Rasante Zunahme an Twitter Spam Mails – die Hintergründe

  • 14. Juli 2010
  • 5 min Lesezeit


Die meisten Nutzer des Internets kennen Twitter. Es handelt sich um einen kostenfreien Dienst, der das Veröffentlichen und Folgen sehr kurzer Textnachrichten ermöglicht, quasi eine Art „SMS des World Wide Web“. Viele Privatpersonen, aber auch große Firmen (darunter übrigens auch Emsisoft) und nicht zuletzt der DFB bei der Fußball WM 2010 nutzen Twitter. Ja, Twitter ist bekannt und eine Lichtgestalt des Internets.

Doch wo Licht, da ist naturgemäß auch Schatten. So konnten unsere Analyse Experten bei Emsisoft einen massiven Ausbruch an gefälschten Twitter Mails innerhalb der letzten Tage feststellen. Vielleicht hat auch Sie zumindest eine der wie folgt aussehenden Mails erreicht.

Fake Email

 

Was steckt dahinter?

Auffällig ist zunächst einmal, dass die virtuelle Post auch deutsche Nutzer von Twitter auf Englisch erreicht – denn der Dienst ist durchaus auch auf Deutsch verfügbar. Da derartige Mails in den meisten Fällen einen Phishing Versuch darstellen, haben wir das Thema detailliert analysiert.

Ebenfalls auffällig ist die Anrede des Empfängers mit seiner Email Adresse. Die Adressen für solche Spam Attacken werden normalerweise von irgendwelchen Webseiten oder anderen infizierten Computern entnommen. Da bei beiden Varianten oft nicht der richtige Name hinterlegt ist, wird einfach die Email Adresse oder ein Teil daraus zur Anrede verwendet. Beispiel: Ihre Adresse lautet [email protected], so wird als Texteinleitung der Spam Nachricht „Hallo, john.doe“ verwendet, da viele Nutzer das Format Vorname.Nachname benutzen. So ist die Chance am höchsten, eine authentische Anrede zu generieren.

Ein weiteres sehr zuverlässiges Indiz dafür, dass es sich hier nicht um eine offizielle Mail von Twitter selber handelt, ist der vorhandene Link. Der Leser der Nachricht wird aufgefordert, eben diesen zu besuchen und ein Sicherheitsmodul zu installieren, da angeblich versucht wurde das Passwort zu stehlen. Der Link führt allerdings gar nicht zu Twitter selber, da zwar als Link-Text twitter.com angegeben ist, der Link selber aber zu einer anderen Webseite führt. Diese haben wir von einem entsprechend gesicherten PC aus für Sie geöffnet.

Aller spätestens jetzt sollten eigentlich die Alarmglocken läuten. Würde die Webseite einer weltweit bekannten Internet Firma so aussehen, insbesondere bei einem so sensiblen Thema wie dem eigenen Account Passwort? Mit ziemlicher Sicherheit nicht.

Aber da wir Ihnen einmal ohne Risiko für Ihre eigenen Daten zeigen möchten, was beim Folgen dieses unlauteren Wegs passieren würde, haben unsere Analyse Experten das Spiel weiter mitgespielt. Entsprechend haben wir die verlinkte Datei „Twitter_security_model_setup.zip“ geöffnet – am Rande sei angemerkt, dass die Scan Engine von Emsisoft eine der ersten war, die eine passende Signatur für diese offensichtliche Malware hatte.

Die Malware erstellt nach Ausführung einige in Buchstabenwirrwarr benannte Dateien, beispielsweise topwesitjh. Gibt man diese Begriffe in eine Suchmaschine ein, so stößt man auf Referenzen zu Rogue Security Programmen. Ähnliches konnten wir auch in unserem Analyse-Labor herausfinden: Bei der Ausführung wird auch eine Rogue Security Software im System installiert. Hier sind einige Screenshots dazu:

  1. Die folgenden Dateien werden am Desktop angelegt
  2. Gefälschte Warnungen erscheinen als Popups. Es wird angezeigt, dass entweder ein Trojaner ein Sicherheitsrisiko darstellt, oder jemand versucht, Passwörter und private Daten zu stehlen. Dagegen helfen soll angeblich ein Klick auf die Nachricht.

  3. Das Sicherheitscenter wird durch eine ebenfalls gefälschte Version ersetzt. Natürlich führt einen der „Install“ Button nicht zu einer echten Anti-Virus-Lösung…

  4. … sondern zu einer einer weiteren Rogue Security Software. Der durch die Warnmeldungen eingeschüchterte Anwender soll dieses Programm kaufen, um die angeblichen Bedrohungen zu beheben.

Sie sehen also, was das Ziel dieser „Infektionskette“ ist: der rein gelegte PC Nutzer soll am Ende Geld ausgeben. Geld für ein Programm, das die gefälschten und damit eigens initiierten Warnmeldungen behebt, ohne allerdings wirklichen Schutz gegen „echte“ Malware zu liefern. Die nächste Infektion lässt dann meist nicht lange auf sich warten.

Wozu das ganze und vor allem – wie kann ich mich schützen?

Das Ziel, welches Kriminelle mit dieser Verfahrensweise verfolgen, liegt auf der Hand: Geld. Schließlich sollen Sie für das unechte Sicherheitsprogramm auch etwas bezahlen. Dass Sie damit nicht mal ein drittklassiges Anti-Malware-Programm erhalten, mag Sie vielleicht kümmern, nicht aber die Betrüger.

Viel wichtiger ist also, neben Trojanern, Viren, Würmern und co auch vor diesen Betrügern sicher zu sein. Ein wichtiger Schritt ist hier eine genaue Betrachtung der Emails, die Sie erreichen. Leider sehen diese immer etwas anders aus, alleine von dem aktuellen Twitter Spam gibt es etliche Varianten. Zudem eignen sich aus Sicht der Betrüger alle großen und bekannten Namen – so gab es in der Vergangenheit auch gefälschte Nachrichten von Amazon, DHL oder ebay.

Allerdings haben alle diese Mails auch Gemeinsamkeiten. Wenn Sie also eine Nachricht von Twitter oder einer anderen großen Firma in Ihrem Posteingang finden, achten Sie auf folgendes:

Durchaus kann einer dieser Punkte auch mal auf eine echte Email zutreffen. Je mehr Punkte zutreffen, desto wahrscheinlicher handelt es sich allerdings um einen Betrugsversuch. Spätestens bei massiven Warnpopups sollte Ihnen klar sein, dass sich ein Schädling auf Ihrem Computer eingenistet hat. Windows als Betriebssystem wird vermutlich niemals ein bestimmtes Programm zur Behebung vorschlagen – es sei denn es ist von Microsoft.

Definitiv auf Nummer sicher gehen Sie mit einem Sicherheitstool mit Echtzeitschutz. Unser Emsisoft Anti-Malware hätte die „Twitter Malware“ bereits anhand seiner Signatur aufgespürt und Sie gewarnt. Und selbst ohne Signatur hätte spätestens die Verhaltensanalyse das verdächtige Verhalten bei der Installation des Schädlings entdeckt.

Von unserem Security Blog: https://blog.emsisoft.com
(engl)

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel