Der Journalist Brian Krebs berichtet auf seinem Blog von gleich mehreren Klonen von privnote.com, die den Betreiber reich gemacht haben.
Ein Cyberkrimineller stellte gleich mehrere Nachahmerseiten von privnote.com ins Netz. Normalerweise ist dies eine sehr sinnvolle Angelegenheit, weil man damit Nachrichten verschicken kann, die sich nach dem Empfang sofort selbst zerstören. Beispielsweise im Fraud-Sektor nutzt man diese Seite sehr häufig.
Sieht aus wie Privnote, ist es aber nicht!
Eine Klage gegen ein Softwareunternehmen ergab jetzt pikante Details. Ans Tageslicht kam ein profitables Netzwerk von Websites, die sich wie die echte Privnote verhalten und aussehen. Doch sobald Nachrichten die Adressen von Krytowährungs-Wallets enthalten, ändert man diese um, damit der Admin des Klons stattdessen das Geld empfängt.
Vor vielen Jahren führte man Privnote.com erstmals ein. Die Website kann seit 2008 die verschickten Nachrichten selbst nicht lesen, weil sie bis zum Empfang verschlüsselt sind. Das Erstellen einer Nachricht generiert lediglich einen Link. Klickt man den Link an, besucht man eine spezielle Seite und nach Empfang der Nachricht ist dessen Inhalt für immer verloren.
Die Benutzerfreundlichkeit und Beliebtheit von privnote.com bei Kryptowährungsbegeisterten und Personen, die auf Datenschutz achten, sorgte dafür, dass der Online-Dienst populär wurde. Aber auch, dass Cyberkriminelle ihn nachgebaut haben. So haben Unbekannte in der Vergangenheit den Besuchern Trojaner unter gejubelt, um deren Hardware zu übernehmen.
Kläger verriet mehr Details, als es gut für ihn war
Ein Nutzer reichte laut Brian Krebs bei MetaMask eine Beschwerde ein. Dies ist eine Online-Wallet für Ethereum-basierte Coins und Token. User fory66399 versuchte zu erwirken, dass sein Privnote-Klon nicht länger als Phishing-Webseite erkannt wird. Dies führte zu einer komplette Blockade seiner Website. Der leitende Produktmanager von MetaMask, Taylor Monahan, reichte vor Gericht gleich mehrere Screenshots ein. Sie beweisen, dass der Klon tatsächlich alle Kryptowährungsadressen ausgetauscht hat.
Laut der Domain-Abfrage gehört diese und weitere Domains einem Andrey Sokol aus Moskau und Alexandr Ermakov aus Kiew. Allerdings ist unklar, ob die Namen und Anschriften überhaupt korrekt sind. Laut DomainTools gehören zu den anderen bei Alexandr Ermakov registrierten Domains pirvnota.com, privatemessage.net, privatote.io (offline) und tornote.io (auch offline). Bei den Untersuchungen kamen allerdings noch weitere Domains wie pirwnote.com etc. zum Vorschein. Der Betreiber hat jede Menge dafür bezahlt, um bei Medium.com für seine Phishing-Seiten über 30 Werbe-Artikel online schalten zu lassen.
Privnote-Klone sind ein höchst lukratives Geschäftsmodell
Das Geschäft mit den Nachbildungen von privnote.com ist überaus lukrativ. Einige der Seiten zeigt die Suchmaschine Google höchst prominent sehr weit oben an. Laut erster Berechnungen erzielte nur eine der bestehenden Privnote-Klone in fünf Tagen einen geschätzten Umsatz von 18.000 US-Dollar. Das erklärt auch warum man bereit war, so viel Geld in die Werbung zu stecken.