Betrüger zielen auf Nutzer der beliebten Todo-App auf Google
Kürzlich stieß ich bei X (Twitter) auf einen Entwickler, der über eine Phishing-Website stolperte, die genau wie eine beliebte Todolisten-App aussah. Diese Phishing-Taktik ist schwer zu durchschauen, selbst wenn man technisch versiert ist.
Kürzlich stieß ich bei X (Twitter) auf einen Entwickler, der auf eine Phishing-Website stieß, die bei Google beworben wurde. Diese Phishing-Taktik ist schwer zu erkennen, selbst wenn man technisch versiert ist.
Hier ist der Hintergrund des Geschehens:
Er suchte bei Google nach der bekannten Todolist-App "todoist" und klickte auf das erste gesponserte Ergebnis, das das richtige Logo und die richtige URL im gesponserten Eintrag enthielt:
Die eigentliche Website, auf die er weitergeleitet wurde, war jedoch eine ähnliche Domain und nicht die offizielle todoist-Website.
Wenn Sie nur einen Blick auf die URL werfen, fällt Ihnen vielleicht nicht auf, dass die URL toidollst.com und nicht todoist.com lautet. Die Landing Page ähnelt dem, was man erwarten würde, und auch das Logo ist dasselbe.
Leider hat der Entwickler am Ende die Software heruntergeladen, die auf dieser Phishing-Website beworben wurde.
Wie der Betrug funktioniert
Phishing-Websites nutzen in der Regel Pay-per-Click-Anzeigen in Suchmaschinen und auf Social-Media-Plattformen. Wie beim Buybuybay-Facebook-Anzeigenbetrug werden wir eine Website, die auf einer dieser Plattformen beworben wird, seltener unter die Lupe nehmen. Man geht davon aus, dass der Herausgeber die Werbung für betrügerische Websites von vornherein verhindern würde. Das ist jedoch oft nicht der Fall.
Im Falle dieses Exploits sind Betrügereien, die Google-Suchanzeigen nutzen, besonders schwer zu erkennen, da die Anzeige-URL nicht mit der URL übereinstimmen muss, zu der Sie nach dem Anklicken der Anzeige weitergeleitet werden.
Betrüger registrieren in der Regel für jeden Betrug eine neue Domäne, um Threat Intelligence Feeds zu umgehen, die bösartige Domänen klassifizieren. Bis die Domäne von diesen Diensten klassifiziert wird, ist der Schaden bereits angerichtet.
Umgang mit diesen Betrügereien
Wenn Sie zufällig auf eine gesponserte Anzeige klicken, die für eine ähnlich aussehende Phishing-Website wirbt, müssen Sie die URL genau untersuchen, um herauszufinden, ob Sie auf einer legitimen Website sind. Das ist einfach nicht praktikabel, denn wir sind natürlich nicht ständig auf der Hut.
In meinem Fall rief ich den im Beitrag X erwähnten Phishing-Link auf und stellte fest, dass er von meiner DNS-Inhaltsrichtlinie blockiert wurde.
Aber wenn man sich die Kategorisierung im Cloudflare-Radar ansieht, wird sie nicht als Phishing-Website eingestuft.
Da diese Website also durch die Maschen der meisten Bedrohungsdaten-Feeds schlüpft, warum wurde sie für mich blockiert?
In meiner Inhaltsrichtlinie verwende ich die Voreinstellung "Sicherheitsbedrohungen", um viele verschiedene Arten von potenziellen Sicherheitsbedrohungen zu blockieren.
Wenn Sie auf eine Anzeige klicken und auf einer Website landen, die so eingestuft ist, ist die Wahrscheinlichkeit groß, dass sie mit einem Betrug in Verbindung steht. Diese Websites werden so eingestuft, weil sie erst kürzlich online veröffentlicht wurden.
Wenn Sie ein Mitglied von Tech Lockdown sind, stellen Sie sicher, dass Ihre Inhaltsrichtlinie die Voreinstellung Sicherheitsbedrohungen enthält. Sie können eine neue Regel erstellen und finden diese auf der Registerkarte "Voreinstellungen".