29 Millionen $ erbeutet 3ve: So wurden die Werbe-Betrüger  geschlagen

Mit einem riesigen Botnetz wurden Werbetreibende um Millionen betrogen. Google legt nun in einem Bericht da, wie 3ve erkannt und zerschlagen wurden.

Am Dienstag verkündete der US-Bundesanwalt für die Östlichen Gerichtsbezirk von New York die Anklage von acht Männer, die mittels zweier gigantischen Betrugsnetzwerke Millionen erbeuteten. Drei der Angeklagten wurden gefasst, die anderen sind auf der Flucht.

Eines diese Netzwerk nannte sich 3ve (ausgesprochen wie der englische Name Eve). In einem Bericht haben Google und die Sicherheitsfirma White Ops nun aufgezeigt, wie die Masche funktioniert und wie 3ve schliesslich besiegt werden konnte. Bei der Untersuchung waren allerdings noch viel mehr Parteien beteiligt. Neben Strafverfolgungsbehörden wie dem FBI waren dies diverse andere grosse Tech- und IT-Sicherheitsfirmen wie Amazon, Facebook, Microsoft, Symantec oder Malwarebytes.

Websites wurden nachgemacht

3ve trat seit 2016 in Erscheinung. Es war wohl der Nachfolger des von 2014 bis 2016 bestehenden Botnetzes Methbot und wurde teilweise von denselben Personen betrieben, weshalb sich die erwähnte Anklage auf beide Netzwerke bezieht.

3eve durchlief im Laufe seiner Existenz mehrere Variationen. In seiner ersten Version lief 3ve auf von den Betrügern angemieteten Servern — unschuldige Nutzer waren also hier nicht involviert. Die 3ve-Bots besuchten dann millionenfach Websites, die ebenfalls von den 3ve-Betreiber kreiert wurden. Auf diesen klickten sie dann auf eine Werbeanzeige. Den Werbetreibenden wurde dabei aber suggeriert, dass der Klick von menschlichen Nutzern auf legitimen, hochwertigen Websites erzeugt wurde — etwa von bekannten Zeitungen — und sie bezahlten entsprechend für ihre Werbung.

Das sind zwar meistens nur Rappen-Bruchstücke pro Klick, aber bei Millionen Klicks pro Tag summiert sich das natürlich schnell. Um ihren Spuren weiter zu verwischen, legten die 3ve-Betreiber über 60’000 Konten bei Werbenetzwerken an, auf denen ihre Einahmen verbucht wurden.

Unschuldige Nutzer missbraucht

Die zweite 3ve-Variante war die erfolgreichste. Hier wurden 1,7 Millionen Computer von realen Nutzern mit Malware infiziert, mit den Namen «Boaxxe/Miuref» und «Kovter». Diesen wurden zu einem Botnetz kombiniert, mit dem die 3ve-Betreiber, wie oben erklärt, automatisch Werbe-Klicks erzeugten. Der betroffene PC-Besitzer bekam davon nichts mit.

Die Betreiber haben zudem penibel darauf geachtet, nur PC in Nordamerika und Westeuropa zu infizieren. Grund war, dass hier glaubhafter ist, dass die Klicks wirklich von den hochwertigen Seiten stammen, die die 3ve-Betreiber nachbauten.

Koordinierter Zugriff

Nachdem die Funktionsweise von 3ve erkannt wurde, wurde ein Plan zur Zerschlagung des Botnetzes entwickelt. Am 22. Oktober wurden in einer vom FBI koordinierten Aktion 31 Web-Domains und 81 Server beschlagnahmt, die zur Steuerung von 3ve genutzt wurden. Zudem wurden Schweizer Bankkonten der Beschuldigten eingefroren.

Innerhalb von 18 Stunden wurde jegliche Aktivität von 3ve ausgelöscht. Nach Schätzungen des FBI hatten die Betreiber insgesamt 29 Millionen Dollar erbeutet.

Sicherheit im Internet: Die essentielle Checkliste

Weitere 10 Bilder ansehen

Sicherheit im Internet: Die essentielle 7-Punkte-Checkliste

Für die eigene Sicherheit im Netz ist man selbst verantwortlich. Einige einfache Schritte sorgen hier bereits für den richtigen Schutz. Wir zeigen Ihnen, welche Sicherheitchecks Sie regelmässig durchführen sollten:

Bild: iStock

1) Passwörter müssen regelmässig geändert werden.

Bild: iStock

Regelmässig sollten Sie zudem checken, ob Ihre Passwörter oder Ihre Accountdaten vielleicht kompromittiert wurden. Diese geht unter «Have I been pwned» (https://haveibeenpwned.com/).

Bild: Bluewin/Dirk Jacquemin

2) Von wo waren Sie überall eingeloggt? Dienste wie Facebook oder Google bieten Übersichtsseiten an, auf denen man sehen kann, wo man sich alles eingeloggt hat. Dazu gibt es dann meistens Infos wie die genutzte IP-Adresse oder den verwendeten Browser.

Bild: Bluewin/Dirk Jacquemin

3) Bei vielen Websites und Diensten muss man sich nicht direkt anmelden, stattdessen wird der Umweg über den Facebook- oder Google-Account genommen. Daher sollte bei diesen Zugriffsrechten regelmässig aufgeräumt werden. Was nicht genutzt wird, fliegt raus.

Bild: Bluewin/Dirk Jacquemin

4) Das gleiche Prinzip gilt für Apps auf dem Smartphones. Brauchen diese wirklich alle ihnen zugestandene Berechtigungen? Will man eine App nicht ganz löschen, kann man zumindest ihre Rechte einschränken.

Bild: Bluewin/Dirk Jacquemin

5) Wissen Sie, was alles gerade auf Ihrem PC aktiv ist? Der Task-Manager von Windows...

Bild: Bluewin/Dirk Jacquemin

...sowie die Aktivitätsanzeige von macOS geben Antwort

Bild: Bluewin/Dirk Jacquemin

6) Gefahr droht nicht nur von Hackern in fernen Ländern. Vielleicht macht sich der 15-jährige Sohn Ihrer Nachbarn ein Spass daraus, in fremde WLANs einzudringen. Daher sollten Sie regelmässig überprüfen, ob sich nicht Eindringlinge in Ihrem Netzwerk tummeln.

Bild: iStock

7) Schliesslich sind regelmässige Updates auf allen Geräten und bei aller Art von Software essentiell. Aktuelle Software ist der beste Schutz gegen jegliche Gefahren. Daher sollte wo immer möglich das automatische Updaten aktiviert werden oder ersatzweise regelmässig manuell nach Updates geschaut werden.

Bild: Bluewin/Dirk Jacquemin