Die Schweizer Tageszeitung «Blick» hat über ihren Online-Auftritt während mindestens einem Tag schädliche Flash-Werbebanner ausgeliefert. Dies berichtet Sandi Hardmeier, Microsoft-„Most Valuable Professional“ und Sicherheitsspezialistin in ihrem Blog „Spyware Sucks„. Der «Blick» befindet sich dabei in guter Gesellschaft, denn das Banner wurde auch via MySpace und Excite verbreitet.
Gemäss Trend Micro wurde über die Werbebanner versucht, Trojanische Pferde wie RBot, SDBot und Spybot auf dem Computer des Nutzers zu installieren. Zudem wollten die schädlichen Werbebanner dem Anwender
eine nutzlose Software namens PerformanceOptimizer unterjubeln, die Fehlalarme über entdeckte Schädlinge produziert und die vermeintlichen Funde erst nach einer Zahlung der Registrierungsgebühr entfernt.
Als Laie im Online-Werbebusiness ist das für mich einigermassen erstaunlich, denn bisher bin ich eigentlich davon ausgegangen, dass Werbeaufträge entsprechend kontrolliert werden. Zumindest muss ein Mitarbeiter von Media-Connect, einer Tochter der PubliGroupe, via deren Domain „ch.p-digital-server.com“ die Werbebanner ausgeliefert wurden, doch zumindest einmal zu Testzwecken auf das Banner geklickt haben.
Ebenso erstaunlich finde ich auch, dass auf blick.ch bisher keine Stellungnahme zum Vorfall zu finden ist. Offenbar hält man es dort nicht für nötig, die Leser über die mögliche Infektion ihres Computers mit einem Trojaner zu informieren und ggf. Tipps zur Entfernung der Malware zu geben.
Bisher haben sich auf meine Anfrage weder der Blick, noch Ringier oder die Publigroupe zum Vorfall geäussert. Sollten noch entsprechende Stellungnahmen eintreffen, werde ich diese selbstverständlich hier im Rahmen eines Updates veröffentlichen.
Weitere Beiträge zum Thema:
– Hintergründe zum Malware-Banner beim «Blick»
– Malware-Banner: Liederliche Checks?
[Update 1] 11:56 Uhr
Die Stellungnahme der Publigroupe kommt direkt vom Mailserver:
Your message
To: BRANDENBERGER Jean-Marc (PubliGroupe SA)
Subject: Medienanfrage: Auslieferung von Malware-Banner via Media Connect
Sent: Tue, 8 Jan 2008 10:34:34 +0100was deleted without being read on Tue, 8 Jan 2008 11:48:57 +0100
OK, das ist auch eine Antwort…
[Update 2] 16:54 Uhr
In der Zwischenzeit ist auch die Antwort von Marco Castellaneta, Konzernsprecher der Ringier AG, eingetroffen. Zur Frage, wie es überhaupt passieren konnte, dass ein solches Werbemittel geschaltet wurde, äussert er sich wie folgt:
Jeder Auftrag wird von Blick.ch im Detail geprüft und sowohl die Firma (kommerziell) als auch die angelieferten Werbemittel (technisch und inhaltlich) einem Check unterzogen. Im vorliegenden Fall wurde der Auftrag speziell geprüft. Auch die Werbemittel werden bei jeder Kampagne vor der Aufschaltung durch uns geprüft, während der Laufzeit werden jeweils Stichproben gemacht. Solche Werbebanner können jedoch durch den Auftraggeber auf seinem Server jederzeit temporär und ohne unser Wissen auf eine andere Zieladresse umgeleitet werden. Solche Aktionen sind leider durch uns nicht abzuwenden.
Insgesamt sei das Banner während fünf Tagen online gewesen und sofort nach Kenntnis der „Umleitung“ abgeschaltet worden. Keine Stellungnahme konnte Castellaneta jedoch zur Frage abgeben, wieviel Mal das Malware-Banner gezeigt bzw. angeklickt wurde.
Als Konsequenz aus dem Vorfall will Ringier neben der bereits vorhandenen Kontrolle auf kommerzieller, technischer und inhaltlicher Ebene auch die Einführung einer Blacklist mit Auftraggebern prüfen,
welche nicht sauber arbeiten, und diese Liste auch mit den Betreibern von anderen Online Plattformen auszutauschen.
(Screenshot: Sandi Hardmeier)
Solche Sachen werden lieber totgeschwiegen. Ist bei Hackerattacken auf Firmen auch nicht anders…. Bin gespannt, ob sie sich bei Dir melden.
Ein Hackerangriff muss die Kunden auch nicht zwingend schädigen. Bei so einem Werbebanner sieht das aber sicherlich anders aus bzw. ich nehme zumindest mal an, dass irgend ein Leser darauf geklickt hat und somit u.U. einen Schaden davongetragen hat.
Solche Aktionen sind wirklich das Letzte und dann noch nicht mal eine Rechenschaft abgeben um bloß nicht ins Gefecht zu kommen, dass ist doch nun echt miserabel!
Ich finde es aber sehr gut, das wir hier gewarnt werden, es tut ja sonst niemand was!
danke
@tom. Die PubliGroupe sollte ganz genau wissen, wieviele User darauf geklickt haben. Frag doch mal bei web2com nach, die vermarkten die Ringier-Sites.
interessant, weil kürzlich mal meine anti-virus software angeschlagen hat, als ich blick.ch besucht habe. habe mich kurz gewundert…
meine anti-virus software ist übrigens gratis: http://www.free-av.de/
(hoffentlich ist diese unkommerzielle werbung erlaubt)
Solch eine Banner sah ich auch während den Festtagen auf der Webseite von LeMatin.ch (den Blick aus der Westschweiz).
Leider habe ich keine Printcreens damals gemacht, aber es war schwierig diese Werbung vom Bildschirm zu entfernen, weil sich immer wieder neue „popups“ eröffneten wenn mal ein Fenster schliss.
Hallo Tom, seit wann ist den Spybot auch ein Trojaner?
@Patrick: Das wollte ich eben auch von der PubiGroupe wissen. Aber ich versuch‘ mal noch, mich an web2com zu hängen…
@phrench: No prob 😉
@Lucas: Mit Spybot sind wohl eher die hier aufgeführten Trojaner-Varianten gemeint…
Brrr … üble Tierchen … da ziehe ich den von mir genannten vor 🙂
Hallo Tom
Erst jetzt aufgefallen. Ich habe kein Ahnung davon, was passiert ist, aber leite Deinen Kommentar mal weiter an ein paar Leute bei PubliGroupe. Die automatische Antwort „was deleted without being read“ ist ziemlich komisch und (hoffentlich) eher eine Fehlbehandlung vom Spamfilter / Mailserver als eine bewusste Aktion.
Einmal draufklicken auf das Werbemittel hat sicher jemand gemacht… aber interpretieren was das passiert resp. passieren könnte resp. auch das Link-Target kann sich anpassen ist nicht einfach und der Käufer der Werbefläche hat wahrscheinlich auf Erfahrung beim schummeln…
Hallo Tom
Wir als Vermarkter von web2com sind im Moment dran das Problem zu analysieren. Werden morgen näher informieren können.
@Jürg: Danke für die Weiterleitung, bin gespannt, was Ueli Weber heute zu berichten weiss.
Was die automatische Antwort betrifft: So komisch ist die Nachricht nicht, das hatte ich ja schon mal bei Google. Dabei handelt es um die automatisch generierte Nachricht, die MS Exchange verschickt, wenn der Absender eine Empfangsbestätigung verlangt und der Empfänger eben die Nachricht löscht. Allerdings könnte das „automatic-action“ im Mail-Header
tatsächlich darauf hinweisen, dass die Löschung durch irgend einen Filter vorgenommen wurde und nicht durch den User selbst. Aber um das zu beurteilen, müsste man wohl MDN- bzw. Exchange-Spezialist sein 😉 Es irritiert mich allerdings ein wenig, wenn ein Mail an den auf der Webseite aufgeführten Pressekontakt auf diese Art gelöscht wird.
Und ich Dösel bin die ganze Zeit davon ausgegangen, die ganze neue Blick-Website sei ein Virus.
Hallo Tom
Auch von web2com kommt ein Statement! 😉
Wie Blick Online haben auch wir den Skyauction Banner vor der Aufschaltung gründlich geprüft. Leider war im Flash ein Redirect versteckt der zusätzlich zu Skyauction.com auch noch verschlüsselt die Malware-Site aufrufte. Da Redirects als solches in der Online-Werbung von Kunden oft zum Mittracken verwendet werden, ist es rein technisch sehr schwierig die Spreu vom Weizen zu trennen. In diesem Fall wurde der Redirect gemäss unserem Technologie Provider sogar nur für User aus Nordamerika ausgelöst. Dies machte es noch schwerer den Übeltäter im Vorfeld zu finden. User aus der Schweiz sollten dadurch aber eigentlich von Malware verschont geblieben sein.
Natürlich sind wir auch zukünftig bemüht jegliche Hacker-Attacken zu verhindern. 100%igen Schutz vor solchen mutmasslichen und sehr professionellen Angriffen kann jedoch niemand gewährleisten. Deshalb sind wir stets dankbar um Feedbacks von Bloggern wie Sandi Hardmeier und Dir und haben auch diesmal sofort reagiert und den Banner abgeschaltet. Mit dem Feedback an dich gab es leider Verzögerungen, sorry!
Gruss
Pierre
Es ist doch wirklich grausam, welche Tücken im Internet uns noch so ereilen. Vor allem in der heutigen Zeit, in der auf individualisierte Bannerwerbung gesetzt wird und die Verleitung diese Banner zu nutzen extrem groß ist. Da muss man sich wirklich schon gut überlegen inwiefern man Bannern auf Internetseiten überhaupt noch trauen kann. Bedenklich finde ich es auch wenn solche infizierten Banner auch über riesige Portale wie myspace verbreitet werden, ohne das ihre Gefahr erkannt wird.
MySpace und andere gross Portale wurden schon früher gezielt, mit sehr „guten“ Resultate :
http://blog.washingtonpost.com/securityfix/2006/07/myspace_pages_defaced_using_fl.html (2006)
http://www.vnunet.com/vnunet/news/2198466/advert-trojan-dogs-myspace-bebo (2007)
Uffa… zum Glück hab ich OS X bzw. ein Mac 😉 …hatte mit meinem OS noch NIE Probs mit Viren oder sonstwelchen Schädlingen! (Kann ich nur weiteremfehlen!)
Aber übel ist solches natürlich schon… Wenn man wirklich böses tun will, kann mit Flash natürlich abartig viel gemacht werden :-/ Auch finde ich immer schade, wenn gute Software missbraucht wird, und diese dadurch in Misskredit gerät.
Aber Dank an denen, die was gegen solche Machenschaften tun!!! 🙂
Dass sie die Werbefläche vergeben haben, okay. Aber die Kontrollen scheinen wirklich nicht ausreichend gewesen zu sein, denn wie ich vor kurzem erst erfahren habe, waren einige betroffen und konnten sich noch Wochen später mit den Auswirkungen rumärgern. Seitdem gab es aber keinen ähnlichen Fall mehr, oder?