Malware-Banner: Liederliche Checks?
Wie sich die Schaltung von schädlichen Flash-Bannern verhindern lässt, dürfte wohl eine der zentralen Fragen sein, die nach den Vorkommnissen bei blick.ch nun auch in Schweizer Werbeunternehmen und von Website-Betreibern diskutiert wird. Die Professionalität der Betrüger macht die Überprüfungen nämlich nicht ganz einfach.
Allerdings hätte es im aktuellen Fall durchaus Hinweise darauf gegeben, dass es sich bei der Proximo Group, welche die fraglichen Bannerschaltungen in Auftrag gegeben hat, zumindest um eine suspekte Firma handeln muss. So wird auf der Webseite der Proximo Group keine Adresse genannt und die genannten Telefon- und Faxnummern führen lediglich zu einer Mailbox. Auch die unterschiedlichen „Areacodes“ der Nummern machen stutzig: Gemäss canada411.ca gehört der „Areacode“ der Telefonnummer nämlich zu Hamilton/Ontario, während die Faxnummer nach Toronto zeigt. Welche Firma hat schon sein Telefon an einem anderen Ort als sein Faxgerät…
Wer sich die Whois-Daten der Domain ansieht, sieht sich im Misstrauen bestätigt. Gemäss diesen lautet die Domain nämlich auf
Name: Gloria H. Draper
Address: Dunajska 34 Stahovica
Zipcode: Sl1242
Nation: SI
Tel: 1565565654
Blöd nur, dass es in Stahovica an der Dunajska kein Haus mit der Nummer 34 gibt und in ganz Slowenien keine Gloria H. Draper existiert, wie had freundlicherweise für mich recherchiert hat.
Welche Prüfungen Ringier jeweils vornimmt, wollte mir Marco Castellanetta auf meine erneute Anfrage nicht verraten, es werde aber
in jedem Fall die Identität und die Authentizität des Auftraggebers sowie die Bonität der Firma geprüft
und dies sei auch bei der Proximo Group geprüft worden. Inwiefern die Identität und Authentizität hier zusammenpassen, bleibt mir bislang aber schleierhaft. Vorstellen könnte ich mir hingegen, dass via Proximo Group ein gefälschter Überweisungsbeleg an Ringier übermittelt wurde (und damit die zahlung der Kampagne vorgetäuscht wurde), und die Bannerwerbung deshalb freigegeben wurde.
Dass das Problem solcher gefakter Bannerwerbung derzeit massiv verbreitet ist, zeigt auch ein weiteres Beispiel, das heute bekannt geworden ist. So berichtet heise online in einem Newsartikel davon, am letzten Freitag ebenfalls Opfer einer solchen Attacke gewesen zu sein. Ob es sich dabei um die gleichen Täter handelt ist derzeit noch offen, aufgrund der sich ähnelnden Vorgehensweise dürfte dies aber naheliegend sein.
Weitere Beiträge zum Thema:
– Malware-Banner beim «Blick»
– Hintergründe zum Malware-Banner beim «Blick»
Hintergründe zum Malware-Banner beim «Blick»
Bis letzten Dienstag ging ich davon aus, dass Werbebanner, die den User auf eine gefährliche Seite umleiten und ihm Schadsoftware, Trojaner oder ähnliches unterjubeln wollen, ein nicht sehr verbreitetes Phänomen sind. Doch da habe ich mich gründlich getäuscht, wie ich gestern lernen durfte. Nicht nur Sandi Hardmeier, die den Fall mit dem schädlichen Flashbanner bei blick.ch bekanntgemacht hat, auch der Vermarkter web2com weist darauf hin, dass dies vor allem in Amerika eine ziemlich verbreitete Angriffsart auf Computer ist. Dabei gehen die Täter äusserst professionell vor, wie auch am aktuellen Fall zu sehen ist.
Das fängt bereits bei der Programmierung des entsprechenden Flashbanners an. Nicht nur wird Geotargeting verwendet, um speziell die Computer aus bestimmten Ländern oder Regionen zu infizieren. Zusätzlich greift auch eine IP-Sperre, so dass bekannte „Jäger“ die Umleitung auf die Malware-Seite gar nicht zu Gesicht bekommen und, wie andere Nutzer ausserhalb der definierten Geozonen, ganz normal auf die beworbene Webseite geleitet werden. Das Ganze wird dann meist auch noch verschlüsselt in Flash gespeichert, was aber weiter kein Aufsehen erregt, wie auch Pierre Bohren von web2com hier in den Kommentaren erklärt:
Da Redirects als solches in der Online-Werbung von Kunden oft zum Mittracken verwendet werden, ist es rein technisch sehr schwierig die Spreu vom Weizen zu trennen.
Im aktuellen Fall geht web2com zwar davon aus, dass der Redirect auf die Malware-Site nur für nordamerikanische Nutzer gegriffen hat. Laut Sandi Hardmeier, ist das aber nicht zutreffend, da sie den Redirect auch in Australien zu Gesicht bekommen hat. Kommt dazu, dass es wohl kaum Sinn machen würde, die Werbung auf einer Schweizer Website zu platzieren, wenn man es lediglich auf Nordamerika abgesehen hätte.
Der Weg zu blick.ch
Continue Reading
Teures Werbebanner
Klar, die Schaltung von Werbebannern kostet Geld. Dafür können gut gemachte Banner zu neuen Kunden, Aufträgen oder Besuchern verhelfen. Doch das funktioniert nicht immer:
Gerade eben auf persoenlich.com das Banner von namics gesehen, das für die „Intranet Fachtagung“ wirbt:
Also flink draufgeklickt, doch die Zielseite entsprach ganz und gar nicht meinen Vorstellungen:
Unschön… Allerdings, und das sei an dieser Stelle gesagt, muss der Fehler nicht bei namics liegen. Geradesogut könnte auch die im AdServer der Web2Com hinterlegte Ziel-URL falsch sein. Allerdings gehört die Firma Web2Com zur PubliGroupe, welche wiederum Hauptaktionär von namics ist…
Wie auch immer: Jürg, bitte übernehmen!