Cyberkriminelle missbrauchen Werbeplattform Taboola für Malvertising

Tech-Support-Scammer nutzen die Empfehlungslösung Taboola, die häufig auf News-Sites vertreten ist. Taboola bewirbt am Ende von Nachrichtentexten andere Inhalte, darunter auch Native-Advertising-Angebote. Auch deutsche Verleger wie Axel Springer und die Südwestdeutsche Medienholding haben sich auf eine Zusammenarbeit mit dieser Werbeplattform eingelassen.

Die Sicherheitsfirma Malwarebytes stieß ausgerechnet bei Microsofts Webportal MSN.com, das Millionen von Nutzern erreicht, auf eine Malvertising-Kampagne für Microsoft-Support-Scam. Microsoft arbeitet seit 2016 mit der Plattform zusammen. Auf MSN.com führte der Klick auf eine von Taboola beworbene Story zu einer betrügerischen Tech-Support-Seite. Diese warnte vor einem PC-Absturz und drängte zum Anruf einer Telefonnummer, um sofortige Hilfe zu erhalten. Wie üblich ließ sich die Seite nicht schließen, weil ihr Code die Warnung permanent wiederholte. Die Hintermänner zählen offenbar darauf, dass sich genug Nutzer damit verunsichern lassen und eine Supportnummer anrufen, hinter der sie zu Unrecht Microsoft vermuten.

Die seit Jahren als Support-Scam bekannte Betrugsmasche richtet sich vor allem an ungeübte PC-Anwender und wird immer ausgefeilter. Cyberkriminelle geben sich dabei als vermeintliche Support-Mitarbeiter großer IT-Firmen aus, um dem Nutzer kostenpflichtige Dienstleistungen unterzujubeln. Oft wird dabei allerdings mittels einer Fernwartungssoftware Malware auf den Rechner gespielt, über die die Betrüger auf das Gerät zugreifen und Daten ausspähen können. Es kommt auch vor, dass sie den PC sperren und erst nach Zahlung eines Lösegeldes wieder freigeben.

Malwarebytes informierte Taboola über die betrügerische Werbung. Die Werbeplattform erklärte daraufhin, sie habe mit einer internen Überprüfung des genannten Anbieters begonnen. Nachfragen galten Taboolas Umgang mit Clickbait und Fake News, ob empfohlene Inhalte auf Malware oder Scams überprüft werden, und ob es eine Kontaktadresse für sicherheitsbezogene Meldungen gibt. Das Unternehmen äußerte sich jedoch nur zum Fake-News-Problem, zu dem Taboola-Gründer Adam Singolda schon zuvor in einem Blogeintrag Stellung bezogen hatte.

Wie die weiteren Recherchen der Sicherheitsexperten ergaben, beginnen Cyberkriminelle eine solche Kampagne mit der Erstellung von sensationsheischenden Inhalten, wie auch von anderen Kunden der Plattform gewohnt. Sie schaffen sich damit ein Profil, um das System mit „heißen“ Inhalten für ihre Zwecke nutzen zu können. Die Themen leiten sie von echten und schockierenden Nachrichten ab, mit denen sie auf zahlreiche Abrufe hoffen können.

Der fragliche Malvertiser nutzte dabei den Domainnamen Infinitymedia.Online, der in Indien über die E-Mail-Adresse bhanutomar90nk@gmail.com registriert wurde. Mit derselben Adresse wurden in jüngster Zeit außerdem Webdomains für Tech-Support-Scams wie „micro-soft-system-alert.online“ oder ms-support-alert1.website“ angemeldet. Die Hintermänner registrierten zugleich vorgetäuschte News-Sites, deren Namen sich an tatsächliche Publikationen anlehnten wie „uk-times-news.online“, „thenewyorktimesnews.xyz“ oder „hollywoodreporter.online“.

Ein Conditional Redirect als serverseitiger Mechanismus sorgte dafür, dass nicht jeder Klick auf eine der über Taboola präsentierten Geschichten zu Support-Scam führte. Wenn der Server bestimmen konnte, dass eine Anfrage von einem Bot oder Crawler kam, gab es entweder keine Antwort oder es wurde der erwartete Lockvogel-Inhalt ausgegeben. Zu einer Scam-Website weitergeleitet wurden aber beispielsweise Nutzer, deren IP-Adresse erstmals den Server erreichte, die mit Internet Explorer surften und sich in Nordamerika befanden.

Auch wenn etwas auf einer seriösen Website beworben wird, sollten sich Nutzer nicht völlig sicher fühlen, rät Sicherheitsanalyst Jérôme Segura von Malwarebytes in einem Blogeintrag. „Selbst wenn Nutzer einer Plattform vertrauen, sollten sie darauf achten, was sie anklicken – und Vorsicht walten lassen bei sensationsheischenden Geschichten, die als Clickbait dienen könnten.“