Laufender Betrug fängt Kinder beim Spielen von Roblox und Fortnite ein

Laut einer neuen Studie wurden in den letzten fünf Jahren Tausende Websites von US-Regierungsbehörden, renommierten Universitäten und Berufsverbänden gekapert, um fragwürdige Angebote und Werbeaktionen zu verbreiten. Viele dieser Betrügereien zielen auf Kinder ab und versuchen, sie dazu zu verleiten, schädliche Apps herunterzuladen oder persönliche Daten preiszugeben, um dafür Belohnungen zu erhalten, die es in Fortnite und Roblox nicht gibt.

Forschungsergebnisse

Seit mehr als drei Jahren verfolgt der Sicherheitsforscher Zach Edwards diese Website-Hijackings und Betrügereien. Er behauptet, dass diese Aktivitäten möglicherweise mit den Aktivitäten von Affiliate-Partnern eines Werbeunternehmens zusammenhängen. Dieses in den USA registrierte Unternehmen ist ein Dienst, der Webverkehr an verschiedene Online-Werbetreibende sendet und es Einzelpersonen ermöglicht, sich zu registrieren und seine Systeme zu nutzen. Allerdings entdeckt Edwards, Senior Director of Threat Intelligence bei Human Security, jeden Tag viele kompromittierte .gov-, .org- und .edu-Domains. „Diese Gruppe ist meiner Meinung nach die Hauptgruppe für die Massenkompromittierung der Infrastruktur im Internet und für die Unterbringung von Betrug und anderen Formen der Ausbeutung“, erklärt Edwards. Das Ausmaß der Website-Kompromittierungen – die immer noch andauern – und der öffentliche Charakter der Betrügereien machen sie laut dem Forscher besonders bemerkenswert.

Wie Betrug funktioniert

Die Betrügereien und verschiedenen Methoden zum Geldverdienen sind komplex, aber jede Website wird auf die gleiche Weise gekapert. Angreifer nutzen Schwachstellen oder Schwachstellen in der Infrastruktur einer Website oder ihrem Content-Management-System aus, indem sie schädliche PDF-Dateien auf die Website hochladen. Diese Dokumente, die Edwards „Gift-PDFs“ nennt, sollen in Suchmaschinen auftauchen und für „kostenlose Fortnite-Skins“, Roblox-In-Game-Währungsgeneratoren oder günstige Streams beliebter Filme werben. Die Dateien sind mit wahrscheinlich durchsuchbaren Schlüsselwörtern zu diesen Themen gefüllt.

Wenn jemand auf Links in bösartigen PDFs klickt, kann er auf mehrere Websites weitergeleitet werden, die ihn schließlich auf Betrugsseiten weiterleiten, sagt Edwards, der die Ergebnisse auf der Black Security Conference in Las Vegas präsentierte. Es gibt „viele Landingpages, die offenbar sehr auf Kinder zugeschnitten sind“, sagt er.

Wenn Sie beispielsweise auf den Link in einer PDF-Anzeige mit kostenlosen Münzen für ein Online-Spiel klicken, werden Sie auf eine Website weitergeleitet, auf der Sie nach Ihrem Benutzernamen und Ihrem Betriebssystem gefragt werden. Anschließend werden Sie gefragt, wie viele Münzen Sie kostenlos erhalten möchten. Es erscheint ein Popup-Fenster mit dem Hinweis „Letzter Schritt!“ Auf dieser „Sperrseite“ wird behauptet, dass kostenlose Spielmünzen freigeschaltet werden, wenn Sie sich für einen anderen Dienst anmelden, persönliche Daten eingeben oder eine App herunterladen. „Ich habe es hunderte Male getestet“, sagt Edwards. Er erhielt nie eine Auszeichnung. Wenn Menschen durch dieses Labyrinth von Seiten geführt werden und am Ende eine App herunterladen, persönliche Informationen preisgeben oder eine Reihe erforderlicher Aktionen ausführen, können Betrüger Geld verdienen.

CPABuild und seine Tochtergesellschaften

Diese Art von Betrug gibt es laut Anzeigenbetrugsforschern schon seit einiger Zeit. Bemerkenswert ist jedoch, dass alle diese Websites mit dem Werbeunternehmen CPABuild und Mitgliedern seines Netzwerks verknüpft sind, sagt Edwards. Alle kompromittierten Websites, die die PDF-Dateien enthalten, senden Aufrufe an Befehls- und Kontrollserver von CPABuild. „Sie schieben Werbekampagnen in die Infrastruktur anderer“, erklärt er. Eine Google-Suche nach einer Datei im Zusammenhang mit PDFs führt zu Ergebnisseiten von manipulierten Websites.

Die Website von CPABuild, auf der die legale Registrierung in Nevada aufgeführt ist, beschreibt sich selbst als „in erster Linie Content-Locking-Netzwerk“. Das seit 2016 bestehende Unternehmen übernimmt Aufgaben seiner Kunden, indem es beispielsweise Menschen die Möglichkeit gibt, durch die Angabe ihrer E-Mail-Adresse und Postleitzahl Geld zu verdienen. Dann versuchen CPABuild-Benutzer, oft auch als Affiliates bezeichnet, die Leute dazu zu bringen, diese Angebote abzuschließen. Sie tun dies oft, indem sie Links in YouTube-Kommentaren spammen oder am Ende der Klickkette bösartiger PDF-Dateien Popup-„Block“-Seiten erstellen. Dieser ergebnisorientierte Prozess wird für Werbetreibende und Vermarkter als Cost-per-Action (CPA) bezeichnet.

CPABuild wurde mehrmals kontaktiert und reagierte nicht auf E-Mails von WIRED. Auf der Website des Unternehmens wird keine Person hinter CPABuild erwähnt und es werden nur wenige allgemeine Details genannt. Die Website gibt an, „tägliche“ Betrugskontrollen durchzuführen, um böswillige Akteure aufzuspüren, die ihre Plattform missbrauchen, und ihre Nutzungsbedingungen verbieten Benutzern, sich an betrügerischen Aktivitäten zu beteiligen und verschiedene Arten von Inhalten zu teilen.

Die Website gibt an, über 40 Millionen US-Dollar an Verlage gezahlt zu haben und bietet Tausende von Vorlagen und Zielseiten an. In CPABuild gibt es verschiedene Benutzerkategorien. Die Affiliate-Struktur der Website wird auf deren Homepage angezeigt. Mitglieder können in Manager, Dämonen, Zauberer, Meister und Ritter eingeteilt werden. In einem von einem CPABuild-Mitglied am 11. August hochgeladenen Video ist zu sehen, wie ein Administratorkonto eine Nachricht mit Benutzern teilt, in der es heißt, dass das Unternehmen Schritte unternommen hat, um zu verhindern, dass die Plattform für betrügerische Zwecke genutzt wird. „Wir erhalten weiterhin Berichte, dass CPABuild-Redakteure Angebote bewerben, die gegen unsere Nutzungsbedingungen verstoßen“, heißt es in einer Meldung auf dem Bildschirm. Die Untersuchungen von Edwards zeigen jedoch, dass es den Bemühungen von CPABuild nicht gelungen ist, seine Benutzer an weit verbreitetem Betrug zu hindern.

Die aktuellen Auswirkungen

Derzeit sind Dutzende Websites von diesen PDF-Dateien betroffen. Diese Woche hat das New York State Department of Financial Services die hochgeladenen PDF-Dateien entfernt, nachdem WIRED Kontakt dazu aufgenommen hatte. Laut Ciara Marangas, Sprecherin der Abteilung, wurde das Problem erstmals im Jahr 2022 festgestellt und nach weiterer Prüfung und Maßnahmen wurden die Dateien entfernt.

Quelle: arstechnica.com