Neue Tricks von Betrügern um mit Dialern ahnungslose Anwender abzuzocken
Wenn die Dialer-Seite automatisch „OK“ eintippt

Der Versuch, mittels neuer Gesetzgebung den Missbrauch von Einwahlprogrammen, so genannten Dialern, einzudämmen, scheint nicht sehr erfolgreich zu sein. Betrügerische Webseiten umgehen die Forderung nach ausdrücklicher Zustimmung durch den Anwender mit technischen Tricks.

hiz DÜSSELDORF. Wie das Spezialforum Computerbetrug.de meldet, sind im Internet Dialer aufgetaucht, die sich auch ohne Zustimmung der Anwender automatisch installieren. Vor etwas einem Jahr wurde die Gesetzgebung geändert, um dem bis dahin hemmungslos blühenden Missbrauch von Einwahlprogrammen Einhalt zu gebieten. Diese Programme installieren sich auf dem Rechner und bauen meist unverschämt teure Internetverbindungen auf. Um dem einen Riegel vorzuschieben verlangt die Regulierung, dass der Anwender einer Installation ausdrücklich zustimmen muss. Alle eingesetzten Dialer werden bei der Regulierungsbehörde (RegTP) angemeldet und erhalten dann die Zulassung. Während die Regulierungsbehörde ihre Regeln für Dialer weiter verschärfen will, lassen sich dubiose Anbieter neue Tricks einfallen, genau diese Regeln auszuhebeln.

Seit Ende Juli mehren sich bei Dialerschutz.de und Computerbetrug.de die Beschwerden über Dialer der Firma Teleflate S.L., die ihren Sitz nach eigenen Angaben in Palma de Mallorca hat. Auf deren Internetseite lauert nach den Angaben ein Dialer, der registriert und offensichtlich rechtskonform ist. Gerät man auf die Seite, wird jedoch nicht nach der Zustimmung zur Einwahl gefragt. Diese erfolgt unbemerkt und ferngesteuert durch einen technischen Trick.

Anwender berichteten, dass Teleflate-Dialer plötzlich auf ihrem Desktop erschienen und Einwahlen über teure 09009-Nummern, die sie nach eigenen Angaben niemals bewusst getätigt hatten. Die Recherche von Fachleuten ergab, dass die Dialer des Unternehmens bei der Regulierungsbehörde registriert sind aber nicht im Sinne des Gesetzgebers eingesetzt werden.

Als Beispiel wird eine Webseite aufgeführt, die auf das mallorquinische Unternehmen angemeldet ist und über einen Dialer zu Erotikangeboten führt. Der Dialer berechnet 30 Euro pro Einwahl, ist registriert, und macht auf den ersten Blick einen seriösen Eindruck. Doch beim Besuch der Seite mit einem Exploit gefährdeten PC, also einem Rechner der nicht die neusten Sicherheitsupdates installiert hat, wurde sofort über einen harmlos erscheinenden Counter ein Java-Archiv namens „count4.jar“ zusammen mit einer hta-Applikation „8000.bin“ auf dem Rechner des Betroffenen geladen. Dieses Java Archiv wird von aktuellen Virenscannern als Trojaner erkannt. Dieses Nachladen von Komponenten erledigt ein Programm namens javainfo.exe und die hta-Applikation. Durch diese versteckt ablaufenden Operationen wird der Dialer auf dem PC installiert und gestartet. Zusätzlich wird er per Windows API "ShowWindow(hwnd,SW_HIDE)" vor dem Blick des Users versteckt. Dann werden über die Windows Betriebssystemfunktion „SendMessage“ die Buchstaben „O“ und „K“ an das Zustimmungsfenster geschickt. Damit automatisiert der Trojaner genau den Schritt, der eigentlich den Missbrauch unterbunden soll: die ausdrückliche Zustimmung des Anwenders.

Der Betroffene hatte 30 Euro Gebühren auf der Rechnung und einen völlig legalen Dialer auf dem PC. Die Fernsteuerung vernichtet sich nach vollbrachter Untat selbst und landet, laut Analyse, auch nicht auf der Festplatte. Dadurch ist der eigentliche illegale Vorgang nicht mehr nachweisbar.

Aktuell liegen den Forumsbetreibern Beschwerden über Einwahlen zu den Teleflate-Nummern 09009-0000492 und 09009-000484 vor. Wie viele Nutzer von dem Trick tatsächlich betroffen sind, wird sich wohl erst in den nächsten Wochen zeigen, wenn diesen die Rechnungen ins Haus flattern. Ebenso unklar ist, auf wie vielen Seiten der Trick eingesetzt worden ist.

Die Erkenntnisse der Analysen wurde der Regulierungsbehörde und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übergeben. Allerdings wurde mittlerweile auch der Code auf der entdeckten Webseite geändert. bei der Aktion wurden wieder einmal Sicherheitslücken im Internetexplorer ausgenutzt, die eigentlich schon geschlossen sind. Rechner die auf dem neusten Stand sind und über einen aktuellen Virenscanner verfügen sind vor solchen Attacken besser geschützt.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%