Wie unachtsame Webseiten-Besucher mit dieser Masche gleich mehrfach abgezockt werden, zeigt ein aktuelles Beispiel aus den G Data Security Labs.

Besuchern, die die deutsche Internetpräsenz des Virenschutz-Anbieters McAfee ansteuern möchten, droht durch einen unbeabsichtigten Vertipper bei der Webseiten-Adresse gleich in mehrfacher Hinsicht Gefahr durch Internet-Abzocker. Wer statt des offiziellen Domainnamens (mcafee.de) aus Versehen eine minimal andere Namensvariante eintippt (mcaffe.de), findet sich auf einer Webseite des Domain-Händlers NameDrive wieder, welche eine Reihe von sogenannten Sponsored Links enthält, die im Zusammenhang mit Antiviren-Software stehen. Auf der Seite lag aber nicht nur harmlose Werbung.

In dieser Link-Liste fanden sich neben etablierten Virenschutz-Programmen auch Einträge zu den Webseiten Trojaner-Doktor.com und AntiVirusDoktor.com. Anwender sollten unbedingt vom Besuch dieser Webseiten absehen, da es sich bei der angepriesenen Software „Antivirus Doktor 2009“ um ein Produkt mit zweifelhaftem Nutzwert handelt. Nach der Installation der Software bietet diese an, den Rechner auf Spyware, Adware, Trojanische Pferde, Keylogger, Würmer, Rootkits, Rogue-Anwendungen und diverse Registry-Probleme zu scannen. 

Die Erkennungsleistung lässt allerdings stark zu wünschen übrig; nicht einmal das sogenannte EICAR-Testfile, eine harmlose Prüfdatei, die als Industrie-Standard zum Testen von Antivirus-Produkten angesehen werden kann und in jedem Fall erkannt werden sollte, veranlasst „Antivirus Doktor 2009“ dazu, die Datei als potenzielle Bedrohung einzustufen.

Im Anschluss an den Scanlauf meldet „Antivirus Doktor 2009“, dass es eine Reihe von Fehlern, hauptsächlich in der System-Registry, gefunden habe, von denen jedoch kein einziger durch die nunmehr als „Testversion“ bezeichnete Software behoben werden könne. Klickt man innerhalb der Software auf den entsprechenden Button, öffnet sich eine Webseite, auf der zum Preis von EUR 49,85 die Vollversion von „Antivirus Doktor 2009“ erworben und gleich per Kreditkarte bezahlt werden kann.

Die faktisch nicht vorhandene Erkennungsleistung, das Unvermögen zur Behebung auch nur eines einzelnen während des Scanjobs gefundenen Fehlers sowie der Hinweis, der Anwender müsse hierzu die Vollversion erwerben, machen „Antivirus Doktor 2009“ zu einer sogenannten Scareware oder Rogueware. Dabei handelt es sich um Programme, die dem Anwender suggerieren, dass auf dem Rechner Schadsoftware oder Systemprobleme entdeckt worden seien und ihn anschließend dazu auffordern, eine kostenpflichtige Vollversion zu erwerben oder die Software kostenpflichtig zu registrieren. Betroffene Anwender sollten dieser Aufforderung mit äußerster Skepsis begegnen und sich bei der Herausgabe ihrer Kreditkarten-Informationen in Zurückhaltung üben.

Damit jedoch nicht genug: Beim Öffnen von mcaffe.de erwartet den Besucher noch eine weitere Abzock-Variante in Form einer Abo-Falle. Diese funktioniert folgendermaßen:

Parallel zur oben geschilderten Link-Liste öffnet sich in einem weiteren Browserfenster die Webseite softwaresammler.de, auf der ein direkter Download der kostenlosen PDF-Software Adobe Reader 9 angepriesen wird. Zum Download soll der Besucher der Webseite lediglich seine persönlichen Daten eingeben. Der Haken: Mit der Abgabe der persönlichen Daten soll nach Ansicht des Webseiten-Betreibers ein kostenpflichtiger Abo-Vertrag mit einer Laufzeit von zwei Jahren zustande kommen, der pro Monat mit 8 Euro berechnet wird, insgesamt also 192 Euro. Beim Absenden soll der Anwender zudem die Allgemeinen Geschäftsbedingungen des Anbieters akzeptieren, wodurch er nach Lesart des Anbieters gleichzeitig auf sein Widerrufsrecht verzichtet.

Ein derartiges Vertragskonstrukt dürfte insbesondere im Hinblick auf den Verzicht des Anwenders auf sein Widerrufsrecht auf wackeligen Füßen stehen und im Zweifelsfall nichtig sein. Gleichwohl scheuen sich Anbieter ähnlicher Abo-Fallen nicht, den Opfern, die auf eine derartige Masche hereingefallen sind, wenig später eine Rechnung über das angeblich geschlossene Abonnement zu präsentieren.

Geprellte Anwender, die eine derartige Rechnung erhalten haben, sollten keinesfalls bezahlen und stattdessen die Rechnung und den angeblich geschlossenen Vertrag anfechten. Auch von dem daraufhin in aller Regel seitens des Anbieters einsetzenden Säbelrasselns in Form von Mahnungen oder gar Inkasso-Drohungen sollten sich Opfer nicht einschüchtern lassen. Bisher ist noch kein derartiger Fall bekannt geworden, in dem ein Abo-Fallen-Anbieter einen gerichtlichen Mahnbescheid erwirkt hätte. Eine sinnvolle Anlaufstelle für Empfänger von ungerechtfertigten Abo-Rechnungen sind die Verbraucherschutzzentralen, die Hilfestellung z.B. in Form von Musterschreiben anbieten, mit denen gegen die Zahlungsaufforderung Widerspruch eingelegt werden kann.

Offensichtlich erfolgt durch den Domain-Händler NameDrive, der die Vertipper-Domain mcaffe.de „geparkt“ und mit Sponsor-Links versehen hat, keine ausreichende Prüfung der Inhalte der verlinkten Seiten. Die Links sind zwar derzeit nicht mehr zugänglich; das liegt aber offenbar nicht daran, dass NameDrive sie entfernt hätte. G Datas Bitte, die Domains aus den Sponsored Links zu entfernen, wurde vom Support-Team als nicht durchführbar zurückgewiesen. Zum PopUp mit einer Abo-Falle steht eine Rückmeldung noch aus. G Data ist um eine kooperative Lösung mit NameDrive bemüht, aber auch rechtliche Schritte werden geprüft – insbesondere, da G Data auf der Linkliste ebenfalls erwähnt wird, jedoch ausdrücklich darauf hinweist, dass sich das Unternehmen von einer Zusammenarbeit mit NameDrive distanziert und für die Schaltung von Links auf der Webseite mcaffe.de nicht verantwortlich ist.

Ralf Benzmüller, Leiter der G Data Security Labs, rät daher dringend zur Vorsicht: „Wer als Internet-Surfer auf einer solchen Werbeseite landet, sollte sie schleunigst wieder verlassen. Klicken Sie keinen der angebotenen Links an, geben Sie keine persönlichen Daten ein und kaufen Sie auf keinen Fall dort ein.“

Quelle: G Data Software AG