Kürzlich erhielten ESET-Forschende aus Südamerika eine Nachricht per WhatsApp, die 1000 GB „kostenfreies Internet“ versprach. Natürlich handelte es sich dabei um eine Betrugsmasche, dennoch wollte man sich die Sache einmal genauer anschauen.
Abbildung 1: Die betrügerische Nachricht
Das an der Nachricht auffälligste: Die angegebene URL ist keine offizielle WhatsApp-Domain. Zwar spielen Unternehmen gelegentlich Werbeaktionen über Dritte aus. Allerdings sollte man sich auf den offiziellen Unternehmenswebseiten immer rückversichern, dass die Werbe-Aktion richtig und kein Betrug ist.
Wer auf den Link klickt, wird zu einer Webseite weitergeleitet, auf der zunächst eine Reihe von Fragen beantwortet werden sollen – beispielsweise wie man auf die (fake) Werbe-Aktion aufmerksam geworden ist oder welche Meinung man zu WhatsApp hat.
Abbildung 2: Die Umfrage
Während der Beantwortung der Fragen wird man dazu aufgefordert, mindestens 30 weitere Kontakte zur Umfrage einzuladen, um sich für einen größeren Gewinn zu qualifizieren. Damit soll allerdings nur die Reichweite des Betrugs gesteigert werden.
Abbildung 3: Ein Trick soll die Reichweite des Betrugs steigern.
Was versuchen die Betrüger hinter dieser Fake-Werbe-Aktion zu erreichen? Sehr wahrscheinlich handelt es sich bei dieser Kampagne um Klickbetrug. Diese Monetarisierungsmethode beruht darauf, dass Werbeklicks durch die Personen verursacht werden, die auf den Link in der WhatsApp-Nachricht tippen. Dadurch entstehen Einnahmen bei den Cyber-Betrügern.
Die ESET-Forschenden fanden bisher zwar keinen Anhaltspunkt dafür, dass ein Klick zur Installation von schädlicher Software oder zu Phishing führte. Das bedeutet aber nicht, dass sich das in Zukunft nicht ändert.
Unter der Domain sind zudem viele weitere betrügerische Werbe-Aktionen zu finden. Beispielsweise gibt es Betrugskampagnen zu Adidas, Nestlé und Rolex, um nur ein paar zu nennen. Ein Auszug aus einer Google-SERP (Abb. 4) zeigt, wie die Cyberkriminellen versuchen, ihren Profit durch Klickbetrug versuchen zu multiplizieren.
Abbildung 4: Google Suchergebnisseite zeigt verschiedene Betrugskampagnen der Cyberkriminellen.
Vorsicht vor ominösen Links in Nachrichten
Der hier geschilderte Klickbetrug mithilfe einer Fake WhatsApp-Werbekampagne ist kein Einzelfall. Bereits im Jahr 2017 schrieben wir über eine ähnliche WhatsApp-Betrugsmasche. Auch damals wurde kostenfreies Internet versprochen. Stattdessen landeten die Opfer des Klickbetrugs auf Webseiten, über die teure Premium-SMS-Dienste abonniert oder Apps von Dritten auf dem Smartphone installiert werden sollten.
Im Jahr 2018 verwendeten Cyberkriminelle die gleiche Betrugsmasche. Damals lockte man mit kostenfreien Adidas Sneaker. Auch wenn sie die Köder ändern, bleibt die Absicht dahinter doch dieselbe: viel Profit mit möglichst wenig Aufwand generieren.
Der Angriffsvektor für die Klickbetrug-Maschen ist stets Social Engineering. Die Cyber-Betrüger wissen genau, welche Köder-Aktionen interessant genug sind, damit möglichst viele Menschen auf einen Klickbetrug hereinfallen.
Wer diesen Betrugsmaschen nicht zum Opfer fallen möchte, sollte auf Warnhinweise achten – wie beispielsweise auf die ominöse Domain in der WhatsApp-Nachricht. Außerdem gilt so gut wie immer: Wenn etwas zu gut erscheint, als dass es wahr sein kann, steckt dahinter höchstwahrscheinlich eine Betrugsmasche.
