GoDaddy dreht 15.000 Betrüger-Subdomains ab

Der Registrar und Webhoster GoDaddy http://godaddy.com hat rund 15.000 Subdomains abgedreht, die von Betrügern zur Vermarktung dubioser Wunderpillen von Diät- bis zu Dopingmitteln missbraucht wurden. [...]

Die gehackten Accounts wurden gezielt zur Vermarktung vermeintlicher Wunderpillen verwendet. (c) pixabay
Die gehackten Accounts wurden gezielt zur Vermarktung vermeintlicher Wunderpillen verwendet. (c) pixabay

Die Kriminellen hatten offenbar die Zugangsdaten legitimer Kunden gestohlen und Seiten erstellt, die dann in Spam-Kampagnen mit Millionen Müll-Mails zum Einsatz kamen. Entdeckt hat das Netzwerk die Unit 42 hdes Security-Spezialisten Palo Alto Networks.

Großes Betrugsnetzwerk

Unit-42-Forscher Jeff White ist den Betrugs-Domains auf die Spur gekommen, als er eine große Spam-Kampagne von betrügerischen Affiliate-Marketern untersucht hat. Die Müll-Mails haben zu auffallend ähnlichen Seiten geführt, die eigentlich völlig unterschiedliche Produkte wie Diätpillen, Gehirnbooster und Dopingmittel anpreisen. Als Verkaufstaktik sind insbesondere frei erfundene Promi-Testimonials von Berühmtheiten wie Stephen Hawking, Jennifer Lopez oder Gwen Stefani zum Einsatz gekommen. Das Ziel: Opfer sollten dazu zu verleitet werden, sich unwissentlich für teure, sinnlose Warenabos anzumelden.

Doch haben die Betrüger in diesem Fall nicht einfach nur direkt auf Wegwerf-Domains gesetzt. „Als ich angefangen habe, nachzuforschen, bin ich schnell auf hunderte Domains gestoßen, von denen viele kompromittiert schienen und eigentlich nicht für Spam gedacht“, erklärt White. Die bei GoDaddy gehosteten, eigentlich legitimen Subdomains wurden sichtlich für Weiterleitungen missbraucht. Die Hintermänner der Betrugskampagne haben offenbar mit gestohlenen Zugangsdaten gearbeitet, die sie sich entweder per Phishing verschafft oder durch sogenanntes „Credential Stuffing“ gefunden hatten.

Einheitliches Passwort leicht zu missbrauchen

Beim Credential Stuffing versuchen Kriminelle, ob auf einer Seite gestohlene Zugangsdaten bestimmter User auch auf anderen von ihnen genutzten Webseiten funktionieren. Immerhin gibt es viele Menschen, die das gleiche Passwort für verschiedenste Dienste nutzen. Mit eben diesem lassen sich dann alle Accounts missbrauchen – und gegebenenfalls auch eine mit diesen Zugangsdaten verwaltete Subdomain bei GoDaddy. Allerdings ist nicht klar, bei welchem Anteil der Betrugsseiten die Kriminellen tatsächlich auf diese Taktik gesetzt haben.

Jedenfalls hat GoDaddy laut Unit 42 bereits im März dieses Jahres rund 15.000 betroffene Subdomains abgeschaltet und die legitimen Inhaber der entsprechenden Accounts aufgefordert, ihre Passwörter zurückzusetzen. Für Nutzer, die der Spam-Kampagne auf den Leim gegangen sind, bringt das freilich wenig; sie müssen sich damit herumschlagen, dass ihre Abozahlungen eingestellt werden. Damit Usern das nicht (wieder) passiert, verweist White im Zusammenhang mit dubiosen E-Mails zu Wunderpillen auf eine alte Faustregel: „Wenn es zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*