Mobile Sicherheit

Dein iPhone6s wartet nicht auf Dich – auch wenn die SMS etwas anderes verspricht

Stefanie Smith, 23 Mai 2016

Dein iPhone6s wartet nicht auf Dich – auch wenn die SMS etwas anderes verspricht Worum geht es bei diesen “Sie haben gewonnen” Nachrichten?

Worum geht es bei diesen “Sie haben gewonnen” Nachrichten?

Neulich bekam ich eine SMS, wonach mein neues iPhone 6s auf mich wartet. Normalerweise lösche ich solche Nachrichten, aber diesmal war ich neugierig… Ich wollte ja unlängst schon mein iPhone 5 upgraden :). So entschied ich, meinen Kollegen, Avast Senior Malware Analyst Jan Sirmer, um Hilfe zu bitten und zu sehen was passieren würde, wenn ich dem Text Glauben schenkte.

iPhone_scam_text.jpg

Wie sind die an meine Nummer gekommen?

Mein erster Gedanke hierbei war, wie die wohl an meine Nummer gekommen sind. “Vielleicht hat Dir ein Computer die Nachricht geschickt”, meinte Jan. Und wie ist der Computer an meine Nummer gekommen? “Es gibt Software, die den Versand von Textnachrichten an unzählige Nummern automatisiert ermöglicht. Möglicherweise nutzt die Software die gleiche Vorwahl und der Rest der Zahlen wird vom Programm zufällig generiert.”

Was passiert, wenn Du den Link öffnest?

Ich habe es riskiert, den Link auf meinem Smartphone zu öffnen und auf der ersten Seite wurde ich - die glückliche Gewinnerin - aufgefordert, nur noch meine Daten anzugeben. Es fehlten mir offenbar wirklich nur noch wenige Klicks zum Erhalt meines neuen iPhones!

iPhone_Scam_1.jpg

iPhone_Scam_2.jpg

iPhone_scam_3.jpg

Auf der folgenden Seite hieß es “Herzlichen Glückwunsch - Ihr neues iPhone 6S - Gesamtwert 1000 EUR €”, und unter dem Bild von “meinem” neuen iPhone 6s musste ich meine E-Mail-Adresse sowie Vor- & Nachnamen eintragen. Dazu gab es noch eine Box mit AGBs.

Ein Blick auf das Kleingedruckte

Die allgemeinen Geschäftsbedingungen konkretisierten, dass wenn ich gewonnen habe, ich über die eingegebene E-Mail-Adresse kontaktiert werden könnte. Der leuchtend grüne Button, im Screen rechts, forderte zudem zum “100% gratis mitmachen” auf. Also hatte ich definitiv das iPhone doch noch nicht gewonnen, wie es mir die Nachricht ja weismachen wollte.

Die AGBs besagten außerdem, dass Esteo Ads d.o.o und deren Sponsoren sowie Partner meine Daten für Marktforschung und gezielte Kundenprofil-Analysen nutzen könnten. Darüber hinaus können sie meine Daten nutzen, um mir meinen Interessen entsprechend Aktionsangebote schicken zu können - aus verschiedenen Bereichen und von unterschiedlichen Organisationen (z.B. auch Non-Profit-Organisationen) via E-Mail, Telefon, SMS und postalisch. Esteo Ads d.o.o könne auch meine Daten an Partner und Sponsoren weitergeben.

Das Wort “Sponsoren” wurde zudem verlinkt und beim Öffnen fanden sich 39 Sponsoren, die mich per E-Mail oder telefonisch mit Angeboten kontaktieren könnten. Alle Sponsoren waren per Voreinstellung mit Häkchen ausgewählt, was meine Zustimmung in Form von “Ja, ich bin an tollen Angeboten interessiert” bedeutete. Das Wort “Partner” war ebenso verlinkt, wo sich nach demselben Prinzip acht Sponsoren fanden.

iPhone_scam_partners.jpg

iPhone_scam_sponsors.jpg
Ferner besagten die AGBs, dass mir diese Partner kostenlose Produktproben zuschicken könnten. Darüber hinaus bestand laut den Teilnahmebedingungen auch die Möglichkeit durch Zusendung einer Postkarte, mit dem Kennwort “Mein-Gewinn”, ohne Zustimmung zu den AGBs teilzunehmen - dazu fehlte jedoch eine Postanschrift! Teilnehmer konnten ansonsten zwar außerdem ihre Zustimmung widerrufen, hierzu fehlten jedoch jegliche Instruktionen.

Wichtig für Deine Teilnahme

Nach Eingabe meines Namens, meiner E-Mail-Adresse und Zustimmung zu den AGBs wurde ich zusätzlich aufgefordert, mein Geburtsdatum und meine Adresse - ganz klar, zur Zusendung meines neuen iPhones - sowie Mobilfunknummer anzugeben. (Die Nummer wohl für den Fall, dass meine Türklingel nicht funktioniert, wenn der Postbote kommt oder ich nicht zu Hause bin? Vermutlich benötigten sie es eher für die Sponsoren, um mich mit Werbeanrufen zu bombardieren.)

iPhone_scam_4.jpg

Als nächstes kam eine Seite mit roter, gestrichelt umrahmter Box und rotem Text, wonach mir nun wichtige Informationen per E-Mail geschickt wurden, welche ich unbedingt zur erfolgreichen Teilnahme und zum Erhalt meines Gratis-Geschenks bestätigen müsste. Wie aufregend!

So viele Fragen!

Zur Erhöhung meiner Gewinnchancen, was ich beabsichtigte, hatte ich die Option einige Zufallsfragen zu beantworten. Diese reichten von “Haben Sie Interesse am Erhalt von Informationen zu Zahnzusatzverischerungen” bis hin zu “Besitzen Sie einen Hund?”.

iPhone_scam_5.jpg
Diese Fragen mögen für Dich und mich zufällig wirken und führten bestimmt zu nichts anderem, als der Steigerung meiner Gewinnchancen auf ein iPhone (ich glaube, davon konnte mich nichts mehr abhalten). Womöglich führten sie jedoch auch zu weiteren Einnahmen für Esteo Ads d.o.o, welche ja gemäß ihrer AGBs meine persönlichen Daten an Sponsoren und Partner weitergeben konnten, vermutlich damit mir diese wiederum Angebote schicken. Meine Antworten auf die Zufallsfragen wurden möglicherweise ebenso den Sponsoren und Partnern übermittelt, um einzuschätzen, ob ich in deren Zielgruppe passe.

Die wichtige E-Mail

Nach Beantwortung der Fragen prüfte ich meine E-Mails, um den Prozess abzuschliessen. In der frisch eingegangenen E-Mail wurde ich zur Bestätigung meiner kostenlosen Teilnahme zum Klick auf einen Link aufgefordert.

Auf der Bestätigungsseite erschien die Information “Du hast es geschafft!” und mir wurde viel Glück gewünscht.

Aber die Geschichte endet hier noch nicht. Es war wohl wirklich mein Glückstag, es gab nämlich noch weitere Angebote und Rabatte auf der Bestätigungsseite!

chance_to_win_iPhone6s.png



Ich klickte auf das O2 “KEINE Grundgebühr”-Angebot und gelangte auf folgende Seite:

iLead_iTrack_not_O2.png
Dabei enthielt die zugehörige URL die Parameter “iLead.iTrack.it” – womit vermutlich in diesem Prozess ein Affiliate-Partner von O2 weiteren Profit macht.

Leider keine kostenlosen iPhones für Avast-User

Es tut mir furchtbar leid, dass ich das euch jetzt sagen muss, aber dieses tolle Angebot ist wohl ein Betrug und die Teilnahme in diesem “Preisausschreiben” ist auch nicht kostenlos – Du bezahlst mit Deinen persönlichen Daten. Ich bin auch wahnsinnig enttäuscht! Ich werde weiterhin mein Sparschwein füttern müssen, bis ich mir selbst ein neues iPhone kaufen kann.

AMS_block_iPhone_scam.png
Wenn es sich hierbei um ein Programm oder eine App handeln würde, würde es Avast als potentiell unerwünschtes Programm (PUP) erkennen. PUPs verbreiten normalerweise keine Malware, bedienen sich jedoch “Social-Engineering”-Methoden, um Nutzer zu unüberlegten Handlungen und Entscheidungen zu verleiten, die sie normalerweise so nicht treffen würden, wenn ihnen klar wäre was dabei in Wirklichkeit vor sich geht. Da es sich hierbei um eine Website handelt, kann Avast diese zwar nicht als potentiell unerwünscht, jedoch - wie auch hier geschehen - als gefährliche Malware erkennen.

Die Betrüger hinter diesem Scam nutzen sogenanntes “Social Engineering” um gutgläubige Nutzer hereinzulegen. Der erste Schritt war die Textnachricht, wovon einige Empfänger glauben mögen, sie hätten ein iPhone oder eine Geschenkkarte gewonnen. Danach werden sie dazu verleitet, einen Link zu klicken und persönliche Informationen anzugeben. Davon profitieren Firmen wie Esteo Ads d.o.o., indem sie diese Daten an Dritte weiterverkaufen, die wiederum ihre Werbung an die arglosen Nutzer schicken.

Übrigens hat es sich herausgestellt, dass nicht nur ich mit meinem iPhone Ziel dieser Betrugsmasche war: Auch meine Kollegin, Android-Smartphone-Besitzerin hat die gleiche SMS mehrmals erhalten. Dieser Scam ist kein Einzelfall und auch ein ideales Beispiel dafür, dass iPhone-Nutzer nicht komplett immun sind. Da es sehr schwierig ist, Malware im App Store einzuschleusen, müssen Malware-Autoren und Scammer entsprechend auf “Social Engineering” - wie bei diesem Scam - setzen, um iOS-Fans zu attackieren.

Sicherheitstipps:
1. Sei misstrauisch bei Textnachrichten mit Angeboten die zu gut erscheinen, als dass sie wahr sein könnten – denn meistens sind sie zu gut, um wahr zu sein!
2. Lese immer das Kleingedruckte, um genau zu wissen, wem Du Deine persönlichen Daten gibst
3. Wenn Du Android-User bist, installiere Avast Mobile Security auf Deinem Smartphone und stelle sicher, dass Dein Mac oder PC auch mit Avast geschützt ist