Für einen Klon von Privnote schalten Hacker Werbung bei Google Adsense. Außerdem haben sie einen Trojaner auf der Original Seite platziert.
Schon wieder versucht jemand den Ruf des Online-Dienstleisters Privnote für seine Zwecke zu missbrauchen. Alle eingegebenen Daten beim Klon überträgt man direkt über xn–privnot-27a.com auf russische Server. Außerdem haben Cyberkriminelle vor 12 Tagen Schadsoftware auf der Startseite von Privnote.com eingeschleust.
Cyberkriminelle schalten Werbung bei Google Adsense für ihren Klon
Eigentlich ist der mexikanische Dienst Privnote eine sinnvolle Angelegenheit. Die Seite wird im digitalen Untergrund recht häufig genutzt. Anbieter Ikatu stellte damit einen werbefinanzierten Dienst zur Verfügung, mit dem man verschlüsselte und zudem selbst vernichtende Nachrichten verschicken kann. Bis auf den eigentlichen Empfänger bekommt diese niemand zu Gesicht. Zunächst schreibt man seine Mitteilung im Textfeld von Privnote, um den anschließend generierten Link per E-Mail oder Messenger zu verschicken. Nach dem Empfang der Nachricht zerstört sich diese quasi von selbst. Dritte können anschließend nicht mehr auf den Inhalt zugreifen. Wer will, kann sich den Empfang quittieren lassen. Monatlich generiert privnote.com zirka zehn Millionen Seitenzugriffe.
Betreibergesellschaft von Privnote ist Kummer gewohnt
Im Sommer letzten Jahres wurden über den ähnlich klingenden Klon namens PrivnoteS.com massenweise Phishing-Mails verschickt, um die Empfänger um ihr Bitcoin-Wallet zu bringen. Der Technik-Journalist Brian Krebs berichtete sogar darüber. Laut dem Support von Privnote benutzen Cyberkriminelle gerne und häufig den populären Namen, um mithilfe von nachgemachten Webseiten den Inhalt der Nachrichten abzugreifen, doch hier ist es noch etwas komplizierter. Unser Tech-Moderator VIP fand heraus, dass für die Besucher der Google Werbung zur Domain xn–privnot-27a.com (statt privnotē.com) weitergeleitet werden. Ende Oktober diesen Jahres registrierte die Firma Reg.ru LLC die Domain im Auftrag Unbekannter. Sitz des Webhosters ist Rostovskaya, hierzulande besser bekannt als die südrussische Großstadt Oblast Rostow.
Zusätzlich zur Google Adsense Werbung (siehe oben) für privnotē.com (xn–privnot-27a.com) stellte VIP auf der Original-Seite einen eingeschleusten Trojaner auf der Startseite der Original-Seite fest. Laut Virustotal fand die Infektion bereits vor 12 Tagen statt.
Worum geht es eigentlich? Phishing? Daten sammeln & verkaufen?
VIP vermutet, dass beide Aktivitäten bezüglich Privnote zusammen gehören zusammen. Man könne sie möglicherweise zu den Hintermännern des Prometheus-Botnetzes zurechnen. Ob man damit Scam oder Phishing betreiben will, ist noch nicht klar. Fakt ist aber: Für Cyberkriminelle würde das Einschleusen von Schadsoftware auf dem Original bzw. der Betrieb eines solchen Klons viele Möglichkeiten eröffnen. Für den Inhalt der übertragenen Nachrichten wird man sich kaum interessieren. Wohl aber für das massenhafte Eingeben von gültigen E-Mail-Adressen und anderen sensiblen Daten, die man im digitalen Graubereich gewinnbringend benutzen oder verkaufen kann.
Ikatu muss Daten der Nutzer von Privnote schützen
Die Betreibergesellschaft von Privnote, Ikatu, sollte die anonymen Hintermänner des Klons bei Google Adsense melden. Google würde dann zeitnah deren Account einstampfen. Anders ist ihnen wohl nicht beizukommen. Die genaue Serverlocation schützt derzeit der CDN-Dienstleister Cloudflare. Außerdem muss unbedingt die Schadsoftware von der Startseite des Originals verschwinden. Man kann so oder so nur hoffen, dass die mexikanische Betreibergesellschaft zum Schutz ihrer Nutzer bald aktiv wird.
Wem das Ganze zu gefährlich wird, kostenlose Alternativen für den Versand von verschlüsselten Nachrichten gibt es im Netz ja mehr als genügend.
Tarnkappe.info