Gehackte Accounts wurden gezielt zur Vermarktung vermeintlicher Wunderpillen verwendet
Der Registrar und Webhoster GoDaddy hat rund 15.000 Subdomains abgedreht, die von Betrügern zur Vermarktung dubioser Wunderpillen von Diät- bis zu Dopingmitteln missbraucht wurden. Die Kriminellen hatten offenbar die Zugangsdaten legitimer Kunden gestohlen und Seiten erstellt, die dann in Spam-Kampagnen mit Millionen Müll-Mails zum Einsatz kamen.
Entdeckt hat das Netzwerk die Unit 42 des Security-Spezialisten Palo Alto Networks.
Großes Betrugsnetzwerk
Unit-42-Forscher Jeff White ist den Betrugs-Domains auf die Spur gekommen, als er eine große Spam-Kampagne von betrügerischen Affiliate-Marketern untersucht hat. Die Müll-Mails haben zu auffallend ähnlichen Seiten geführt, die eigentlich völlig unterschiedliche Produkte wie Diätpillen, Gehirnbooster und Dopingmittel anpreisen.
Als Verkaufstaktik sind insbesondere frei erfundene Promi-Testimonials von Berühmtheiten wie Stephen Hawking, Jennifer Lopez oder Gwen Stefani zum Einsatz gekommen.
Das Ziel: Opfer sollten dazu zu verleitet werden, sich unwissentlich für teure, sinnlose Warenabos anzumelden.
Doch haben die Betrüger in diesem Fall nicht einfach nur direkt auf Wegwerf-Domains gesetzt.
„Als ich angefangen habe, nachzuforschen, bin ich schnell auf hunderte Domains gestoßen, von denen viele kompromittiert schienen und eigentlich nicht für Spam gedacht“,
erklärt White. Die bei GoDaddy gehosteten, eigentlich legitimen Subdomains wurden sichtlich für Weiterleitungen missbraucht.
Die Hintermänner der Betrugskampagne haben offenbar mit gestohlenen Zugangsdaten gearbeitet, die sie sich entweder per Phishing verschafft oder durch sogenanntes „Credential Stuffing“ gefunden hatten.
Einheitliches Passwort leicht zu missbrauchen
Beim Credential Stuffing versuchen Kriminelle, ob auf einer Seite gestohlene Zugangsdaten bestimmter User auch auf anderen von ihnen genutzten Webseiten funktionieren. Immerhin gibt es viele Menschen, die das gleiche Passwort für verschiedenste Dienste nutzen.
Mit eben diesem lassen sich dann alle Accounts missbrauchen – und gegebenenfalls auch eine mit diesen Zugangsdaten verwaltete Subdomain bei GoDaddy. Allerdings ist nicht klar, bei welchem Anteil der Betrugsseiten die Kriminellen tatsächlich auf diese Taktik gesetzt haben.
Jedenfalls hat GoDaddy laut Unit 42 bereits im März dieses Jahres rund 15.000 betroffene Subdomains abgeschaltet und die legitimen Inhaber der entsprechenden Accounts aufgefordert, ihre Passwörter zurückzusetzen.
Für Nutzer, die der Spam-Kampagne auf den Leim gegangen sind, bringt das freilich wenig; sie müssen sich damit herumschlagen, dass ihre Abozahlungen eingestellt werden. Damit Usern das nicht (wieder) passiert, verweist White im Zusammenhang mit dubiosen E-Mails zu Wunderpillen auf eine alte Faustregel:
„Wenn es zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.“
Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:
📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.
Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!
* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)