im Laufe der pandemiebedingten Shutdowns habe ich mich mehr als einmal durch die Untiefen großer Streaminganbieter gescrollt, um noch irgendeinen Film zu finden, den ich doch endlich mal gucken könnte. Meistens habe ich dabei vor allem eines gefunden: Schrott. Einen meiner zwei abonnierten Dienste wollte ich zwischendurch schon kündigen, bevor er sich mit einer neuen Serie noch einmal retten konnte. Nun stellt sich heraus: Dieser Frust ist mittlerweile ein Geschäftsmodell von Kriminellen.

Die IT-Sicherheitsfirma Proofpoint hat vergangene Woche eine ungewöhnlich aufwendige und gleichermaßen amateurhafte Hackerkampagne aufgedeckt . »Die nächste Stufe des Social Engineering« nennt es Sherrod DeGrippo, Senior Director of Threat Research bei Proofpoint. Ziel der Täter war es demnach, ihren Opfern eine Hintertür namens BazaLoader unterzuschieben – einen Türöffner für weitere Schadsoftware wie zum Beispiel Banking-Trojaner oder Ransomware.

Dazu versandten sie zunächst E-Mails, in denen sie behaupteten, der angeblich gebuchte Gratistest für den Streamingdienst BravoMovies ende nun und gehe in ein kostenpflichtiges Abo über, für 40 Dollar im Monat. Wer kündigen wolle, möge die angegebene Telefonnummer anrufen. So weit, so clever – weil der Link zur Website fehlt, könnte die Mail den einen oder anderen Spamfilter überlistet haben.

Als die Proofpoint-Experten testweise die Nummer anriefen, wurden sie vom Callcenter auf die Website geleitet. Die sah auf den ersten Blick tatsächlich wie ein Streamingdienst aus, mit Filmtiteln und -plakaten, Kategorien und Filtern sowie den üblichen Versprechen von hochaufgelösten Inhalten, Flexibilität und persönlichen Empfehlungen. Auf den zweiten Blick aber ist BravoMovies ziemlich lächerlich.

Einer der beworbenen Filme heißt »Dog Woof«, Hunde-Wau, die Titel auf den Plakaten unterscheiden sich von denen in der Beschreibung direkt darunter, und überall finden sich kleine bis auffällige Rechtschreib- und Grammatikfehler, wie etwa beim angeblichen Probeabonnement: »Enter your email and we will send you invitation.« Wie Proofpoint herausfand, stammt das Motiv zum Hundefilm vom Einband des Buchs »How to Steal a Dog« , andere Bilder wurden von der Website einer Werbeagentur  oder aus Adobes Kreativen-Netzwerk Behance  kopiert, zum Teil mit der Originalbeschriftung.

So laienhaft die Fehler wirken, die trashigen Filmtitel dürften volle Absicht gewesen sein. Die Täter wollten schließlich erreichen, dass ihre Opfer den Dienst aktiv kündigen. Wer würde schon 40 Dollar im Monat für dermaßen uninteressante Inhalte ausgeben? Der Kündigungsvorgang selbst war dann der eigentliche Hack: Die Opfer wurden im FAQ der Seite auf den Bereich »Mitgliedschaft« gelenkt, wo sich nach einem Klick auf den »Cancel«-Button eine Excel-Datei öffnete. War die Ausführung von Makros nicht deaktiviert, installierte sich die BazaLoader-Hintertür auf dem Computer.

Ich will gar nicht leugnen, dass man schon sehr viele Alarmsignale ignorieren müsste, um sich BazaLoader auf diesem Wege einzufangen. Auch Sherrod DeGrippo sagt, es sei nicht allzu wahrscheinlich, dass jemand die komplette Infektionskette durchlaufe, »da der Angriff so stark von menschlicher Interaktion abhängt«.

Dennoch scheint der Fake-Streamingdienst den Tätern den ganzen Aufwand samt Telefonsupport wert zu sein. Offenbar gibt es genug Menschen, die wirklich glauben, auf diesem Wege einen Streamingdienst kündigen zu können. Und wer noch den Überblick über alle seine laufenden Probeabos hat, der werfe die erste Fernbedienung.

Fremdlinks: drei Tipps aus anderen Medien

• »Terms and Conditions Apply«  (Onlinespiel, Englisch, fünf Minuten)
  Ziel dieses amüsanten Spiels ist es, auf gar keinen Fall irgendwelchen Nutzungsbedingungen, Cookies oder Benachrichtigungen zuzustimmen: »To opt out of opting in to receive marketing alerts avoid not clicking Yes«.

• »Was hinter der Influencerkampagne gegen Biontech steckt«  (sieben Leseminuten)
  Eine Londoner Agentur hat Influencern auch in Deutschland Geld angeboten, damit sie falsche Behauptungen über den Impfstoff von Biontech/Pfizer verbreiten. Spannende Recherche von Netzpolitik.org und dem ARD-Magazin »Kontraste«.

• »AI emotion-detection software tested on Uyghurs«  (Englisch, 6 Leseminuten)
  Die BBC berichtet über Belege für den Test einer Software zur Emotionserkennung bei Uiguren in Xinjiang. Der Artikel beschreibt darüber hinaus noch andere Überwachungsmethoden der chinesischen Regierung.

Kommen Sie gut durch die Woche!

Patrick Beuth