Tech-Support-Scammer nutzen vermehrt eine Lücke in HTML5 aus

Unter Berufung auf den Sicherheitsforscher @TheWack0lian hat Malwarebytes jetzt auf eine neue Masche sogenannter Tech-Support-Scammer hingewiesen. Diese riefen in der Vergangenheit oft wahllos Nutzer an, gaben sich als Support-Mitarbeiter großer IT-Firmen aus – besonders häufig von Dell und Microsoft – und versuchten die Angerufenen unter diversen Vorwänden dazu zu bringen, ihnen – oft mittels Fernwartungssoftware – Zugriff auf den Computer zu gewähren. Sie täuschten dort dann Wartungsarbeiten vor, stahlen aber tatsächlich entweder persönliche Informationen, griffen beim Zahlungsvorgang Bankdaten ab oder erhöhten durch Tricks den Zahlungsbetrag erheblich.

Betrugsversuche falscher Support-Mitarbeiter häufen sich einer kürzlich von Microsoft veröffentlichten Untersuchung zufolgen. Weltweit sollen zwei Drittel der Anwender bereits Erfahrungen mit solchen Betrugsversuchen gemacht haben, so Microsoft. In Deutschland hat sogar rund die Hälfte der Umfrageteilnehmer bereits solche Betrugsversuche erlebt. Die traumhaft hohe Erfolgsquote im Vergleich zu anderen Online-Betrügereien dürfte die Erklärung für die starke Zunahme sein: Den Zahlen von Microsoft zufolge sind weltweit etwa 20 Prozent der anvisierten Opfer schon auf den “Tech Support Scam” hereingefallen und haben eine zum Betrug verwendete Software heruntergeladen.

(Bild: Malwarebytes)

An der Lage haben selbst einzelne, wenn auch beachtliche Fahndungserfolge gegen die bislang überwiegend aus Indien operierenden Betrüger offenbar wenig geändert. Im Gegenteil: Die Betrüger haben sich im Laufe der Zeit professionalisiert und Abläufe automatisiert beziehungsweise massentauglicher gemacht. Statt durch einen aufwändigen Anruf wird der Erstkontakt mit dem Opfer inzwischen immer häufiger durch Malvertising gesucht.

Indem die Kriminellen in vermeintlichen Anzeigen versteckte Malware über eines der zahlreichen, nur oberflächlich kontrollierenden Anzeigennetzwerke verteilten, konnten sie bei Nutzern Meldungen anzeigen lassen, dass der Rechner infiziert sei. Sie platzierten alternativ in Suchmaschinen Anzeigen, die auf gut gemachte Imitationen zu Webseiten von Microsoft und bekannten Antivirus-Anbietern verwiesen, auf denen aber prominent eine gefälschte Support-Hotline angegeben war.

Tech-Support-Scammer nutzen vermehrt eine Lücke in HTML5 um Opfer zum Anruf bei ihrer Nummer zu bewegen (Screenshot: Malwarebytes)

Dabei wurde laut Malwarebytes bislang vor allem JavaScript Code benutzt, um das Pop-up mit der Warnung in einer Endlosschleife anzuzeigen. Die Warnungen liesen sich oft nur durch Aufrufen des Task Managers unter Windows oder eines vergleichbaren Tools auf anderen Plattformen und das Beenden des dafür zuständigen Prozesses abstellen.

Eine grundsätzlich nicht neue aber beim Tech-Support-Scam bislang nicht verwendete Methode scheint sich jetzt immer stärker durchzusetzen. Dabei wird ein schon im Juli 2014 erkannter Fehler im Zusammenhang mit HTML5 ausgenutzt. Mit der neuen Methode wird die als Hang bug in history.pushState() bekannte HTML5-Lücke ausgenutzt, um den Browser zum Absturz zu bringen. Vorteilhaft aus Sicht der Betrüger ist es, dass die gefälschte Warnmeldung wie bislang im Browser angezeigt wird, sich dieser aber nicht mehr mit dem Task-Manager schließen lässt.

Außerdem führt der Bug nicht zum kompletten Absturz des Browsers, sondern „lediglich“ dazu, dass er sich aufhängt. Dadurch ist es möglich, dass die angezeigte, vermeintliche Warnmeldung mit der prominent platzierten, (falschen) Support-Rufnummer von Microsoft sichtbar bleibt. Da der Rechner in den meisten Fällen auf keinerlei Eingaben mehr reagiert, scheint für viele Nutzer der Anruf bei der Nummer der einzige Ausweg. Laut Malwarebytes hilft in vielen Fällen allerdings das Ausschalten des Rechners über den Power-Knopf.

[Mit Material von Peter Marwan, silicon.de]

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago