Hoaxes: Ursprung und mögliche Gefahren

1 Jul 2019

Kaspersky Produkte stufen bestimmte Software als Hoax ein. In Anschluss erklären wir Ihnen, was diese Einstufung überhaupt bedeutet, in welchen Fällen unsere Produkte diese Einstufung treffen und warum Nutzer sich vor derartigen Programmen in Acht nehmen sollten.

Astrologen kündigen das Jahr der Hoaxes an

Grund für diesen Beitrag ist die immer ansteigende Anzahl der Entdeckungen, die von unseren Produkten als Hoax eingestuft wurden. Die Anzahl der Nutzer, die auf derartige Software gestoßen sind, hat sich im letzten Jahr verdoppelt. Kurz gesagt, immer mehr Nutzer bewegen sich im Risikobereich. Daher lohnt es sich, das Problem ausführlich zu analysieren. Beginnen wir mit einer kurzen Betrachtung der Hintergründe.

Viele Nutzer beschweren sich über das zu langsame Hochfahren des Computers, die endlosen Startzeiten von Anwendungen und manchmal sogar über Systemabstürze mit Fehlermeldungen. Hierbei handelt es sich um ein Problem, dem wohl jeder gelegentlich begegnet. Der Rechner wird während des Betriebs häufig zahlreichen Daten „verstopft“, was dann die Beeinträchtigung der Rechengeschwindigkeit zur Folge hat.

Nachfrage schafft Angebot und so vermehrten sich bald Programme, die eine Beschleunigung und Reinigung des Computers versprachen. Das schnelle Wachstum dieser Software begann in den späten 2000er Jahren und hält bis heute an.

PC-Reinigungsprogramme suchen im Allgemeinen nach unbenutzten oder temporären Dateien, Registrierungsschlüsseln, Startprogrammen und so weiter und melden dem Nutzer die Gegenwart dieses „digitalen Mülls“; der Nutzer entscheidet dann, ob das Programm den Computer reinigen soll oder nicht. Auf diese Weise wird dann die allgemeine Systemleistung verbessert – jedenfalls in einem gewissen Umfang.

Leider hat Software zur PC-Reinigung/ Beschleunigung nicht immer gute Absichten. Inmitten der ehrlichen Entwickler, die Programme erstellen, um Nutzern zu helfen, sind auch ziemlich viele Cyberkriminelle im Spiel.

Was ist ein Hoax?

Einige Programme zur PC-Reinigung und Leistungsverbesserung zwingen den Nutzer zur Zahlung, um die vermeintlich erkannten Bedrohungen wieder los zu werden. Es gibt zwei wesentliche Merkmale, mit denen gutartige von schädlicher Software unterschieden werden kann:

  • Erstens: Letztere führen den Nutzer bewusst in die Irre, indem das mögliche Risiko stark übertrieben wird oder gar nicht vorhandene Fehler gemeldet werden.
  • Zweitens: Sie zwingen Nutzer vielmehr zum Kauf als sie lediglich dazu aufzufordern, indem sie erklären, dass das Problem unentgeltlich nicht gelöst werden kann.

Bei Kaspersky nennen wir solche Programme Hoax – Software, die den Nutzer absichtlich in die Irre führt. Hier sind einige Beispiele der Einstufungen, die Kaspersky-Produkte für solche Programme verwenden:

  • HEUR:Hoax.Win32.Uniblue.gen
  • Win32.PCFixer.gen
  • Win32.DeceptPCClean.*
  • Win32.PCRepair.*
  • HEUR:Hoax.Win32.PCRepair.gen
  • HEUR:Hoax.MSIL.Optimizer.gen
  • Win32.SpeedUpMyPC.gen

So funktionieren Hoax-Programme

Nach der Installation führt das Hoax-Programm einen System-Scan durch. Dabei wird so gut wie alles gescannt, was auch von legitimen PC-Reinigungsprogramme unter die Lupe genommen werden würde. Nach dem Scan wird dem Nutzer ein Fenster mit Informationen zu den erkannten Problemen angezeigt.

Und genau hier liegt das Hauptproblem bei dieser Art von Software. Dem Nutzer werden bedrohliche Nachrichten über die angeblich enorme Anzahl der im System gefunden Fehler angezeigt. Hier ein Beispiel eines „Reinigungsprogramms“, das bei den potenziellen Problemen mit Registrierungsschlüsseln deutlich übertreibt:

Beispiel eines PC-Reinigungsprogramms, das die Tragweite potenzieller Probleme mit Registrierungsschlüsseln übertreibt

Beispiel eines PC-Reinigungsprogramms, das die Tragweite potenzieller Probleme mit Registrierungsschlüsseln übertreibt

Darüber hinaus kann es sein, dass das Tool tatsächliche Programmfehler findet, deren Wichtigkeit dann jedoch durch irreführende Sprache übertrieben wird. Zum Beispiel variiert der Treiberstatus bei diesem Treiber-Updater von „alt“ bis „uralt“.

This tool rates the driver version installed in the system as

Dieses Tool bewertet die im System installierten Treiber-Versionen als „alt“, „sehr alt“ oder „uralt“

Manche Programme lassen sich nicht sofort schließen, wenn der Nutzer auf das kleine x klickt, und zeigen stattdessen ein anderes Fenster mit der bedrohlichen Nachricht „Schadenshöhe: hoch“ an.

Attempting to close the program causes another intimidating window to appear

Beim Versuch das Programm zu schließen, wird ein weiteres bedrohliches Fenster geöffnet

Hoax-Programme fügen sich auch gerne der Autorun-Funktion hinzu, um den Nutzer dann mit Pop-up-Benachrichtigungen zu überschütten, die diesen darauf hinweisen, dass mit dem Computer etwas nicht in Ordnung ist.

Hoax pop-up notification

Hoax-Pop-up-Benachrichtigung

Hoax-Programme sind nicht auf das Windows-Ökosystem beschränkt. Hier ist ein Beispiel für MacOS, bei dem leicht erhöhte Protokoll-/ Cache-Nutzung als stark bedenklich gemeldet wird.

Example of a Hoax in MacOS

Hoax-Beispiel bei MacOS

Zur Problemlösung wird dem Nutzer zum Erwerb der Vollversion der Software geraten. Nach dem Kauf der Vollversion befreien viele dieser Programme den Computer tatsächlich von dem, was sie gefunden haben. Die Notwendigkeit dieser Dienste wurde jedoch, wie oben gesagt, stark übertrieben. Einige Hoax-Programme reinigen den Computer dagegen überhaupt nicht. Im besten Fall zahlt man als Nutzer also zu viel und im schlechtesten Fall bekommt man nichts für sein Geld.

Verknüpfte Adware und die Chance auf einen Trojaner

Aus reiner Profitgier gehen einige Hersteller betrügerischer PC-Reinigungsprogramme noch einen Schritt weiter und installieren neben ihrer eigenen Software noch andere Programme auf dem Computer des Nutzers. Es handelt sich normalerweise um Adware, in einigen Fällen kann es jedoch auch ein Trojaner sein.

Zum Beispiel kann die Verwendung eines Hoax-Tools dazu führen, dass der Computer des Nutzers teilweise blockiert wird. Das unten angezeigte Programm erweitert sich auf Vollbild-Ansicht, überlagert die Symbolleiste und blockiert Versuche durch Drücken der Tasten Alt+Tab zwischen Programmen zu wechseln und durch Drücken der F11-Taste wieder zurückzukehren.

A screen blocking the computer with the option to open remote access

Eine Bildschirmanzeige, die den Computer blockiert und die Option zum Öffnen des Fernzugriffs gibt

Danach werden Nutzer aufgefordert, einen Code zum Entsperren des Computers einzugeben (den sie natürlich nicht haben) oder den Fernzugriff über TeamViewer, AnyDesk oder andere Fernzugriffsprogramme, deren Icons sich bequem rechts im Fenster befinden, zu öffnen.

So schleusen sich Hoaxes auf den Computer

Die Zielgruppe der Hoax-Entwickler sind unerfahrene Heimanwender, die mit dem Betriebssystem des Geräts nicht sehr vertraut sind oder sich darum sorgen, den „Müll zu entsorgen“ und das System zu aktualisieren.

Wenn der Computer spürbar langsamer wird, suchen viele Nutzer online nach Lösungen und können so eine Hoax-App aufgreifen, wenn sie nicht vorsichtig sind.

Es gibt jedoch noch eine weitere Vertriebsmethode. Ein Hoax kann manchmal durch Werbeangebote oder betrügerische Websites erworben werden. Eine Infektion durch Adware kann folgendermaßen aussehen:

Example of an infection through adware offering to speed up the computer

Beispiel einer Infektion durch Adware, die eine Beschleunigung des Computers verspricht

Sie können auch auf betrügerische Websites stoßen, die „Dienste“ zur PC-Reinigung/ Beschleunigung anbieten. Diese Seite zeigt zum Beispiel eine Nachricht, dass Spyware auf dem Computer erkannt wurde.

Example of a page mimicking a Microsoft site and scaring the user with viruses

Beispiel einer Website, die eine Microsoftseite imitiert und den Nutzer mit Viren erschreckt

Normalerweise wird der Nutzer aufgefordert entweder den „technischen Dienst“ anzurufen (wo man verbal zur Zahlung aufgefordert wird) oder ein Hoax-Tool herunterzuladen. Vertrauen Sie solchen Seiten unter keinen Umständen.

Eine weitere Methode zur Verbreitung von Hoax-Software, die sich zunehmender Beliebtheit erfreut, ist durch Pop-up-Benachrichtigungen im Browser, die einige Nutzer ohne nachzudenken annehmen. Push-Benachrichtigungen im Browser sind jetzt sehr beliebt (auch unter Betrügern) und sie bereiten vielen Nutzern Kopfschmerzen.

Nicht jeder versteht, wie sie funktionieren, wo sie herkommen und wie man sie deaktiviert. Manchmal sind Nutzer sich nicht einmal bewusst, dass diese Nachrichten über ihren Browser kommen und von Websites mit weniger guten Absichten herrühren.

Browser notifications redirecting users to download a Hoax utility

Browser-Benachrichtigungen, die Nutzer zum Download eines Hoax-Tools weiterleiten

Nach dem Klicken auf solche Nachrichten werden Nutzer häufig auf betrügerische Seiten, die sich als Sicherheitskomponenten ausgeben, geleitet. Hier ist ein Beispiel einer betrügerischen Website, die die Benutzeroberfläche des Windows Defenders nachahmt.

Fraudulent page simulating the Windows Defender interface

Betrügerische Seite, die die Benutzeroberfläche des Windows Defenders nachahmt

Nachdem der Nutzer ausreichend mit den scheinbaren Problemen seines Computers erschreckt wurde, wird er zur Hoax-Downloadseite weitergeleitet.

Hoax download page

Hoax Downloadseite

Hoax-Verteilerstatistiken und geographische Daten

Wie zu Beginn des Posts angegeben, haben wir Ende 2018 einen Boom der Marktaktivität für betrügerische Leistunsoptimierungssoftware beobachtet. Der Boom hält an. Die Anzahl der betroffenen Nutzer hat sich seit Anfang letzten Jahres mit einem entsprechenden Anstieg der Beschwerden verdoppelt.

 

Unsere Statistiken zeigen, dass das beliebteste Zielland für Hoax-Hersteller Japan ist. Dort begegnete in den letzten Jahren einer von acht Nutzern dem Problem. Auf Japan folgt Deutschland und dann erstaunlicherweise Weißrussland. Italien und Brasilien vervollständigen die Top 5.

 

Antivirus-Entwickler halten die Hoax-Welle in einem gewissen Umfang auf und einige betrügerische Programme wurden sogar vom „Markt“ verbannt.

Als Reaktion darauf haben mehrere Hoax-Vertreiber das Vertriebsmodell der „bedrohlichen Nachrichten“ hinter sich gelassen und stattdessen ein Modell angenommen, das die Nutzer angemessener informiert ohne die Schwere der gefundenen Probleme künstlich aufzublähen, und sie bieten kostenlose Demo-Versionen ihrer Produkte an. Der Kampf ist jedoch noch lange nicht vorbei.

Warum sind Hoax-Apps schlecht?

Wir halten es aus mehreren Gründen für wichtig, Nutzer über Programme der Hoax-Kategorie zu warnen:

  • Die Hersteller solcher Software führen Nutzer bewusst in die Irre, indem sie das Risiko der Probleme, die sie finden, übertreiben – oder sogar nicht existierende Probleme melden.
  • Solche „Dienste“ können unangemessen teuer sein.
  • Einige Hoax-Programme lösen gar keine tatsächlichen Probleme und schaffen lediglich die Illusion der Fehlerbehebung.
  • Zahlreiche Hoax-Hersteller installieren gemeinsam mit ihren Programmen zusätzliche Software, die von Adware bis hin zu regelrechter Malware reicht.

Wie kann man sich gegen Hoax-Software schützen

Diese Tipps werden Ihnen helfen, potenzielle Bedrohungen zu umgehen:

  • Ignorieren Sie bedrohliche Warnungen über Viren oder Fehler auf Ihrem Computer, die von Websites angezeigt werden.
  • Verwenden Sie ausschließlich qualiativ hochwertige Tools. Führen Sie dazu eine umfassende Rechereche durch und vertrauen Sie auf professionellen Rat.
  • Um ein Rendezvous mit einem Hoax zu vermeiden, sollten Sie eine zuverlässige Antivirus-Lösung installieren, die Sie vor betrügerischen Programmen warnt.