In Zeiten der Coronavirus-Pandemie und der damit einhergehenden Maßnahmen tauchen auch immer mehr Fake-Seiten auf, die gutgläubige Nutzer austricksen wollen. Auch Fake-Seiten für die Corona-Warn-App, die mit entsprechenden Domain-Namen daher kommen, wird es geben. Daher heute eine Warnung, die mich über ein Sicherheitsunternehmen erreicht hat. Die haben 10 Lookalike-Domains vorsorglich auf eigene Kosten registriert, um einem Missbrauch vorzubeugen – in den 20 Millionen Projektkosten für die App-Entwicklung war offenbar kein Geld für so was.
Anzeige
Gestern hatte ich ja über die Freigabe der deutschen Corona-Warn-App durch das Robert Koch-Institut berichtet (siehe Die (deutsche) Corona Warn-App des RKI). Dort sind auch die offiziellen Download-Links aus den Stores für Android und iOS zu finden.
(Corona Warn-App des RKI für Android)
Ist mit riesigem medialen Aufgebot gestern über die Bühne gelaufen. Die Verantwortlichen schwelgten gestern im 'Bewusstsein, wie toll das alles sei'. Ich mag das nicht niedermachen – es ist eine gute Vorlage, mal schauen was wird. Da nehme ich die 20 Millionen Euro, die dieses Projekt in der Entwicklung gekostet hat, erst einmal nur zur Kenntnis. Was aber stört: Die Verantwortlichen haben zwar 20 Millionen Euro verbraten, aber essentielle Anfängerfehler gemacht – und vergessen, Domains, die Leute eventuell irrtümlich auf Grund des Domain-Namen aufrufen könnten, um sich über die App zu informieren – zu registrieren. Damit könnten Cyber-Kriminelle die Domains missbrauchen.
Lookalike-Domains: Ein Sicherheitsanbieter reagiert
Anzeige
Kurz nach erscheinen des Artikels erreichte mich eine Mail von Chris Wojzechowski, mit dem ich gelegentlich im Austausch stehe. Chris ist für das Gelsenkirchener Cyber Security Unternehmen AWARE7 als Geschäftsführer tätig. In seiner Mail mit dem Titel 'Lookalike Domains mit der Corona Warn App' schrieb er mir:
Bestimmt sorgt die Corona Warn App auch bei dir für viel Action. Wir haben die Gelegenheit genutzt um 10 Domains vom Markt zu nehmen die potenziell für Betrug genutzt hätten werden können.
Vielleicht hast du ja Lust das Thema aufzugreifen um deine Leser auf die wohl kommende Betrugsmasche zu sensibilisieren. Wir haben eine kleine Infoseite eingerichtet zu dem Problem.
Chris hat die Webseite corona-warm-app.de für diesen Zweck aufgesetzt und bringt dort Warnungen vor Sites, die unter falscher Flagge 'Corona-Warn-App' segeln und möglicherweise oder wahrscheinlich Betrug im Schilde führen. Dazu schreibt AWARE7:
10 BRANDGEFÄHRLICHE CORONA DOMAINS
Am 16.06.2020 ist die offizielle Corona Warn App erschienen. Leider wurde im Rahmen des 20 Millionen Euro Projektes nicht ausreichend Domains registriert, um einen Missbrauch der aktuellen Situation zu verhindern. Die AWARE7 GmbH zahlt, um Schäden zu verhindern und Verwirrung zu vermeiden, aus eigener Tasche das Geld für mindestens ein Jahr.
AWARE7 hat in diesem Zusammenhang zumindest einmal folgende Domains (deren Namen sind naheliegend) registriert, um einen Missbrauch zu verhindern.
- corona-warm-app.de
- curona-warn-app.de
- corona-warn-app-de.com
- covid-warn-app.de
- corona-vvarn-app.de
- corona-warn.info
- warn-app.info
- coronavirus-warn-app.de
- covid19-warn-app.de
- conora-warn-app.de
Auf der Webseite corona-warm-app.de finden sich weitere Informationen zum Thema. Und das Ganze ist nicht nur ein theoretischer Ansatz – ich habe gerade auf Facebook von Chris erfahren, dass die registrierten Domains offenbar wirklich aufgerufen werden.
Vielleicht ist die Information ja für den einen oder anderen Blog-Besucher von Interesse. Teilt ggf. diese Info, um vor dem Risiko zu warnen. Ich finde die Aktion von AWARE7 nicht schlecht – besser wäre es gewesen, wenn die Spezialisten von SAP, Telekom und Bundesregierung ihre Hausaufgaben gemacht und ein paar Euro zur Registrierung der Lookalike-Domains investiert hätten.
Anzeige
Das das "Geld" dafür nicht im Projektpreis von 10 Mio. nicht vorhergesehen war glaube ich nicht! Domains kosten heutzutage nix mehr… "Die" haben das schlichtweg verpennt, da bin ich mir sicher :(
Soll doch die AWARE7 GmbH dem Meister Spahn eine Rechnung dafür schicken zuzügl. einem vernünftigen Abschlag für's mitdenken .
Ist halt eher die Frage wie viele Domains man registrieren will. Mir würden auch noch einige einfallen. Ob das wirklich Sinn macht ist eine andere Frage. Es werden immer Möglichkeiten übrig bleiben die man ausnutzen könnte.
Am wichtigsten ist eigentlich, dass die App in den App-Stores gut gefunden wird.
Wären kryptografisch gesicherte Domains nicht eine Lösung?
Hm…
Warum prüfen die Browser nicht nach, ob das HTTPS zertfikat des Servers zum RKI gehört?
Wie bekomme ich eine solche Fake-App eigentlich in den Google-Store?
Preiswerte Werbeaktion dieses "Sicherheits Anbieters"…
Bisher hatte ich von dem Laden nichts gehört….