Manager zu CommerceLab Ltd., wo die Aktivitäten fortgesetzt wurden, die die Nachforschungen
und die Strafverfolgungsbehörden unterbrochen hatten.
Abbildung 11: LinkedIn-Profil eines IMU-Managers, der zu CommerceLab wechselte; die linke Spalte ist mit November 2009
datiert und die rechte Spalte mit April 2010
Fünf Monate später wurde das Profil des Managers geändert. Die Unternehmensnamen „CommerceLab“ und
„IMU“ verschwanden und wurden durch „unspecified company“ (Unternehmen nicht angegeben) ersetzt.
Auch CommerceLab wurde später zum Ziel von Nachforschungen und verschwand ebenfalls aus dem
Web, um sofort unter einem anderen Namen wiedergeboren zu werden. Wie IMU führte CommerceLab
vor seinem Verschwinden auf seiner Kontaktseite eine Adresse in Kyiv auf.
Innovagest 2000 SL
Im Jahr 2005 begann Innovagest 2000 SL mit dem Vertrieb von Scareware und bot dabei mehrere
Produkte an, einschließlich XSRemover, WinHound, Anti-Virus-Pro, SpyContra, Spy Deface, Security
2009 und 1st antivirus.
Im Jahr 2008 verkaufte Innovagest 2000 SL Antivirus2009, Antivirus360 und AntivirusXP, drei der
sieben Scareware-Programme, die Microsoft unter den wichtigsten 25 Schadprogrammen des zweiten
Quartals 2008 aufführte.19 Mehr als 200 Produkte weisen die Signatur von Innovagest auf. Hundert weitere
scheinen mit Pandora Software in Verbindung zu stehen. Dies ist ein anderer Name für Innovagest oder
für eine Gruppe von Innovagest-Partnern, die auch unter dem Namen Bakasoftware arbeiten. Im Juli 2008
machte eine Person mit dem Pseudonym kraba Werbung für dieses Partnerangebot in zahlreichen
russischsprachigen Foren.20 Die von dieser Person angeführten Statistiken zeigten, dass ein Partner
ca. 146.000 USD verdient hatte, indem er fast 3.000 Exemplare der Software in 10 Tagen verkauft hatte.
Zwei Prozent der 150.000 angegriffenen Personen hatten dem Erwerb der Software zugestimmt, da sie
an eine Vireninfektion glaubten.)
19. „
Security Intelligence Report v6“ (Bericht über Sicherheit, Ausgabe 6), Microsoft.
http://blogs.technet.com/security/archive/2009/04/08/security-intelligence-report-v6.aspx
20. „
Cybercrime and Hacktivism“ (Internetkriminalität und Hacktivismus), S. 49–50, McAfee Labs.
http://www.mcafee.com/us/local_content/white_papers/cybercrime_20100315_en.pdf
15
Die investigativen Journalisten Brian Krebs21 und Dancho Danchev22, die verschiedene von Innovagest und
Innovagest-Niederlassungen verwendete Zahlungswege erforschten, verwiesen vor kurzem auf ChronoPay
und den Gründer dieses Unternehmens. Die vermuteten Verbindungen zwischen den beiden Unternehmen
wurden erkannt, indem Datenbanken mit Domänennamen (mit dem Befehl „whois“) sowie die Google
Analytics-ID für Webseiten in der Nähe der Online-Zahlungswebseite des Unternehmens untersucht
wurden. Im Juni 2010 zweifelte auch ein Angehöriger der russischen Duma (Volkskammer des Parlaments)
die Ehrlichkeit diesea Unternehmens für elektronische Online-Zahlungen an.23
Pandora Software
Pandora Software ist seit 2003 bekannt und wird oft als Niederlassung von Innovagest beschrieben.24
Die gemeinsame Verwendung von ChronoPay als Online-Zahlungsstruktur sowie die Ähnlichkeit der
Wortwahl in den rechtlichen Hinweisen bestätigen unseren Verdacht.
Abbildung 12: Ähnlichkeit der rechtlichen Hinweise auf den Webseiten von Pandora, Innovagest und ChronoPay
Auch Pandora nutzt Scareware und Pornographie als Umsatzquellen. Im Jahr 2008 wurden für das
Hosting der beiden Unternehmen dieselben IP-Adressen verwendet.
21. “
„Following the Money: Rogue Anti-virus Software“ (Immer dem Geld nach: Nicht autorisierte Virenschutz-Software), Security Fix,
The Washington Post. http://voices.washingtonpost.com/securityfix/2009/07/following_the_money_trail_of_r.html
22. „
A Diverse Portfolio of Fake Security Software—Part Twenty-Two“ (Die Vielfalt bei gefälschter Sicherheits-Software – Teil 22),
Blog von Dancho Danchev. http://ddanchev.blogspot.com/2009/07/diverse-portfolio-of-fake-security.html
23. „
Russian Anti-Spam Chief Caught Spamming“ (Russischer Anti-Spam-Berater beim Spammen erwischt), DailyTech.
http://www.dailytech.com/Russian+AntiSpam+Chief+Caught+Spamming/article18423.htm
24. „
Re: Pandora Software Advertising“ (AW: Werbung von Pandora Software), derkeiler.com.
http://www.derkeiler.com/Newsgroups/microsoft.public.security/2003-09/1680.html
16
Bakasoftware
Hinter diesem Namen verbirgt sich eine weitere Gruppe russischer Partner, die im Jahr 2008 Produkte
von Pandora Software und Innovagest vertrieben. Auf der Webseite von Bakasoftware wurde eine
Mitgliedschaft in einem Vertriebsnetzwerk für Virenschutz-Software angeboten; die Provision
(58 bis 90 % des Verkaufspreises) hing vom erzielten Umsatz ab. (Umfangreiche Informationen zu
diesem Thema finden Sie in meinem Bericht „Cybercrime and Hacktivism“ (Internetkriminalität und
Hacktivismus) auf den Seiten 49 bis 51.25) Ein Großteil dieser Informationen bezieht sich auf eine Gruppe
von Personen, deren Anführer als kraba (oder krab) bekannt ist. In Juli 2008 verwies kraba in zahlreichen
russischsprachigen Foren auf dieses Partnerangebot. Später verteilte der russische Computer-Hacker
NeoN Screenshots mit Details zu diesen Provisionen. Joe Stewart von SecureWorks analysierte diese
Screenshots der umsatzstärksten Partner und stellte feste, dass krab den zweiten Platz belegte.26
Abbildung 13: Einige Bakasoftware-Partner und ihre Umsätze (Quelle: SecureWorks)
TrafficConverter
Eine der Webseiten dieses Unternehmens (trafficconverter.biz) scheint mit den ersten Varianten
des Conficker-Wurms in Beziehung zu stehen. Die URL von TrafficConverter war in die erste Variante
der Malware hartcodiert.27
Abbildung 14: Die Herkunft des Namens Conficker (Quelle: malwareinfo.org)
25. „
Cybercrime and Hacktivism“ (Internetkriminalität und Hacktivismus), McAfee Labs.
http://www.mcafee.com/us/local_content/white_papers/cybercrime_20100315_en.pdf
26. „
Rogue Antivirus Dissected—Part 2“ (Nicht autorisierter Virenschutz unterm Salpell – Teil 2 ), SecureWorks.
http://www.secureworks.com/research/threats/rogue-antivirus-part-2/
27. „
Conficker and Traffic Converter“ (Conficker und TrafficConverter), MalwareInfo.Org.
http://www.malwareinfo.org/files/Conficker&TrafficConverter.pdf
17
Mehrere Ähnlichkeiten zwischen den whois-Registrierungsdaten der Webseiten lassen eine Verbindung
zwischen Pandora Software und TrafficConverter vermuten.
Wie bei Bakasoftware erzielen Partner wesentliche Profite, wie Brian Krebs in einem Artikel zeigt.28
Abbildung 15: Einige TrafficConverter-Partner und ihre Umsätze (Quelle: Security Fix)
Tipps für den Umgang mit Scareware
• Vertrauen Sie bekannter Virenschutz-Software. Sie finden eine vollständige Liste auf den Webseiten
„Virus Bulletin“29 und „AV-Test“30. Halten Sie Ihre Virenschutz-Software stets aktuell (sowohl die
Signaturen als auch das das Scan-Modul). Installieren Sie alle zusätzlich verfügbarer Spyware-Schutz.
Einige Produkte ermöglichen außerdem eine erweiterte Erkennung potenziell unerwünschter Programme.
• Suchen Sie in den Installationseinstellungen nach Updates und Patches für Ihre Office-Software,
Ihre Webbrowser und Ihr Betriebssystem, um den Vorgang so weit wie möglich zu automatisieren.
• Installieren Sie Software, die Suchmaschinentreffer in Ihrem Browser filtert. Verwenden Sie ein Produkt,
das Sie warnt, wenn gefährliche oder verdächtige Links vorhanden sind (Drive-By-Downloads, infizierte
oder Malware verbreitende Webseiten, Phishing-Webseiten oder betrügerische Webseiten).
• Lassen Sie Ihre Firewall stets aktiviert.
• Verwenden Sie einen aktuellen, korrekt konfigurierten Browser.
»»ActiveX-Steuerelemente sind eine spezielle Funktion von Microsoft Internet Explorer. Sie ermöglichen
die Ausführung von Programmen auf Ihrem Computer über Ihren Browser. Ein böswilliges ActiveXSteuerelement, das mit Ihrer Zustimmung auf Ihrem Computer installiert wurde, kann potenziell
auf alle Teile des Computers zugreifen. Deaktivieren Sie ActiveX-Steuerelemente standardmäßig
in Internet Explorer, und schränken Sie ihre Verwendung auf vertrauenswürdige Webseiten ein.
»»Java-Applets sind relativ selten, und die Unterstützung für sie ist möglicherweise deaktiviert.
Wenn Sie diese Komponenten jedoch aktivieren müssen, stellen Sie sicher, dass die Java-Maschine
auf Ihrem Computer aktuell ist. Standardmäßig verwendet Internet Explorer die mit Windows
ausgelieferte virtuelle Maschine. Für andere Browser muss eine virtuelle Maschine eines Drittanbieters
installiert werden.
»»Deaktivieren Sie die Ausführung von JavaScript in Ihrem Browser, und aktivieren Sie sie nur für
vertrauenswürdige Webseiten und nur dann, wenn dies wirklich notwendig ist. JavaScript ist
eine Sprache, die häufig verwendet wird, um Programme direkt in Webseiten zu integrieren.
Diese Sprache ist sehr verbreitet. Sie findet sich auch in einigen Verwaltungsbenutzeroberflächen
für Drucker oder Netzwerkgeräte.
»»Installieren Sie ausschließlich Erweiterungen, die Sie wirklich benötigen und die aus vertrauens
würdigen Quellen stammen. Für Browser stehen viele Erweiterungen zur Verfügung, die neue
Funktionen oder Technologien unterstützen. Jede Erweiterung, die Sie hinzufügen, kann jedoch eine
neue Sicherheitslücke auf Ihrem Computer bedeuten. Installieren Sie Erweiterungen nur im Einzelfall.
28. „
Massive Profits Fuelling Rogue Antivirus Market“ (Erhebliche Profite treiben Markt für nicht autorisierten Virenschutz voran), Security Fix,
The Washington Post. http://voices.washingtonpost.com/securityfix/2009/03/obscene_profits_fuel_rogue_ant.html
29. V
irus Bulletin. http://www.virusbtn.com/index
30. A
V-Test. http://www.av-test.org/
18
• Browsen
Sie mit Bedacht:
»»Klicken Sie nicht, ohne zu denken.
»»Glauben Sie niemals Pop-Up-Fenstern oder Banner-Anzeigen, die unerwartet auf Ihrem Bildschirm
angezeigt werden und eine Vireninfektion melden.
»»Akzeptieren Sie niemals einen unerwartet angebotenen Online-Scan der Festplatten Ihres Computers.
Entwickler von Sicherheitsprodukten, wie McAfee, bieten zwar solche Online-Dienste an, diese
werden jedoch niemals unerwartet aktiviert. Vielmehr müssen Sie die Anbieterwebseiten gezielt
besuchen, um derartige Dienste zu nutzen.
»»Kaufen Sie niemals über einen Computer, der möglicherweise oder tatsächlich infiziert ist,
Virenschutzprodukte online. Das Schadprogramm auf Ihrem Computer kann Ihre Bankdaten
abfangen oder Sie unbemerkt zu einer betrügerischen Webseite umleiten.
»»Wenn Sie über einen problemfreie Computer Online-Virenschutz-Software auf einer Händler- oder
Bankwebseite erwerben müssen, überprüfen Sie, ob diese Webseite ein digitales Zertifikat aufweist,
das ihre Authentizität garantiert. Hierfür werden im Browser zwei Informationen angezeigt, die Sie
überprüfen müssen:
Die URL der Webseite muss mit „https://“ beginnen, und der Name der Webseite muss den
Erwartungen des Benutzers entsprechen.
Rechts neben der Webseitenadresse oder unten rechts auf der Statusleiste (je nach Browser
und Version) sollte ein kleines Vorhängeschloss angezeigt werden. Es symbolisiert eine sichere
Verbindung. Wenn Sie darauf klicken, werden das digitale Zertifikat der Webseite und der Name
der Organisation angezeigt.
Auf einer legitimen Webseite werden Sie niemals aufgefordert, die PIN für Ihr Bankkonto einzugeben.
Fazit
Bei der Erforschung von Scareware fanden wir heraus, dass Internetkriminelle zur Erreichung ihrer
finanziellen Ziele internationale Unternehmen aufgebaut haben, die die üblichen Vorgehensweisen
von Finanz- und Produktionsunternehmen imitieren. In den letzten zwei Jahren erzielten Polizeikräfte
unbestreitbar Erfolge gegen sie. Die Anklage mehrerer Anführer und die harte Arbeit der Nachforscher
störten diese Einrichtungen mehrmals, woraufhin diese diskretere, aber ebenso effektive neue
Strukturen aufbauten.
Angesichts der Beträge, die Internetkriminelle erbeuten können, wird diese Art von Unternehmen sicherlich
noch wachsen. Zurzeit scheint der Verkauf gefälschter Virenschutz-Software das wichtigste Segment des
betrügerischen Software-Markts zu sein. Scareware ist jedoch nicht die einzige Kategorie, die in den letzten
Jahren auf verdächtigen Webseiten und mit zweifelhaften kommerziellen Vorgehensweisen angeboten
wird. Viele Software-Programme wie gefälschte Video-Codecs, gefälschte Bereinigungsprogramme für
die Registrierung und gefälschte PC-Beschleunigungsprogramme werden leichtgläubigen Benutzern
angeboten. Durch Fälschungen von Marken-Software ergänzt dieser relativ neue Markt herkömmliche
Angebote für nachgemachte Armbanduhren, Handtaschen und Parfums.
19
Über den Autor
François Paget ist ein hochrangiger Malware-Forscher bei McAfee Labs in Frankreich. Er beschäftigt
sich seit 1990 mit Malware-Forschung und gehörte 1995 zu den Gründern von Avert Labs. Paget ist
regelmäßig Referent bei französischen und internationalen Konferenzen zu Sicherheitsfragen, ist Autor
zahlreicher Artikel und eines Buches und außerdem Generalsekretär des French Information Security
Club (CLUSIF, Französischer Club für Sicherheitsinformationen).
Über McAfee Labs™
McAfee Labs ist das globale Forschungsteam von McAfee, Inc. Hierbei handelt es sich um die einzige
Forschungsorganisation, die sich mit allen Bedrohungsbereichen befasst: Malware, Internet, E-Mails,
Netzwerk und Schwachstellen. McAfee Labs erfasst Daten mithilfe von Millionen Sensoren und dem
Cloud-basierten Dienst McAfee Global Threat Intelligence. Die 350 multidisziplinären Forscher, die in
30 Ländern für McAfee Labs arbeiten, überwachen permanent das gesamte Bedrohungsspektrum,
identifizieren Anwendungsschwachstellen, analysieren und korrelieren Risiken und arbeiten an
Fehlerbehebungsmaßnahmen, um Unternehmen und Privatpersonen zu schützen.
Über McAfee, Inc.
McAfee, Inc., mit Hauptsitz in Santa Clara, Kalifornien, ist der weltweit größte auf IT-Sicherheit
spezialisierte Anbieter der Welt. Das Unternehmen hat sich der Beantwortung anspruchsvollster
Sicherheitsherausforderungen verschrieben. Seinen Kunden liefert McAfee präventive, praxiserprobte
Lösungen und Dienstleistungen, die Computer und ITK-Netze auf der ganzen Welt vor Angriffen
schützen und es den Anwendern ermöglichen, gefahrlos Verbindung mit dem Internet aufzunehmen
und sich im World Wide Web zu bewegen. Unterstützt von einer preisgekrönten Forschungsabteilung,
entwickelt McAfee innovative Produkte, die Privatnutzern, Firmen und Behörden helfen, ihre Daten zu
schützen, einschlägige Gesetze einzuhalten, Störungen zu verhindern, Schwachstellen zu ermitteln und
die Sicherheit ihrer Systeme laufend zu überwachen und zu verbessern. Weitere Informationen über
McAfee finden Sie unter www.mcafee.com/de.
McAfee GmbH
Ohmstr. 1
85716 Unterschleißheim
Deutschland
+49 (0)89 37 07-0
www.mcafee.com/de
Die hier enthaltenen Informationen werden McAfee-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Die hier
enthaltenen Informationen können sich jederzeit ohne vorherige Ankündigung ändern und werden wie besehen zur Verfügung gestellt,
ohne Garantie oder Gewährleistung auf die Richtigkeit oder Anwendbarkeit der Informationen zu einem bestimmten Zweck oder für eine
bestimmte Situation.
McAfee, das McAfee-Logo und McAfee Labs sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen
in den USA und/oder anderen Ländern. Alle Marken sind Eigentum der jeweiligen Besitzer. © 2010 McAfee, Inc. Alle Rechte vorbehalten.
16301wp_scareware_1110_ETMG

Angst einjagen und abkassieren: Mit

Transcription

Similar documents

McAfee Threat-Report: Erstes Quartal 2010

Microsoft Security Intelligence Report

Liste von Abodiensten im Internet Liste des services d

Benutzerhandbuch Rechnung Online Komfortversion

Grundlagen Hypermedialer Lernsysteme

Pharmareport 2008-04

Juni 2014