Betrügerische – als Werbemittel getarnte – Browser-Push-Benachrichtigungen zu Phishing-Zwecken werden immer beliebter. Der Anteil betroffener Nutzer wächst bis heute, insbesondere im laufenden Jahr, kontinuierlich an. Eine aktuelle Kaspersky-Studie zeigt, dass deren monatliche Zahl von 1.722.545 im Januar auf 5.544.530 im September 2019 um mehr als das Dreifache gestiegen ist.
Der Anteil deutscher User lag bei elf Prozent und ist in den vergangenen Monaten von 200.624 auf 530.485 um das 2,6-fache angestiegen. Dabei waren 51 Prozent aller Adware-Angriffe Browser-Benachrichtigungen zuzuschreiben. Laut Anbieter Kaspersky haben deren Schutz-Produkte in den ersten neun Monaten des Jahres 2019 mehr als
14 Millionen Nutzer davor geschützt, sich unerwünschte Benachrichtigungen von Websites anzeigen zu lassen.
Browser-Push-Benachrichtigungen wurden vor einigen Jahren populär, um Website-Besucher mit regelmäßigen Updates über neue Inhalte auf dem Laufenden zu halten. Heute werden sie jedoch häufig dazu verwendet, Anwender mit unaufgeforderten Anzeigen zu bombardieren oder sie zum Herunterladen bösartiger Software zu verleiten. Denn Browser-Push-Benachrichtigungen sind relativ einfach für Betrügereien auf Basis gängiger Social Engineering-Techniken zu missbrauchen, weshalb ihre wachsende Popularität unter Cyberkriminellen für die Kaspersky-Experten nicht völlig unerwartet kam.
Da die Zustimmung von Internetnutzern erforderlich ist, um mit dem Versenden von Benachrichtigungen an sie beginnen zu können, haben sich Angreifer verschiedene Taktiken ausgedacht, um User zu täuschen und dazu zu bewegen, sich für Abonnements anzumelden. Zu den erkannten Optionen gehören:
Weitergabe der Abonnementzustimmung wird als weitere Aktion getarnt; die Schaltflächen “Akzeptieren” und “Ablehnen” werden bei der Anmeldung ausgetauscht; Anzeigen von Benachrichtigungen beliebter Websites, die zu Phishingzwecken kopiert wurden; Anzeigen betrügerischer Pop-up-Fenster für Abonnements auf vermeintlich seriösen Websites.
Nachdem die Zustimmung des Nutzers eingeholt wurde, beginnen Angreifer, ihn mit Nachrichten zu bombardieren. Die am wenigsten schädlichen (und doch beliebtesten) Optionen sind Clickbait-Anzeigen zu emotional aufgeladenen gesellschaftlichen Themen, während andere betrügerische Meldungen – wie Lotteriegewinne, Geldangebote im Austausch für die Durchführung einer Umfrage oder ähnliches – enthalten. Ausgeklügeltere Systeme zielen mit Phishing-Techniken darauf ab, Nutzer um ihr Geld zu bringen.
Lars Wallerang