Falsche Testimonials: So vermarktet man Wunderpillen (Foto: Jeff White, Unit 42)

Der Registrar und Webhoster Godaddy hat rund 15.000 Subdomains abgedreht, die von Betrügern zur Vermarktung dubioser Wunderpillen von Diät- bis zu Dopingmitteln missbraucht wurden. Die Kriminellen hatten offenbar die Zugangsdaten legitimer Kunden gestohlen und Seiten erstellt, die dann in Spam-Kampagnen mit Millionen Müll-Mails zum Einsatz kamen. Entdeckt wurde das Netzwerk von der Unit 42 der Security-Spezialistin Palo Alto Networks.

Unit-42-Forscher Jeff White ist den Betrugs-Domains auf die Spur gekommen, als er eine grosse Spam-Kampagne von betrügerischen Affiliate-Marketern untersucht hat. Die Müll-Mails haben zu auffallend ähnlichen Seiten geführt, die eigentlich völlig unterschiedliche Produkte wie Diätpillen, Gehirnbooster und Dopingmittel anpreisen. Als Verkaufstaktik sind insbesondere frei erfundene Promi-Testimonials von Berühmtheiten wie Stephen Hawking, Jennifer Lopez oder Gwen Stefani zum Einsatz gekommen. Das Ziel: Opfer sollten dazu verleitet werden, sich unwissentlich für teure, sinnlose Warenabos anzumelden.

Doch haben die Betrüger in diesem Fall nicht einfach nur direkt auf Wegwerf-Domains gesetzt. "Als ich angefangen habe, nachzuforschen, bin ich schnell auf hunderte Domains gestossen, von denen viele kompromittiert schienen und eigentlich nicht für Spam gedacht", erklärt White. Die bei Godaddy gehosteten, eigentlich legitimen Subdomains wurden sichtlich für Weiterleitungen missbraucht. Die Hintermänner der Betrugskampagne haben offenbar mit gestohlenen Zugangsdaten gearbeitet, die sie sich entweder per Phishing verschafft oder durch sogenanntes "Credential Stuffing" gefunden hatten.

Beim Credential Stuffing versuchen Kriminelle, ob auf einer Seite gestohlene Zugangsdaten bestimmter User auch auf anderen von ihnen genutzten Webseiten funktionieren. Immerhin gibt es viele Menschen, die das gleiche Passwort für verschiedenste Dienste nutzen. Mit eben diesem lassen sich dann alle Accounts missbrauchen - und gegebenenfalls auch eine mit diesen Zugangsdaten verwaltete Subdomain bei Godaddy. Allerdings ist nicht klar, bei welchem Anteil der Betrugsseiten die Kriminellen tatsächlich auf diese Taktik gesetzt haben.

Jedenfalls hat Godaddy laut Unit 42 bereits im März dieses Jahres rund 15.000 betroffene Subdomains abgeschaltet und die legitimen Inhaber der entsprechenden Accounts aufgefordert, ihre Passwörter zurückzusetzen. Für Nutzer, die der Spam-Kampagne auf den Leim gegangen sind, bringt das freilich wenig; sie müssen sich damit herumschlagen, dass ihre Abozahlungen eingestellt werden. Damit Usern das nicht (wieder) passiert, verweist White im Zusammenhang mit dubiosen E-Mails zu Wunderpillen auf eine alte Faustregel: "Wenn es zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch."

http://godaddy.com
http://unit42.paloaltonetworks.com