Spam-Mails ködern mit Passwort-Reset - Unsichtbar öffnet sich ein iframe

Spam-Mail lockt Empfänger mit gefälschter Aufforderung zum Zurücksetzen ihres Passworts auf Website einer Online-Apotheke

(05.07.10) - Avira warnt vor einer aktuellen Spam-Welle, deren Mails dem Anwender vortäuschen, jemand hätte das Zurücksetzen seines Passworts für die eigene Domain angefordert. Klickt er auf den Link, gelangt er zum Verkauf von Produkten einer dubiosen Online-Apotheke. Empfänger solcher Mails sollte auf keinen Fall die darin enthaltenen Links anklicken - oder gar etwas auf der Seite bestellen.

Die E-Mails bringen den Empfänger mit Betreffzeilen wie "Reset your <Domain-Name> password" dazu, sie umgehend zu öffnen und legen ihm im weiteren Text der Mail ausdrücklich nahe, dem eingebetteten Link zu folgen. Darin wird behauptet, das Zurücksetzen des Passworts ließe sich nur verhindern, wenn der Nutzer dem angegebenen Link folge. Dieser soll ebenfalls geklickt werden, um das Zurücksetzen zu bestätigen - damit wollen die Spammer sichergehen, dass weitere Mail-Empfänger auf den Betrug reinfallen.

Was der Anwender jedoch nicht sieht ist, dass der in der Mail angezeigte Link auf eine andere Adresse verweist. Anstatt auf die eigene Domain wird er auf eine Web-Adresse in der Art von http://<irgendeine.domain.tld>/index2.html weitergeleitet.

Doch damit nicht genug: Während die Seite aufgerufen wird, läuft im Hintergrund ein Countdown von vier Sekunden, bevor der Browser auf eine andere Zielseite umgeleitet wird. Gleichzeitig öffnet sich unsichtbar ein sogenannter iframe. Häufig nutzen Cyberkriminelle derartige iframes, um Sicher-heitslücken in installierten Browser-Plug-ins und veralteter Software zum Einschmuggeln etwa eines Trojaners zu missbrauchen.

Anschließend wird der Nutzer auf die Website einer vermeintlichen kanadischen Online-Apotheke gelenkt. Diese Seiten sind in der Regel jedoch betrügerisch und haben zum Ziel, bei einer Bestellung die Kreditkarteninformationen des Anwenders für weiteren Missbrauch abzugreifen. Wenn der Nutzer beim Kauf überhaupt etwas bekommt, sind es oftmals nur gefälschte Medika-mente, die zudem ein Gesundheitsrisiko darstellen können.

Wer eine solche Spam-Mail erhält, sollte auf keinen Fall die darin enthaltenen Links anklicken - oder gar etwas auf der Seite bestellen. Am besten sind Anwender beraten, die Mail umgehend aus dem Postfach zu entfernen und endgültig zu löschen. (Avira: ra)