Produktempfehlung: Kaspersky lab

Manchmal ist Mimikama schon ein wenig wie Spionagearbeit. Man bekommt einen Tipp, man schaut sich diesen an und merkt, dass man tief im Feindesland steckt.

Solch einen Tipp gab es heute per Ticket. In den letzten Wochen gab es ja immer wieder falsche Gutscheine, welche durch ihre virale Verbreitung die Facebook-Nutzer in den Wahnsinn trieb. Gemeint sind die 500 € Rewe und Amazon Gutscheine. Doch der Tipp, welcher uns erreichte, führte uns über die Grenzen der Gutscheine – direkt ins Hauptquartier des Feindes.

gw0

Gutscheine – Seitenweise Gutscheine!

Per Klick sind wir in die Basis, ja quasi die Brutstätte des Bösen gelangt und konnten einen Blick auf Seiten werfen, welche nur darauf warten, entfacht und auf die Nutzer losgelassen zu werden. Noch sind sie unbewaffnet (mehr dazu im Verlaufe des Textes), aber bereit, sich viral verteilen zu lassen. Hier ein Blick auf die Verzeichnisstruktur des Servers:

gw3

Marken, Marken, Marken

Ein Pool an Marken mit bunt gemischtem Modifizierungsdatum. Von Januar 2014 bis in die aktuelle Woche alles dabei. Schauen wir dabei mal auf die einzelnen Verzeichnisse.

Bei einem Klick auf ein Verzeichnis öffnet sich eine jeweilig passende Seite. Beispiel: das Verzeichnis “Zara”. Hier öffnet sich, wie schon vermutet, eine Seite, die suggeriert, dem Modelabel Zara zugehörig zu sein.

gw1

Man klickt sich nun durch 3 völlig belanglose Fragen (interessant: eine der Fragen wertet den ungefähren Standort des Nutzers aus), bei der letzten wird man beglückwünscht und auf eine neue URL geleitet, wo man den 500 € Gutschein erhalten soll.

gw2

Unbewaffnete Armee

Wie schon bereits beschrieben, sind diese Seiten nicht scharf geschaltet. Der Link, welcher hier in der letzten Seite eingebaut ist, führt ins Nichts. Auch bei weiteren Test in anderen Verzeichnissen auf diesem Server gab es immer nur eine leere Seite als Abschluss.

Jedoch vorher gibt es IMMER den Selben Aufbau, nur an die jeweilige Marke angepasst.

gw4

Ein Verzeichnis ist anders

Eines der Verzeichnisse auf dem Server trägt den Namen TEST. Alleine der Name zeigt schon, dass hier ein besonderer Fall vorliegt, da TEST keine Marke in diesem Sinne ist. Ein Klick offenbart nun:

gw5

Eine Vorschau auf ein Datingportal, welches jedoch auch nicht echt ist. “ayi” gibt es zwar tatsächlich, aber auch hier wurde nur wieder diese Seite nachgebildet. Anders ist jedoch: hier finden wir unfertige Konstrukte vor, stellenweise mit Fehlermeldungen oder Platzhaltern versehen.

Fährt man auf dieser Testseite über die klickbaren Links, um die Ziele angezeigt zu bekommen, sieht man dies auch in aller Deutlichkeit.

gw6

Mehr als deutlich sieht man nun, dass es sich um ein Gerüst handelt, welches unfertig ist. “INSERT TRACKING LINK” – also an dieser Stelle ist ein Platzhalter eingebaut, an der später wahllos verlinkt werden kann.

Zurück am Schreibtisch

Jetzt haben wir genug gesehen, jetzt kann man auswerten. Fakt ist:

– keine der Seiten enthielt letztendlich einen Link auf schädliche Adressen/Fallen
– alle Seiten sind identisch aufgebaut
– alle Seiten beinhalten zum Ende hin Platzhalter für Verlinkungen

Es ist also davon auszugehen, dass hier eine Art virtuelle Brutstätte für betrügerische Seiten vorliegt und auf diesem Server eine größere Menge an Vorlagen gespeichert ist, welche für Gutscheinfakes genutzt werden kann.
Hier eine Übersicht zu den vorgefundenen Vorlagen:

directory TEST                                22-Feb-2014 00:38        –
directory aral                                   19-Aug-2014 16:31        –
directory arb                                   28-Oct-2013 18:46        –
directory au                                     14-Oct-2013 17:58        –
directory bigbazaar                           14-Aug-2014 19:41        –
directory cgi-bin                             14-Oct-2013 17:53        –
directory cruise                              21-Jul-2014 20:50        –
directory discountcruises                     23-Jul-2014 22:19        –
directory dm                                  22-Aug-2014 23:48        –
directory douglas                             18-Aug-2014 23:49        –
directory e                                   12-Feb-2014 19:45        –
directory e1                                  07-Feb-2014 17:33        –
directory easyjet                             26-Aug-2014 17:05        –
directory ejf                                 19-May-2014 22:34        –
directory ejf2                                20-May-2014 17:40        –
directory es                                  04-Nov-2013 23:21        –
directory it                                  22-Aug-2014 21:26        –
directory johnlewis                           14-Aug-2014 21:25        –
directory johnlewis2                          19-Aug-2014 00:19        –
directory m                                   04-Feb-2014 21:40        –
directory m1                                  07-Feb-2014 19:30        –
directory m2                                  07-Feb-2014 20:12        –
directory mcdonalds                           19-Aug-2014 18:52        –
directory oyster                              15-Aug-2014 22:41        –
directory oyster2                             15-Aug-2014 22:05        –
directory oyster2sale                         18-Aug-2014 17:51        –
directory oyster3                             15-Aug-2014 22:05        –
directory rewe                                18-Aug-2014 21:44        –
directory shoem                               09-Jun-2014 23:25        –
directory tesco                               27-May-2014 11:04        –
directory test1                               19-Aug-2014 17:19        –
directory zara

Daher: Augen auf – diese falschen Gutscheine können kommen!

Autor: Andre, mimikama.at

Empfehlung