{"id":300598,"date":"2024-09-01T00:02:00","date_gmt":"2024-08-31T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300598"},"modified":"2024-12-06T18:30:09","modified_gmt":"2024-12-06T17:30:09","slug":"warnung-fake-trojaner-alarm-hier-ber-facebook-anzeigen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/01\/warnung-fake-trojaner-alarm-hier-ber-facebook-anzeigen\/","title":{"rendered":"Warnung: Fake-Trojaner-Alarm (hier über Facebook-Anzeigen)"},"content":{"rendered":"

[English<\/a>]Kurze Information f\u00fcr Facebook-Nutzer. Es deutet sich an, dass eine Kampagne \u00fcber Anzeigen auf Facebook l\u00e4uft, die dem Nutzer einen Fake-Trojaner im Browser vorspiegelt und diesen auffordert einen \"Microsoft Supportseite\" anzurufen. Das ist nat\u00fcrlich auch Fake und es l\u00e4uft auf Betrug hinaus. Mir ist die Tage eine solche Anzeige untergekommen, und ich stelle es kurz im Blog ein.<\/p>\n

<\/p>\n

Der Browser meldet einen Trojaner<\/h2>\n

\"\"Ich konnte es kaum glauben – ich habe am 29. August 2024 auf Facebook einige Postings aus IT-Gruppen sowie PMs von Blog-Lesern \u00fcberpr\u00fcft, aber bewusst nichts angeklickt. Es waren lediglich eine Reihe Tabs (von Facebook und anderen Webseiten) im Browser offen. Pl\u00f6tzlich \u00f6ffnete sich ein Fenster, welches mir einen Trojaner auf dem System suggerierte.<\/p>\n

\"Fake-Trojaner-Alarm<\/a>
\nFake-Trojaner-Alarm \u00fcber Facebook-Anzeigen; zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

An dieser Stelle war klar, dass dies der Versuch war, den Nutzer zu \u00fcbert\u00f6lpeln und die Fake \"Sicherheits-Hotline\" von Microsoft anzurufen. Was da bei einem Anrufversuch passiert, ist mir unklar. Ich konnte es nicht im Detail analysieren. M\u00f6glicherweise versucht das Popup auch den Benutzer in seiner Verzweiflung zum Anklicken der Schaltfl\u00e4che Erlauben <\/em>oder Leugnen<\/em> zu bewegen und es wird dann ein Script mit weiteren Aktionen ausgef\u00fchrt.<\/p>\n

\u00dcber den Taskmanager beendet<\/h2>\n

An dieser Stelle war ich erst einmal perplex, weil ich ad-hoc keine Schaltfl\u00e4che zum Schlie\u00dfen sehen konnte – die Tabs waren ausgeblendet. Dass ich im Bereich des Popups oder der Schaltfl\u00e4chen nichts anklicke, war klar. Ich hab dann noch was durch Anklicken der Favoritenleiste versucht, war aber sofort im Vollbildmodus – die ESC-Taste zum Schlie\u00dfen dieses Modus reagierte meiner Erinnerung auch nicht mehr. Ich habe dann \u00fcber Strg+Alt+Entf<\/em> das Kontextmen\u00fc der Windows-Shell aufgerufen und den Befehl zum Wechsel in den Taskmanager gew\u00e4hlt.<\/p>\n

Dies beendete den Vollbildmodus und der Desktop erschien mit dem Fenster des Taskmanager. Ich habe danach nochmals versucht, zum Browserfenster zu wechseln, war aber erneut in der Situation, keinen Tab zu finden, \u00fcber den ich diese Fake-Anzeige schlie\u00dfen konnte. Ich habe dann noch schnell einen Screenshot zur Dokumentation angefertigt und dann im Taskmanager den Prozess f\u00fcr die Anzeige angeklickt und diesen beenden lassen. Damit war der gesamte Chromium-Clone abgeschossen.<\/p>\n

Wo kommt die Anzeige her?<\/h2>\n

Im Rahmen der Erstellung dieses Blog-Beitrags habe ich noch versucht, etwas mehr herauszubekommen. So wollte ich ergr\u00fcnden, was hinter der Anzeige steckt und woher die Anzeige kam. Ein kurzer Versuch, die Ziel-URL im Verlauf des Browsers zu finden, scheiterte\u00a0 – ich gehe davon aus, dass alles per Script erfolgte, welches dann obiges Popup anzeigte.<\/p>\n

Bei einer schnellen Recherche habe ich keine Infos zur angegebenen Telefonnummer gefunden – die Vorwahl\u00a0 03830 geh\u00f6rt zur Insel Hiddensee. Wie oben erw\u00e4hnt, habe ich keine Schaltfl\u00e4che angeklickt, um irgend etwas auszul\u00f6sen. Ein Rechtsklick funktionierte im Popup-Bereich meiner Erinnerung nach nicht (sonst h\u00e4tte ich mir den Quellcode angesehen).<\/p>\n

In der URL aus obigen Screenshot l\u00e4sst sich aber aus dem String ?utm_medium=paid&utm_scouce=fb&utm_id=120213364759770742<\/em> erkennen, dass dieses Popup \u00fcber eine bezahlte Anzeige auf Facebook ausgespielt wurde. Und anhand der URL im obigen Screenshot erkenne ich aber, dass die URL auf Inhalte unter web.core.windows.net<\/em> verweist, dort wurde die Fake-Warnung ausgel\u00f6st.<\/p>\n

Erg\u00e4nzung: Einen Trigger gefunden<\/h2>\n

Im Nachgang habe ich noch den vermutlichen Facebook-Trigger, der die Anzeige (auch) in das Browserfenster bringt, gefunden.<\/p>\n

\"Trigger<\/p>\n

In der Desktop-Seite von Facebook wird im Anzeigebereich eine Anzeige eingeblendet, die suggeriert, dass man zwei Benachrichtigungen im Messenger erhalten hat. M\u00f6glicherweise habe ich mich bei der Auswahl diverser Optionen (wie alle Benachrichtigungen als gelesen markieren) verklickt und bin auf die Anzeige geraten. Dort konnte ich jedenfalls bei einem erneuten Test den betreffenden Browser-Tab im Browser schlie\u00dfen – was in obigem Fall nicht funktionierte. Ich habe dem Facebook-Support das Problem \u00fcbrigens Tage vorher gemeldet – die Anzeigen sind aber weiter vorhanden – der Plattformbetreiber hat es wohl nicht eilig, solche Anzeigen zu sperren.<\/p>\n

Randnotiz: Samstag habe ich das Problem mit den Betrugsanzeigen an den Facebook-Support gemeldet. Montag bekomme ich erneut die obige Anzeige im Facebook-Profil zu sehen. Ich dokumentiere es in meinem Facebook-Profil und warne davor. Ergebnis: Meine auf Facebook aufgesetzte Seite wurde gesperrt und der Beitrag \"wegen Versto\u00dfes gegen die Gemeinschaftsstandards\" gel\u00f6scht. Mein Einspruch wurde abgewiesen. Facebook ist algorithmisch und von der Moderation schlicht kaputt. Ich habe die eigene Facebook-Seite nun gel\u00f6scht und werde dort die Aktivit\u00e4ten herunterfahren.<\/p><\/blockquote>\n

Scam von web.core.windows.net<\/em> bekannt<\/h2>\n

Mit dieser URL windows.net<\/em> st\u00f6\u00dft man auf den Blog-Beitrag Web.core.windows.net Phishing Web Pages \u2013 Tech Support Scam<\/a>. Dort wird erkl\u00e4rt, dass web.core.windows.net<\/em> eine Azure-Blob-Speicherressource und Hosting-Plattform ist, die von Cyberkriminellen und Online-Betr\u00fcgern verwendet wird, um statische Seiten mit gef\u00e4lschten Virenwarnungen und Computerfehlern auf dem Browserbildschirm des Benutzers anzuzeigen.<\/p>\n

Im Blog-Beitrag wird bereits ein Popup wie oben gezeigt, pr\u00e4sentiert, und es hei\u00dft, dass das Popup sowie die URL viele Benutzer dazu verleitet, zu glauben, dass die gef\u00e4lschten Warnungen von Windows stammen, da die Dom\u00e4ne mit Windows.net<\/em> angeh\u00e4ngt ist.<\/p>\n

Was Betroffene tun sollten<\/h2>\n

Falls jemand eine solche Anzeige angezeigt bekommt (kann nicht nur auf Facebook passieren), und bei einer Suche auf diesen Blog-Beitrag st\u00f6\u00dft, hier einige Informationen, was man tun sollte.<\/p>\n