Privnote erneut mit Klon und technischen Problemen

Für einen Klon von Privnote schalten Hacker Werbung bei Google Adsense. Außerdem haben sie einen Trojaner auf der Original Seite platziert.

In Pocket speichern
underground
Foto Adrien, thx!

Schon wieder versucht jemand den Ruf des Online-Dienstleisters Privnote für seine Zwecke zu missbrauchen. Alle eingegebenen Daten beim Klon überträgt man direkt über xn–privnot-27a.com auf russische Server. Außerdem haben Cyberkriminelle vor 12 Tagen Schadsoftware auf der Startseite von Privnote.com eingeschleust.

Cyberkriminelle schalten Werbung bei Google Adsense für ihren Klon

Eigentlich ist der mexikanische Dienst Privnote eine sinnvolle Angelegenheit. Die Seite wird im digitalen Untergrund recht häufig genutzt. Anbieter Ikatu stellte damit einen werbefinanzierten Dienst zur Verfügung, mit dem man verschlüsselte und zudem selbst vernichtende Nachrichten verschicken kann. Bis auf den eigentlichen Empfänger bekommt diese niemand zu Gesicht. Zunächst schreibt man seine Mitteilung im Textfeld von Privnote, um den anschließend generierten Link per E-Mail oder Messenger zu verschicken. Nach dem Empfang der Nachricht zerstört sich diese quasi von selbst. Dritte können anschließend nicht mehr auf den Inhalt zugreifen. Wer will, kann sich den Empfang quittieren lassen. Monatlich generiert privnote.com zirka zehn Millionen Seitenzugriffe.

Goldesel.to Google Safe Browsing

Lesen Sie auch

Betreibergesellschaft von Privnote ist Kummer gewohnt

Im Sommer letzten Jahres wurden über den ähnlich klingenden Klon namens PrivnoteS.com massenweise Phishing-Mails verschickt, um die Empfänger um ihr Bitcoin-Wallet zu bringen. Der Technik-Journalist Brian Krebs berichtete sogar darüber. Laut dem Support von Privnote benutzen Cyberkriminelle gerne und häufig den populären Namen, um mithilfe von nachgemachten Webseiten den Inhalt der Nachrichten abzugreifen, doch hier ist es noch etwas komplizierter. Unser Tech-Moderator VIP fand heraus, dass für die Besucher der Google Werbung zur Domain xn–privnot-27a.com (statt privnotē.com) weitergeleitet werden. Ende Oktober diesen Jahres registrierte die Firma Reg.ru LLC die Domain im Auftrag Unbekannter. Sitz des Webhosters ist Rostovskaya, hierzulande besser bekannt als die südrussische Großstadt Oblast Rostow.

privnote

Zusätzlich zur Google Adsense Werbung (siehe oben) für privnotē.com (xn–privnot-27a.com) stellte VIP auf der Original-Seite einen eingeschleusten Trojaner auf der Startseite der Original-Seite fest. Laut Virustotal fand die Infektion bereits vor 12 Tagen statt.

Worum geht es eigentlich? Phishing? Daten sammeln & verkaufen?

VIP vermutet, dass beide Aktivitäten bezüglich Privnote zusammen gehören zusammen. Man könne sie möglicherweise zu den Hintermännern des Prometheus-Botnetzes zurechnen. Ob man damit Scam oder Phishing betreiben will, ist noch nicht klar. Fakt ist aber: Für Cyberkriminelle würde das Einschleusen von Schadsoftware auf dem Original bzw. der Betrieb eines solchen Klons viele Möglichkeiten eröffnen. Für den Inhalt der übertragenen Nachrichten wird man sich kaum interessieren. Wohl aber für das massenhafte Eingeben von gültigen E-Mail-Adressen und anderen sensiblen Daten, die man im digitalen Graubereich gewinnbringend benutzen oder verkaufen kann.

privnote logo

Ikatu muss Daten der Nutzer von Privnote schützen

Die Betreibergesellschaft von Privnote, Ikatu, sollte die anonymen Hintermänner des Klons bei Google Adsense melden. Google würde dann zeitnah deren Account einstampfen. Anders ist ihnen wohl nicht beizukommen. Die genaue Serverlocation schützt derzeit der CDN-Dienstleister Cloudflare. Außerdem muss unbedingt die Schadsoftware von der Startseite des Originals verschwinden. Man kann so oder so nur hoffen, dass die mexikanische Betreibergesellschaft zum Schutz ihrer Nutzer bald aktiv wird.

Wem das Ganze zu gefährlich wird, kostenlose Alternativen für den Versand von verschlüsselten Nachrichten gibt es im Netz ja mehr als genügend.

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.