{"id":282251,"date":"2023-06-09T00:11:00","date_gmt":"2023-06-08T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282251"},"modified":"2023-06-07T16:35:45","modified_gmt":"2023-06-07T14:35:45","slug":"facebook-clickbait-betrger-nutzen-google-cloud-run-um-nutzer-zu-tuschen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/09\/facebook-clickbait-betrger-nutzen-google-cloud-run-um-nutzer-zu-tuschen\/","title":{"rendered":"Facebook-Clickbait: Betr&uuml;ger nutzen Google Cloud Run, um Nutzer zu t&auml;uschen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=30416\" target=\"_blank\" rel=\"noopener\">English<\/a>]Online-Kriminelle denken st\u00e4ndig \u00fcber M\u00f6glichkeiten nach, um Opfer \u00fcber Social-Media-Plattformen in die Falle zu locken. Hauptziel ist es, Nutzerinnen und Nutzer dazu zu bringen, auf b\u00f6sartige Links zu klicken. Dabei lauern sie h\u00e4ufig im Hintergrund und nutzen raffinierte Taktiken, um ihre Opfer zu t\u00e4uschen. Das Threat-Intelligence-Team von Malwarebytes hat eine neue Betrugsmasche auf Facebook entdeckt, die Clickbaiting verwendet und Nutzer mit raffinierten Tricks in eine Geldfalle lockt. Das Besondere daran: Die Betrugsmasche ist auf der Infrastruktur von Google Cloud Run aufgebaut.<\/p>\n<p><!--more--><\/p>\n<p>Wie mir die Sicherheitsforscher von Malwarebytes mitteilten, ist das Threat-Intelligence-Team bei den j\u00fcngsten Untersuchungen auf ein ausgekl\u00fcgeltes Betrugsschema auf Facebook gesto\u00dfen. Klicken Facebook-Nutzer auf bestimmte Beitr\u00e4ge, werden sie direkt auf externe Webseiten weitergeleitet, deren einziges Ziel es ist, sie mit gef\u00e4lschten Browser-Warnungen um hohe Geldbetr\u00e4ge zu betr\u00fcgen.<\/p>\n<p>\"Das Besondere an dieser Kampagne ist der Missbrauch von Google Cloud Run, um alle paar Minuten neue b\u00f6sartige Links zu generieren\", erkl\u00e4rt J\u00e9r\u00f4me Segura, Senior Director of Threat Intelligence bei Malwarebytes. \"Wir hatten zuvor noch nie einen technischen Support-Betrug gesehen, der auf der serverlosen Plattform von Google gehostet wurde, schon gar nicht in diesem Ausma\u00df.\" Malwarebytes meldete die Vorf\u00e4lle sowohl Facebook als auch Google.<\/p>\n<h2>Clickbait-Artikel mit b\u00f6sartigen Links<\/h2>\n<p>F\u00fcr Facebook ist es von entscheidender Bedeutung, dass seine Nutzer Inhalte teilen, sei es in Form von Fotos, Videos oder Links zu verschiedenen Beitr\u00e4gen. Wenn Nutzer jedoch Links zu externen Webseiten posten, hat Facebook keine Kontrolle mehr, was dort passiert und kennt auch m\u00f6gliche Gefahren, die mit einem Besuch dieser externen Webseite verbunden sind, nicht.<\/p>\n<p>Das Threat-Intelligence-Team von Malwarebytes hat jetzt mehrere Facebook-Konten identifiziert, die eine Reihe von Beitr\u00e4gen gepostet haben. Unter den Beitr\u00e4gen waren vor allem Clickbait-Artikel und Inhalte mit Nachrichtenbezug. Es ist unklar, ob diese Accounts kompromittiert wurden oder nicht. Auff\u00e4llig ist jedoch, dass einer der identifizierten Accounts mehrere b\u00f6sartige Links zu unterschiedlichen Zeitpunkten gepostet hat. Dies deutet darauf hin, dass das betreffende Konto m\u00f6glicherweise von einem Bedrohungsakteur kontrolliert wurde.<\/p>\n<h2>Gef\u00e4lschte Seiten als Tarnmethode<\/h2>\n<p>Benutzer, die diese URLs der geposteten Beitr\u00e4ge \u00fcber ein VPN oder aus einem Nicht-Zielland aufrufen, sehen eine scheinbar normale Nachrichtenseite, die keinen offensichtlichen Betrug enth\u00e4lt. Bei n\u00e4herer Betrachtung stellt sich jedoch heraus, dass es sich um eine gef\u00e4lschte Seite handelt. Im Wesentlichen handelt es sich um dieselben Inhalte, die lediglich unter einem anderen Domainnamen pr\u00e4sentiert werden. Dies ist eine bekannte Tarnmethode, mit der Betr\u00fcger gef\u00e4lschte Seiten erstellen, um Online-Plattformen und Sicherheitstools zu t\u00e4uschen.<\/p>\n<p>Klickt man jedoch als echter Nutzer (nicht als Bot oder \u00fcber ein VPN) auf einen Facebook-Post, wird auf der Zielseite etwas ganz anderes angezeigt. Das liegt daran, dass sogenannte Cloaking-Domains eine <a href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Status\/302\" target=\"_blank\" rel=\"noopener\">302-Weiterleitung<\/a> verwenden. Dabei handelt es sich um eine serverseitige Anweisung, die sofort und nahtlos eine andere Website l\u00e4dt.<\/p>\n<h2>Masche basiert auf Google Cloud Run Infrastruktur<\/h2>\n<p>Auff\u00e4llig bei der Betrugsmasche ist, dass die gef\u00e4lschten Seiten auf <a href=\"https:\/\/cloud.google.com\/run\/docs\/overview\/what-is-cloud-run?hl=de\" target=\"_blank\" rel=\"noopener\">Google Cloud Run<\/a> gehostet wurden. Entwickler m\u00fcssen so lediglich einen Container erstellen und ihn als Mikrodienst bereitstellen, ohne dass daf\u00fcr ein Server erforderlich ist. Dadurch k\u00f6nnen sie sich vollst\u00e4ndig auf die Entwicklung ihres Codes fokussieren. F\u00fcr Betr\u00fcger stellt Google Cloud Run somit eine weitere Plattform dar, die sie mit geringen Kosten f\u00fcr ihre eigenen Zwecke missbrauchen k\u00f6nnen.<\/p>\n<p>Durch eine l\u00e4ngerfristige Beobachtung der Cloaking-Domains konnte Malwarebytes feststellen, dass der Angreifer einen automatisierten Task eingerichtet hat, der alle f\u00fcnf Minuten eine neue Cloud Run URL generiert. Diese URLs sind sofort verf\u00fcgbar und dienen als Cloaking-Domains f\u00fcr b\u00f6sartige Weiterleitungen. Innerhalb weniger Tage konnte Malwarebytes Tausende von b\u00f6sartigen URLs identifizieren.<\/p>\n<p>Das Besorgniserregende dabei ist, dass nicht nur die URLs st\u00e4ndig wechseln, sondern auch die verwendeten IP-Adressen mit anderen Kunden geteilt werden. Dies bedeutet, dass herk\u00f6mmliche Sicherheitsprodukte, die auf einer Domain- oder IP-Blockliste basieren, mit dieser ausgekl\u00fcgelten Kampagne nicht Schritt halten k\u00f6nnen.<\/p>\n<h3>Clickbait-Artikel mit b\u00f6sartigen Links<\/h3>\n<p>Soziale Medien sorgen zwar f\u00fcr gute Unterhaltung und sind gleichzeitig eine gute M\u00f6glichkeit, mit Familie und Freunden in Kontakt zu bleiben. Die Nutzung dieser Plattformen birgt jedoch auch einige Risiken. Gerade Clickbait-Artikel sind ber\u00fcchtigt daf\u00fcr, dass sie zu verschiedenen gef\u00e4lschten Angeboten und b\u00f6sartigen Webseiten f\u00fchren. Ein weiteres Problem ist, dass sich Clickbait-Artikel schnell verbreiten k\u00f6nnen, wenn die Opfer versehentlich Links mit ihren Kontakten teilen. Die Betr\u00fcger wissen nat\u00fcrlich genau, wie sie bestimmte Bev\u00f6lkerungsgruppen wie Senioren oder Jugendliche ansprechen und mit irref\u00fchrenden Facebook-Posts k\u00f6dern k\u00f6nnen.<\/p>\n<p>Weitere Einblicke in die technischen Details der Betrugsmasche finden sich im <a href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/06\/thousands-of-malicious-google-cloud-run-instances-deployed-to-scam-facebook-users\" target=\"_blank\" rel=\"noopener\">Blog von Malwarebytes<\/a>. Die Sicherheitsforscher weisen darauf hin, dass der <a href=\"https:\/\/www.malwarebytes.com\/browserguard\" target=\"_blank\" rel=\"noopener\">Malwarebytes Browser Guard<\/a> ist in der Lage, Nutzer gegen diese Angriffe zu sch\u00fctzen \u2212 egal wie oft die Betr\u00fcger die Google Cloud Run URLs \u00e4ndern. Die integrierte heuristische Fraud-Engine erkennt und blockiert sch\u00e4dlichen Code in Echtzeit.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Online-Kriminelle denken st\u00e4ndig \u00fcber M\u00f6glichkeiten nach, um Opfer \u00fcber Social-Media-Plattformen in die Falle zu locken. Hauptziel ist es, Nutzerinnen und Nutzer dazu zu bringen, auf b\u00f6sartige Links zu klicken. Dabei lauern sie h\u00e4ufig im Hintergrund und nutzen raffinierte Taktiken, um &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/09\/facebook-clickbait-betrger-nutzen-google-cloud-run-um-nutzer-zu-tuschen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282251","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282251"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282251\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}