VPNs oder virtuelle private Netzwerke sind persönliche private Verbindungen, die zur Verbindung mit einer öffentlichen Internetverbindung verwendet werden. Ein VPN (Virtual Private Network) bringt eine Menge Vorteile: Man ist nicht nur diskreter im Netz unterwegs und kann von Dritten schwieriger erkannt werden, es ist auch kaum möglich, den Datenverkehr abzuhören – etwa in einem offenen WLAN. Deshalb verlangen viele Unternehmen, dass ihre Mitarbeiter sich über ein VPN ins Firmennetzwerk einklinken.
Diverse Anbieter stellen Usern die Möglichkeit zur Verfügung, so ein VPN zu nutzen – oft gegen entsprechendes Entgelt. Im Zuge der Corona-Verbreitung und der rapiden Zunahme an Home-Office-Arbeitsplätzen, sind VPN Anbieter so beliebt wie noch nie. Ein Blick auf Google Trends zeigt, dass sich das Suchvolumen zum Suchbegriff „VPN“ in den vergangenen Wochen mehr als verdreifacht hat.
Doch wo die Nachfrage im Internet groß ist, sind Betrüger nicht weit. Aktuell sprießen täglich neue Webseiten aus dem Boden, die bösartige VPN-Installationsprogramme anbieten.
Und die Tatsache, dass VPN-Verbindungen besonders bei Geschäftsleuten beliebt sind, wird vermutlich dazu beigetragen, dass die Zahl der Fake-VPN-Programme in nächster Zeit noch weiter zunehmen wird. Die Informationen, die sich auf den Geräten dieser Personen befinden, sind für Cyberkriminelle äußerst interessant.
Nachfolgend zwei aktuelle Fake-VPN-Beispiele.
Update: Kurz nach Veröffentlichung dieses Artikels bekam ich eine Spam-Mail, in der für die VPN Fake-Seite InterVPN[.]pro geworben wird. Achtung, auch diese VPN-Seite verbreitet Malware! Der Anteil solcher Spam-Mails, wird in den nächsten Wochen vermutlich stark steigen.
NordfreeVPN[.]com
NordVPN (NordVPN.com) ist eigentlich ein seriöser VPN-Anbieter, der bereits seit vielen Jahren für Sicherheit und Anonymität beim Surfen sorgt.
Doch derzeit wird der Firmenname von Cyberkriminellen missbraucht. Über NordfreeVPN[.]com, einer täuschend echt aussehenden Kopie der originalen NordVPN-Internetseite, verbreiten Betrüger eine 30-tägige VPN-Testversion die Malware enthält.
Ein Blick auf die Whois-Informationen der Domain offenbart, dass die Domain erst 38 Tage alt ist.
Sobald der Computerbenutzer das Installationsprogramm von NordfreeVPN[.]com herunterlädt und startet, wird ein Payload geladen und ausgelöst. Dieser lädt im Hintergrund den Infostealer „Grand Stealer“.
Die Malware kann zahlreiche Daten abgreifen: Browser-Profile (Anmeldedaten, Cookies, Kreditkarten, Auto-Fill), Gecko-Anmeldeinformationen, FTP-Zugangsdaten, RDP-Zugangsdaten, Telegramm-Sitzungen, Kryptowährungen, Desktop-Dateien und Screenshots.
Des Weiteren kann die Malware weitere Schadprogramme nachladen und so zum Beispiel Dateien löschen / verschlüsseln oder Tastaturanschläge mitprotokollieren.
Es gibt keinen Hinweis auf den Befall. Erst wenn eine Antiviren-Software Alarm schlägt, fällt das Problem auf. Laut Virustotal erkennen jedoch erst 5 von 79 Virenscannern den Schadcode (signaturbasierte Erkennung) .
VPN4Test[.]net
Bei einem weiteren Beispiel wird der VPN-Anbieter VPN4Test (vpn4test.com) dazu missbraucht, Vertrauen bei den Benutzern zu wecken.
Es handelt sich um die Fake-Seite VPN4Test[.]net. Auch diese Fake-Seite kommt dem Original optisch sehr nahe.
Registriert wurde die Domain vor 24 Tagen.
Natürlich will man nur Ihr Bestes und bietet einen dauerhaft kostenlosen VPN Zugang an…
Das Fake-Installationsprogramm installiert die Infostealer „Azorult“ & „Masad Stealer“ sowie den Remote Access-Trojaner „Parasite“.
Die Infostealer kapern zahlreiche sensible Informationen: gespeicherte Passwörter, Browser-Anmeldedaten, Browser-Verläufe, Cookies, Chat-Sitzungen, Kryptowährungen, FTP-Zugangsdaten, Screenshots und Desktop-Dateien.
Der RAT Trojaner „Parasite“ kann das infizierte Ziel durchforsten, den Zugriff auf andere Ressourcen ausbauen, die höhere Privilegien voraussetzen und bei Bedarf auch weitere Schadprogramme herunterladen. In meiner Testumgebung wurde der Banking-Trojaner „NukeBot“ heruntergeladen. Ein Banking-Trojaner, der sensible Informationen stiehlt.
Lediglich die Antiviren-Engines von Avira, CRDF, Forcepoint, G-Data, Netcraft und Sophos erkennen den Schadcode aktuell.
Vorsicht bei der Wahl eines VPN-Anbieters
Das waren nur zwei Beispiele, es gibt noch viele weitere! Anscheinend funktioniert die Masche sehr gut.
Wenn Sie ein VPN-Dienst nutzen möchten, wählen Sie einen etablierten VPN-Anbieter mit einwandfreiem Ruf. Und laden Sie sich die VPN-Software nur direkt von der Anbieterseite herunter. Führen Sie eine Google-Recherche durch. Mit der Internetadresse des VPN-Unternehmens, und schauen Sie, ob Sie dort Auffälligkeiten finden. Sehr oft sehen gefälschte Internetseiten genauso aus wie die echten. Je nachdem, wie gut die Betrüger ihre „Hausaufgaben“ gemacht haben.
Am Ende dieses Artikels liste ich einige VPN-Anbieter auf, die bereits länger auf dem Markt sind und als etabliert gelten (keine Wertung).
Weitere Virenschutz-Tipps
- Behandeln Sie ausführbare Inhalte grundsätzlich mit äußerster Vorsicht – wo auch immer sie herkommen mögen.
- Im Gegensatz zu den Anfängen des Phänomens Malware sind die Malware-Autoren inzwischen bestrebt, ihre Schadsoftware möglichst unauffällig einzusetzen. Auf das Anzeigen von Meldungen wird weitgehend verzichtet. So kann die Malware für verschiedene Geschäftsmodelle eingesetzt werden. Nutzen Sie eine Antiviren-Software, um Malware zu entdecken. Aber gehen Sie nicht davon aus, dass Sie die Software vor allen Gefahren schützen wird.
- Gehen Sie niemals davon aus, dass eine E-Mail von einem bestimmten Konto mit dem Wissen und der Absicht der Person übermittelt wurde, die dieses Konto nutzt. Gehackte E-Mail-Konten werden sehr gerne zur Malware-Verbreitung genutzt.
- Immer neue Datenskandale zeigen, dass sich der Nutzer nicht auf eine staatliche Kontrolle und das Einhalten der gesetzlichen Vorgaben durch Internetdienstanbieter verlassen sollte, sondern seine Daten selbst aktiv schützen muss. Verbraucher sollten dabei so wenige Daten wie möglich bzw. nur die Daten, die für bestimmte Zwecke notwendig sind, im Internet preisgeben. Personenbezogen sind alle Daten, die entweder einer Person zugeordnet sind oder mit einigem Aufwand zugeordnet werden können, z. B. Name, Alter, Anschrift oder Telefonnummer.
- Der Kern eines umfassenden Virenschutz-Konzepts enthält immer eine regelmäßige Datensicherung. Machen Sie mehrere Backups, am besten auf unterschiedliche Medien.
- Man sollte immer mit einberechnen, dass das Internet grundsätzlich unsicher und riskant ist. Trotz aller Patches, aufgespielter Updates und einem installierten Virenscanner, kann etwas passieren. Misstrauen ist immer angebracht, auch wenn man nur ein wenig recherchieren möchte.
- Weitere Virenschutz-Tipps auf bleib-Virenfrei.de
Seriöse VPN-Dienste
Die VPN-Anbieter sind nach dem Alphabet sortiert. Die Reihenfolge stellt keine Wertung dar.
| VPN-Anbieter | Rechtsprechung | Log-Dateien | Verschlüsselung | Server | Preis / Jahr |
|---|---|---|---|---|---|
| Avira Phantom VPN | Deutschland | Ja | AES-256 | ? | € 60 |
| CyberGhostVPN.com | Rumänien | Nein | AES-256 | 607 | € 72 |
| ExpressVPN.com | British Virgin Islands | Ja | CA-4096 | 1500 | € 100 |
| NordVPN.com | Panama | Nein | AES-256 | 5700 | € 130 |
| PureVPN.com | Hong Kong | Nein | AES-256 | 500 | $ 100 |
| Surfshark.com | British Virgin Islands | Nein | AES-256 | 800 | € 60 |
Hallo Felix, vielen Dank für die ausführliche Erklärung. Auf der Suche nach einem zuverlässigen VPN-Anbieter bin ich auf NordfreeVPN gestoßen. Gottseidank habe ich mich zunächst informiert. DANKE!
Freut mich, dass ich helfen konnte 🙂 Gruß Felix