Wie sieht Kundendienst bei Scareware aus?

Mit betrügerischer Schutz-Software verdienen Cyberkriminelle eine Menge Geld. Die auch als Scareware bezeichneten Programme täuschen eine Infektion des Rechners vor, um potenzielle Opfer zum Kauf der teuren Vollversion zu nötigen. Der Gegenwert für den hohen Preis ist allerdings gleich Null, auch der angebotene Kundendienst ist keinen Rappen wert.

Christopher Boyd (Alias: Paperghost), seit Februar für Sunbelt Software tätig, hat nachgeprüft, was Scareware-Anbieter für das Geld, das sie verlangen, eigentlich leisten. Die Erwartungen waren gering und haben sich wenig überraschend auch bestätigt. Im Sunbelt-Blog berichtet Boyd über Erfahrungen aus seiner Verwandtschaft mit im Internet an jeder Ecke angebotener, vorgeblicher Schutz-Software.

Wer auf die Maschen der Scareware-Anbieter herein fällt, installiert eine solches vermeintliches Antivirusprogramm und wird sogleich mit Meldungen über vorgeblich gefundene Schädlinge überhäuft. Um sie zu entfernen, wird das Opfer zum Kauf einer 50 bis 100 US-Dollar teuren Vollversion genötigt, zahlbar per Kreditkarte.

Das Opfer erhält dafür immerhin eine Mail, die den Kauf bestätigt. Sie enthält Download-Anweisungen für die Vollversion sowie für deren Installation. Darin heisst es etwa, man solle vorhandene Antivirus- und Firewall-Software wenigstens vorübergehend deaktivieren, um das Scareware-Produkt zu installieren. Das Opfer kann sich sogar auf einer Website anmelden, die Kunden-Support bieten soll. Doch da wird praktisch nichts geboten. Eine FAQ-Seite hat nur einen Eintrag, der sinngemäß lautet: «Mein Problem ist hier nicht aufgeführt. Ich habe eine andere Frage». Der Link dahinter führt zu einem Mail-Formular. An dieser Stelle hat Boyd offenbar die Lust verlassen noch tiefer nachzubohren.

Doch was bietet die herunter geladene Vollversion? Einmal installiert, sind plötzlich - ohne weitere Aktion - alle Meldungen über die vorgeblich gefundenen Schädlinge verschwunden. Der Rechner ist offenbar sauber. Um die Täuschung noch ein wenig länger aufrecht zu erhalten, lädt die optisch mit der Gratisvariante identische Vollversion beim Klick auf den Update-Button die Signatur-Updates von ClamAV herunter.

Das Programm legt nun auch seiner Deinstallation keine Steine mehr in den Weg. Es hat seinen Zweck erfüllt, indem das Opfer um (in diesem Fall) 69 Dollar erleichtert wurde, mehr ist nicht zu holen. Die Infrastruktur hinter den nahezu täglich unter neuen Namen angebotenen Betrugsprogrammen ist stets die gleiche. Vermeintliche Support-Seiten und Download-Portale sind bis auf die Produktnamen identisch und austauschbar.