Forscher von Group-IB haben Details offengelegt zu einer groß angelegten Betrugskampagne, die sich gegen Nutzer im Nahen Osten und in Nordafrika (MENA) richtet. Die Angreifer nutzen gefälschte Facebook-Accounts, die Politiker, öffentliche Persönlichkeiten und vertrauenswürdige Organisationen imitieren, um Opfer mit Versprechen von kostenlosem mobilen Internet, finanziellen Entschädigungen und staatlichen Subventionen zu ködern. Statt der versprochenen Vorteile geraten die Nutzer in einen mehrstufigen Trichter aus Weiterleitungen, der zu Phishing-Infrastrukturen und Systemen zur Monetarisierung von Traffic führt. Die Kampagne steht nach Angaben der Forscher mit der Plattform Sniper Dz in Verbindung – einem „Phishing-as-a-Service“ (PhaaS), das Berichten zufolge im Rahmen einer von INTERPOL geleiteten Operation zerschlagen wurde.
Mehrstufiger Trichter: von Social Engineering bis zur Monetarisierung
Ein wesentliches Merkmal dieser Kampagne ist der Verzicht auf klassische Malware zugunsten des Missbrauchs legitimer Web-Technologien und vertrauenswürdiger Plattformen. Die typische Angriffskette ist wie folgt aufgebaut:
Einstiegsvektor: lokalisierte Köder
Nach Angaben der Forscher erstellen die Betrüger gefälschte Facebook-Accounts, die bekannte Telekommunikationsanbieter – insbesondere Algérie Télécom – imitieren und fingierte Werbeaktionen bewerben. Der Schlüssel ist die Lokalisierung: Die Köder werden auf konkrete Regionen und Mobilfunkanbieter zugeschnitten, was das Vertrauen potenzieller Opfer erhöht.
Zwischenschicht: legitime Link-Aggregatoren
Anstatt direkt auf bösartige Domains weiterzuleiten, nutzt die Kampagne eine Zwischenschicht – Link-Aggregator-Plattformen wie Linkbio und Linktree. Auf diesen Diensten werden vorgeschaltete Landingpages angelegt, die harmlos wirken und bei den Moderationssystemen sozialer Netzwerke keinen Verdacht erregen. Dies ist eine strategisch wichtige taktische Entscheidung: Die Nutzung vertrauenswürdiger Domains ermöglicht es, sowohl automatische Filter der Plattformen als auch die Wachsamkeit der Nutzer zu umgehen.
Übernahme des Browsers: Push-Benachrichtigungen und VAPID
Die Zielseite fordert den Nutzer auf, der Zustellung von Browser-Benachrichtigungen zuzustimmen – der übliche Dialog „Klicken Sie auf Allow, um fortzufahren“. Dahinter verbirgt sich die Anmeldung des Browsers bei einem System für Push-Benachrichtigungen unter Verwendung eines öffentlichen VAPID (Voluntary Application Server Identification)-Schlüssels.
Die Forscher stellten fest, dass derselbe VAPID-Schlüssel sowohl in Kampagnen auftaucht, die algerische Telekommunikationsanbieter imitieren, als auch in Investment-Betrügereien, die auf Nutzer in mehreren Regionen abzielen. Da VAPID-Schlüssel den Dienst identifizieren, der für die Zustellung von Push-Nachrichten verantwortlich ist, weist ihre Wiederverwendung auf eine gemeinsame Benachrichtigungsinfrastruktur und nicht auf unabhängige Operationen hin. Dies ist ein wertvoller Indikator, um Verbindungen zwischen nach außen hin getrennten Kampagnen nachzuverfolgen.
Festhalten des Opfers: Abfangen der Navigation
Die Kampagne setzt mehrere Techniken ein, um den Nutzer innerhalb des betrügerischen Ökosystems zu halten:
- Abfangen der „Zurück“-Schaltfläche – Die Seite fügt 10 Dummy-Einträge in den Browserverlauf ein und erzeugt so ein sogenanntes „Back-Button-Gefängnis“. Versucht der Nutzer zurückzugehen, landet er wiederholt auf Seiten mit Werbung oder betrügerischem Inhalt.
- „Tab-under“-Technik – Beim Aufruf eines Links, der einen neuen Tab öffnet, leitet ein verzögert ausgeführtes Skript den ursprünglichen Tab unbemerkt auf eine andere, von den Betreibern kontrollierte Ressource um. Das Opfer glaubt, die betrügerische Seite verlassen zu haben, doch der Original-Tab generiert weiterhin Traffic für die Monetarisierungsinfrastruktur.
Die Kombination dieser Techniken macht es für Nutzer deutlich schwieriger, den Betrugstrichter zu verlassen, ohne alle Tabs zwangsweise zu schließen.
Monetarisierung über ein System zur Verteilung des Traffics
Nach der Anmeldung zu den Benachrichtigungen werden die Opfer laut Group-IB in ein System zur Verteilung des Traffics (TDS) geleitet, das das konkrete Betrugsszenario anhand von Gerätetyp, Geolokation und Mobilfunkanbieter bestimmt. Zu den identifizierten Monetarisierungspfaden gehören:
- Betrug mit kostenpflichtigen Anrufen zu Premium-Nummern
- Abos für kostenpflichtige SMS-Dienste ohne ausdrückliche Zustimmung des Nutzers
- Investment-Betrügereien
Dies erweitert das Verständnis der Möglichkeiten der Plattform Sniper Dz: Neben klassischem Phishing mit dem Diebstahl von Zugangsdaten bietet sie mutmaßlich eine vollwertige Infrastruktur für mehrere Monetarisierungsschemata.
Bedrohungskontext
Die Plattform Sniper Dz wird als schlüsselfertige „Phishing-as-a-Service“-Lösung positioniert, die die Einstiegshürde für Betrüger senkt. Berichten zufolge wurde die Plattform im Rahmen einer von INTERPOL geleiteten Operation zerschlagen, allerdings liegt in den öffentlich zugänglichen Materialien keine primäre Bestätigung von INTERPOL selbst vor. Es ist zu beachten, dass die Zuordnung der Kampagne zu Sniper Dz auf der Analyse eines einzelnen Forschungszentrums basiert.
Die zentrale Erkenntnis aus dieser Untersuchung ist die Verlagerung des Fokus moderner Betrugsoperationen von der Verbreitung von Malware hin zum Missbrauch legitimer Web-Technologien: Push-Benachrichtigungen, Browser-History-APIs und vertrauenswürdige Link-Aggregator-Plattformen. Dies stellt ein ernsthaftes Problem für traditionelle Schutzmechanismen dar, die auf die Erkennung bösartiger Dateien und bekannter Phishing-Domains ausgerichtet sind.
Empfehlungen zum Schutz
- Für Endnutzer: Überprüfen und widerrufen Sie Berechtigungen für Push-Benachrichtigungen in den Browser-Einstellungen (Chrome:
chrome://settings/content/notifications, Firefox:about:preferences#privacy→ Bereich „Benachrichtigungen“). Entfernen Sie alle Abonnements von unbekannten Websites. - Für Organisationen in der MENA-Region: Informieren Sie Mitarbeiter und Kunden über Betrugsschemata mit gefälschten Accounts, die die Marke des Unternehmens imitieren. Richten Sie ein Monitoring von Marken-Erwähnungen in sozialen Netzwerken ein, um gefälschte Seiten frühzeitig zu erkennen.
- Für Security-Teams: Verfolgen Sie VAPID-Schlüssel als Indikator für infrastrukturelle Verbindungen zwischen Kampagnen. Blockieren Sie auf Proxy- oder DNS-Ebene Weiterleitungen über bekannte Link-Aggregator-Dienste, sofern diese nicht in Geschäftsprozessen genutzt werden.
- Für Telekommunikationsanbieter: Implementieren Sie Mechanismen zur Erkennung von Abonnements für Premium-SMS und kostenpflichtige Anrufe, die ohne ausdrückliche Bestätigung des Teilnehmers initiiert wurden, und stellen Sie die Möglichkeit zur schnellen Sperrung solcher Dienste bereit.
Diese Kampagne zeigt, dass wirksamer Schutz vor modernem Betrug nicht nur Kontrolle auf Endpoint-Ebene erfordert, sondern auch über Browser-Berechtigungen und Verhaltensmuster bei der Web-Navigation. Ein erster konkreter Schritt ist ein Audit der Berechtigungen für Push-Benachrichtigungen auf allen Unternehmens- und Privatgeräten und die Deaktivierung von Abonnements aus unbekannten Quellen sowie für Organisationen in der MENA-Region die umgehende Prüfung, ob es gefälschte Facebook-Seiten gibt, die ihre Marke missbrauchen.
