Tech-Support-Scammer nutzen vermehrt eine Lücke in HTML5 aus

Unter Berufung auf den Sicherheitsforscher @TheWack0lian hat Malwarebytes jetzt auf eine neue Masche sogenannter Tech-Support-Scammer hingewiesen. Diese riefen in der Vergangenheit oft wahllos Nutzer an, gaben sich als Support-Mitarbeiter großer IT-Firmen aus – besonders häufig von Dell und Microsoft – und versuchten die Angerufenen unter diversen Vorwänden dazu zu bringen, ihnen – oft mittels Fernwartungssoftware – Zugriff auf den Computer zu gewähren. Sie täuschten dort dann Wartungsarbeiten vor, stahlen aber tatsächlich entweder persönliche Informationen, griffen beim Zahlungsvorgang Bankdaten ab oder erhöhten durch Tricks den Zahlungsbetrag erheblich.

Betrugsversuche falscher Support-Mitarbeiter häufen sich einer kürzlich von Microsoft veröffentlichten Untersuchung zufolgen. Weltweit sollen zwei Drittel der Anwender bereits Erfahrungen mit solchen Betrugsversuchen gemacht haben, so Microsoft. In Deutschland hat sogar rund die Hälfte der Umfrageteilnehmer bereits solche Betrugsversuche erlebt. Die traumhaft hohe Erfolgsquote im Vergleich zu anderen Online-Betrügereien dürfte die Erklärung für die starke Zunahme sein: Den Zahlen von Microsoft zufolge sind weltweit etwa 20 Prozent der anvisierten Opfer schon auf den “Tech Support Scam” hereingefallen und haben eine zum Betrug verwendete Software heruntergeladen.

(Bild: Malwarebytes)

An der Lage haben selbst einzelne, wenn auch beachtliche Fahndungserfolge gegen die bislang überwiegend aus Indien operierenden Betrüger offenbar wenig geändert. Im Gegenteil: Die Betrüger haben sich im Laufe der Zeit professionalisiert und Abläufe automatisiert beziehungsweise massentauglicher gemacht. Statt durch einen aufwändigen Anruf wird der Erstkontakt mit dem Opfer inzwischen immer häufiger durch Malvertising gesucht.

Indem die Kriminellen in vermeintlichen Anzeigen versteckte Malware über eines der zahlreichen, nur oberflächlich kontrollierenden Anzeigennetzwerke verteilten, konnten sie bei Nutzern Meldungen anzeigen lassen, dass der Rechner infiziert sei. Sie platzierten alternativ in Suchmaschinen Anzeigen, die auf gut gemachte Imitationen zu Webseiten von Microsoft und bekannten Antivirus-Anbietern verwiesen, auf denen aber prominent eine gefälschte Support-Hotline angegeben war.

Tech-Support-Scammer nutzen vermehrt eine Lücke in HTML5 um Opfer zum Anruf bei ihrer Nummer zu bewegen (Screenshot: Malwarebytes)

Dabei wurde laut Malwarebytes bislang vor allem JavaScript Code benutzt, um das Pop-up mit der Warnung in einer Endlosschleife anzuzeigen. Die Warnungen liesen sich oft nur durch Aufrufen des Task Managers unter Windows oder eines vergleichbaren Tools auf anderen Plattformen und das Beenden des dafür zuständigen Prozesses abstellen.

Eine grundsätzlich nicht neue aber beim Tech-Support-Scam bislang nicht verwendete Methode scheint sich jetzt immer stärker durchzusetzen. Dabei wird ein schon im Juli 2014 erkannter Fehler im Zusammenhang mit HTML5 ausgenutzt. Mit der neuen Methode wird die als Hang bug in history.pushState() bekannte HTML5-Lücke ausgenutzt, um den Browser zum Absturz zu bringen. Vorteilhaft aus Sicht der Betrüger ist es, dass die gefälschte Warnmeldung wie bislang im Browser angezeigt wird, sich dieser aber nicht mehr mit dem Task-Manager schließen lässt.

Außerdem führt der Bug nicht zum kompletten Absturz des Browsers, sondern „lediglich“ dazu, dass er sich aufhängt. Dadurch ist es möglich, dass die angezeigte, vermeintliche Warnmeldung mit der prominent platzierten, (falschen) Support-Rufnummer von Microsoft sichtbar bleibt. Da der Rechner in den meisten Fällen auf keinerlei Eingaben mehr reagiert, scheint für viele Nutzer der Anruf bei der Nummer der einzige Ausweg. Laut Malwarebytes hilft in vielen Fällen allerdings das Ausschalten des Rechners über den Power-Knopf.

[Mit Material von Peter Marwan, silicon.de]

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

20 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago