Einwurf einer geheimen Nachricht
Einwurf einer geheimen Nachricht
Bildquelle: stockcake.com

privnote.com: Klone zocken ihre Nutzer systematisch ab

Der Journalist Brian Krebs berichtet auf seinem Blog von gleich mehreren Klonen von privnote.com, die den Betreiber reich gemacht haben.

Ein Cyberkrimineller stellte gleich mehrere Nachahmerseiten von privnote.com ins Netz. Normalerweise ist dies eine sehr sinnvolle Angelegenheit, weil man damit Nachrichten verschicken kann, die sich nach dem Empfang sofort selbst zerstören. Beispielsweise im Fraud-Sektor nutzt man diese Seite sehr häufig.

Sieht aus wie Privnote, ist es aber nicht!

Eine Klage gegen ein Softwareunternehmen ergab jetzt pikante Details. Ans Tageslicht kam ein profitables Netzwerk von Websites, die sich wie die echte Privnote verhalten und aussehen. Doch sobald Nachrichten die Adressen von Krytowährungs-Wallets enthalten, ändert man diese um, damit der Admin des Klons stattdessen das Geld empfängt.

Vor vielen Jahren führte man Privnote.com erstmals ein. Die Website kann seit 2008 die verschickten Nachrichten selbst nicht lesen, weil sie bis zum Empfang verschlüsselt sind. Das Erstellen einer Nachricht generiert lediglich einen Link. Klickt man den Link an, besucht man eine spezielle Seite und nach Empfang der Nachricht ist dessen Inhalt für immer verloren.

Die Benutzerfreundlichkeit und Beliebtheit von privnote.com bei Kryptowährungsbegeisterten und Personen, die auf Datenschutz achten, sorgte dafür, dass der Online-Dienst populär wurde. Aber auch, dass Cyberkriminelle ihn nachgebaut haben. So haben Unbekannte in der Vergangenheit den Besuchern Trojaner unter gejubelt, um deren Hardware zu übernehmen.

privnote.com, Screenshot
Screenshot des Originals privnote.com.

Kläger verriet mehr Details, als es gut für ihn war

Ein Nutzer reichte laut Brian Krebs bei MetaMask eine Beschwerde ein. Dies ist eine Online-Wallet für Ethereum-basierte Coins und Token. User fory66399 versuchte zu erwirken, dass sein Privnote-Klon nicht länger als Phishing-Webseite erkannt wird. Dies führte zu einer komplette Blockade seiner Website. Der leitende Produktmanager von MetaMask, Taylor Monahan, reichte vor Gericht gleich mehrere Screenshots ein. Sie beweisen, dass der Klon tatsächlich alle Kryptowährungsadressen ausgetauscht hat.

Laut der Domain-Abfrage gehört diese und weitere Domains einem Andrey Sokol aus Moskau und Alexandr Ermakov aus Kiew. Allerdings ist unklar, ob die Namen und Anschriften überhaupt korrekt sind. Laut DomainTools gehören zu den anderen bei Alexandr Ermakov registrierten Domains pirvnota.com, privatemessage.net, privatote.io (offline) und tornote.io (auch offline). Bei den Untersuchungen kamen allerdings noch weitere Domains wie pirwnote.com etc. zum Vorschein. Der Betreiber hat jede Menge dafür bezahlt, um bei Medium.com für seine Phishing-Seiten über 30 Werbe-Artikel online schalten zu lassen.

Privnote-Klone sind ein höchst lukratives Geschäftsmodell

Das Geschäft mit den Nachbildungen von privnote.com ist überaus lukrativ. Einige der Seiten zeigt die Suchmaschine Google höchst prominent sehr weit oben an. Laut erster Berechnungen erzielte nur eine der bestehenden Privnote-Klone in fünf Tagen einen geschätzten Umsatz von 18.000 US-Dollar. Das erklärt auch warum man bereit war, so viel Geld in die Werbung zu stecken.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.