Vorsicht Falle: Wenn die Dialer-Seite selbst „OK“ eintippt
Während die Regulierungsbehörde ihre Regeln für Dialer weiter verschärfen will, lassen sich dubiose Anbieter neue Tricks einfallen, genau diese Regeln auszuhebeln. Den Beweis tritt jetzt die Internetseite eines Dialer-Anbieters mit Sitz in Palma de Mallorca an: Der dort lauernde Dialer ist registriert und offensichtlich rechtskonform. Doch die Zustimmung zur Einwahl gibt nicht der Nutzer – sie erfolgt unbemerkt und ferngesteuert durch einen technischen Trick.
Seit Ende Juli mehren sich im gemeinsamen Forum von Dialerschutz.de und Computerbetrug.de die Beschwerden über Dialer der Firma Teleflate S.L., die ihren Sitz nach eigenen Angaben in Palma de Mallorca hat. User berichteten nicht nur, dass teleflate-Dialer plötzlich auf ihrem Desktop erschienen; sie meldeten auch Einwahlen über teure 09009-Nummern, die sie nach eigenen Worten niemals bewusst getätigt hatten. Zwei Experten aus dem Forum gingen den Beschwerden nach – und stießen unabhängig voneinander auf die gleiche Spur: Zwar sind die Dialer des Unternehmens fein säuberlich bei der Regulierungsbehörde registriert; ganz sauber werden die Einwählprogramme aber nicht eingesetzt.
Konkret zeigt sich das an einer Webseite, die auf das mallorquinische Unternehmen angemeldet ist und über einen Dialer zu Erotikangeboten führt. Der Dialer berechnet 30 Euro pro Einwahl, ist registriert, und macht auf den ersten Blick einen seriösen Eindruck. Doch der Teufel steckt im Detail, wie die Versuche zeigten. Beim Besuch der Seite mit einem Exploit-gefährdeten PC wurde sofort über einen harmlos erscheinenden Counter ein - von AntiVir als Trojaner erkanntes - JAVA-Archiv namens „count4.jar“ zusammen mit einer hta-Applikation „8000.bin“ auf dem Rechner des Betroffenen geladen. Das Nachladen von Komponenten erledigten ein Programm namens javainfo.exe und die hta-Applikation. Diese legten den Dialer an der "richtigen Stelle" auf dem PC ab, starteten ihn und versteckten ihn per Windows API "ShowWindow(hwnd,SW_HIDE)" vor dem Blick des Users. Dann wurden per SendMessage die Buchstaben „O“ und „K“ an das Zustimmungsfenster geschickt. Sprich: Genau der entscheidende Schritt, die Zustimmung zur teuren Einwahl, erfolgte nicht durch den Nutzer, sondern ferngesteuert.
Die Folgen liegen auf der Hand: Der Betroffene hatte 30 Euro Gebühren auf der Rechnung und einen völlig legalen Dialer auf dem PC. Die Fernsteuerung selbst konnte er zu diesem Zeitpunkt nicht mehr nachweisen. Denn die steuernden Komponenten waren niemals auf der Festplatte abgelegt, sondern nur im flüchtigen Hauptspeicher aktiv.
Aktuell liegen uns Beschwerden über Einwahlen zu den teleflate-Nummern 09009-0000492 und 09009-000484 vor. Wieviele Nutzer von dem Trick tatsächlich betroffen sind, wird sich wohl erst in den nächsten Wochen zeigen, wenn diesen die Rechnungen ins Haus flattern. Ebenso unklar ist, auf wievielen Seiten der Trick eingesetzt worden ist.
Unsere Erkenntnisse liegen mitsamt den gesicherten Beweisen - Screenshots, Filme, Protokolle und Dateien - seit Sonntagabend der Regulierungsbehörde sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Das dürfte rechtzeitig genug gewesen sein: Nach Enttarnung des Tricks am heutigen Dienstagnachmittag in unserem Forum wurden auf der betroffenen Webseite sofort die Quellcodes geändert. Ob dies in Zusammenhang zu der Veröffentlichung im Forum steht, ist unbekannt.
Schutz vor dem Trick bieten Windows-Rechner, die technisch auf dem neuesten Stand, also gepatcht sind. Keinen Schutz vor Abzocke - das zeigt der Fall - bieten dagegen die seit 2003 vorgeschriebenen Zustimmungsfenster bei Dialern. Diese sollten eigentlich sicherstellen, dass Dialer erst nach bewusster Zustimmung durch den Nutzer Kosten verursachen. Die mögliche und nun auch nachgewiesene Fernsteuerung führt solche Regeln ad absurdum. Noch schlimmer: Die Dialer-Registrierung wiegt den Verbraucher nicht nur in trügerischer Sicherheit – sie schwächt sogar noch seine Position, wenn er Opfer von Betrügereien wurde. Denn er muss damit nachweisen, dass er trotz eines rechtskonformen Dialers auf dem Rechner schlichtweg übers Ohr gehauen wurde.
cu,
Sascha
http://www.dialerschutz.de/home/Aktuelles/aktuelles.html
Während die Regulierungsbehörde ihre Regeln für Dialer weiter verschärfen will, lassen sich dubiose Anbieter neue Tricks einfallen, genau diese Regeln auszuhebeln. Den Beweis tritt jetzt die Internetseite eines Dialer-Anbieters mit Sitz in Palma de Mallorca an: Der dort lauernde Dialer ist registriert und offensichtlich rechtskonform. Doch die Zustimmung zur Einwahl gibt nicht der Nutzer – sie erfolgt unbemerkt und ferngesteuert durch einen technischen Trick.
Seit Ende Juli mehren sich im gemeinsamen Forum von Dialerschutz.de und Computerbetrug.de die Beschwerden über Dialer der Firma Teleflate S.L., die ihren Sitz nach eigenen Angaben in Palma de Mallorca hat. User berichteten nicht nur, dass teleflate-Dialer plötzlich auf ihrem Desktop erschienen; sie meldeten auch Einwahlen über teure 09009-Nummern, die sie nach eigenen Worten niemals bewusst getätigt hatten. Zwei Experten aus dem Forum gingen den Beschwerden nach – und stießen unabhängig voneinander auf die gleiche Spur: Zwar sind die Dialer des Unternehmens fein säuberlich bei der Regulierungsbehörde registriert; ganz sauber werden die Einwählprogramme aber nicht eingesetzt.
Konkret zeigt sich das an einer Webseite, die auf das mallorquinische Unternehmen angemeldet ist und über einen Dialer zu Erotikangeboten führt. Der Dialer berechnet 30 Euro pro Einwahl, ist registriert, und macht auf den ersten Blick einen seriösen Eindruck. Doch der Teufel steckt im Detail, wie die Versuche zeigten. Beim Besuch der Seite mit einem Exploit-gefährdeten PC wurde sofort über einen harmlos erscheinenden Counter ein - von AntiVir als Trojaner erkanntes - JAVA-Archiv namens „count4.jar“ zusammen mit einer hta-Applikation „8000.bin“ auf dem Rechner des Betroffenen geladen. Das Nachladen von Komponenten erledigten ein Programm namens javainfo.exe und die hta-Applikation. Diese legten den Dialer an der "richtigen Stelle" auf dem PC ab, starteten ihn und versteckten ihn per Windows API "ShowWindow(hwnd,SW_HIDE)" vor dem Blick des Users. Dann wurden per SendMessage die Buchstaben „O“ und „K“ an das Zustimmungsfenster geschickt. Sprich: Genau der entscheidende Schritt, die Zustimmung zur teuren Einwahl, erfolgte nicht durch den Nutzer, sondern ferngesteuert.
Die Folgen liegen auf der Hand: Der Betroffene hatte 30 Euro Gebühren auf der Rechnung und einen völlig legalen Dialer auf dem PC. Die Fernsteuerung selbst konnte er zu diesem Zeitpunkt nicht mehr nachweisen. Denn die steuernden Komponenten waren niemals auf der Festplatte abgelegt, sondern nur im flüchtigen Hauptspeicher aktiv.
Aktuell liegen uns Beschwerden über Einwahlen zu den teleflate-Nummern 09009-0000492 und 09009-000484 vor. Wieviele Nutzer von dem Trick tatsächlich betroffen sind, wird sich wohl erst in den nächsten Wochen zeigen, wenn diesen die Rechnungen ins Haus flattern. Ebenso unklar ist, auf wievielen Seiten der Trick eingesetzt worden ist.
Unsere Erkenntnisse liegen mitsamt den gesicherten Beweisen - Screenshots, Filme, Protokolle und Dateien - seit Sonntagabend der Regulierungsbehörde sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Das dürfte rechtzeitig genug gewesen sein: Nach Enttarnung des Tricks am heutigen Dienstagnachmittag in unserem Forum wurden auf der betroffenen Webseite sofort die Quellcodes geändert. Ob dies in Zusammenhang zu der Veröffentlichung im Forum steht, ist unbekannt.
Schutz vor dem Trick bieten Windows-Rechner, die technisch auf dem neuesten Stand, also gepatcht sind. Keinen Schutz vor Abzocke - das zeigt der Fall - bieten dagegen die seit 2003 vorgeschriebenen Zustimmungsfenster bei Dialern. Diese sollten eigentlich sicherstellen, dass Dialer erst nach bewusster Zustimmung durch den Nutzer Kosten verursachen. Die mögliche und nun auch nachgewiesene Fernsteuerung führt solche Regeln ad absurdum. Noch schlimmer: Die Dialer-Registrierung wiegt den Verbraucher nicht nur in trügerischer Sicherheit – sie schwächt sogar noch seine Position, wenn er Opfer von Betrügereien wurde. Denn er muss damit nachweisen, dass er trotz eines rechtskonformen Dialers auf dem Rechner schlichtweg übers Ohr gehauen wurde.
cu,
Sascha
http://www.dialerschutz.de/home/Aktuelles/aktuelles.html