Online-Betrüger haben einen weiteren Weg gefunden, wie sie mit manipulierten Werbelinks in Suchergebnissen Opfer finden können. Sie schieben dabei Webseiten falsche Telefonnummern unter.

Vor der Betrugsmasche warnt Malwarebytes aktuell. Die Täter schalten Werbeanzeigen, die auf die Support-Seiten von renommierten Unternehmen verweisen, unter anderem Apple, Bank of America, Facebook, HP, Microsoft, Netflix und Paypal. Oftmals leiten Betrüger solche Werbelinks auf gefälschte Webseiten um. In diesem Fall landen potenzielle Opfer aber tatsächlich auf den echten Webseiten der Unternehmen. Dort landen sie auf den Support-Seiten – anstatt der echten Telefonnummer zeigen sie jedoch die Telefonnummer der Betrüger an.

Betrugsmasche falscher Tech-Support

Die Adressleiste des Webbrowsers zeigt die korrekte Domain des gesuchten Anbieters an, wodurch bei Besuchern kein Misstrauen aufkommt. Jedoch bekommen Besucherinnen und Besucher irreführende Informationen angezeigt, da der Werbelink so manipuliert wurde, dass die Webseite die betrügerische Telefonnummer in einem Feld anzeigt, das nach einem Suchanfragenfeld aussieht.

Rufen Opfer dort an, melden die Betrüger sich mit der Marke, die beworben wurde, und versuchen, die Anrufer dazu zu bringen, persönliche Daten oder Kreditkarteninformationen preiszugeben. Die Täter könnten auch versuchen, Fernzugriff auf den Rechner zu erlangen. Im untersuchten Fall der Bank of America oder Paypal wollten die Betrüger Zugriff auf die Konten der Opfer, sodass sie diese leerräumen können, erörtert Malwarebytes in der Analyse.

Die Analysten führen aus, dass es sich um Injektion von Suchparametern handelt, da die Betrüger eine bösartige URL zusammengestellt haben, die ihre eigene gefälschte Telefonnummer in die Suchfunktion der originalen Webseite einbettet. Malwarebytes erklärt weiter, dass das nur klappt, weil die Webseitenbetreiber die Parameter nicht filtern oder prüfen, die Nutzer übergeben.

Um sich zu schützen, sollten Internetnutzerinnen und -nutzer darauf achten, dass keine Telefonnummern in Links enthalten sind oder verdächtige Suchbegriffe wie „Call Now“ oder „Emergency Support“ oder anderssprachige Pendants in der Adressleiste des Webbrowsers erscheinen. Verdächtig sind auch kodierte Zeichen wie „%20“ für Leerzeichen oder „%2B“ für das Plus-Zeichen zusammen mit Telefonnummern, zudem angezeigte Suchergebnisse, bevor Nutzer überhaupt auf der Webseite Suchbegriffe eingegeben haben.

Malvertising bleibt eine Bedrohung auf hohem Niveau. Vergangene Woche ist heise security eine Masche aufgefallen, bei der Kriminelle Webseiten mit angeblichen Optionen zu Standardbefehlen unter macOS online stellen. Im Endeffekt führen die dort angegebenen Befehlsaufrufe jedoch dazu, dass Malware auf das System heruntergeladen und installiert wird. In diesem Fall waren es Infostealer, die etwa Zugangsdaten und weitere Informationen ausspähen, die Kriminelle zu Geld machen können.

(dmk)

Die Audioforensiker von Earshot haben neue Erkenntnisse zum mutmaßlichen Einsatz einer Schallkanone gegen Demonstrierende in Belgrad veröffentlicht. In der serbischen Hauptstadt hatte am 15. März dieses Jahres bei einer Großdemonstration ein bislang ungeklärter Effekt dazu geführt, dass Menschen auf einer Länge von mehreren hundert Metern und entlang einer geraden Linie panisch auseinanderliefen. Die Demonstration wurde daraufhin von den Veranstaltern abgebrochen, um weiteres Chaos zu vermeiden.

Aufgrund der ungewöhnlichen Teilung der Menschenmenge, die nicht bekannten Paniksituationen entspricht, gehen Expert:innen davon aus, dass eine bislang unbekannte Waffe zur Kontrolle von Menschenmengen eingesetzt wurde. Im Verdacht stehen dabei vor allem Schallwaffen vom Typ LRAD (Long Range Acoustic Device) oder andere Waffen, die Infraschall und Vortex-Effekte hervorrufen. Der Einsatz einer Art Mikrowellenkanone (Active Denial System) gilt angesichts widersprüchlicher Zeugenaussagen mittlerweile als ausgeschlossen.

Die serbische Regierung dementiert den Einsatz von Schall- oder Vortexkanonen vehement, Präsident Aleksandar Vučić hat sogar – zumindest verbal – sein politisches Schicksal an diese Frage geknüpft. Die serbische Regierung hat allerdings den Besitz von Schallwaffen des Typs LRAD 100X und LRAD 450XL zugegeben.

Die NGO Earshot hat nach eigener Aussage für den Bericht (PDF) eine umfassende Analyse der Audioinhalte von 19 Videos durchgeführt, 15 ausführliche „Ohrenzeugen“-Interviews mit Demonstrierenden geführt und in Kooperation mit CRTA mehr als 3.000 schriftliche Aussagen von Teilnehmern ausgewertet. Im Bericht heißt es:

Die Ergebnisse dieser Untersuchung kommen zu dem Schluss, dass es sehr wahrscheinlich ist, dass die Demonstrierenden einem gezielten Angriff mit einer gerichteten Schallwaffe ausgesetzt waren, und widersprechen den Behauptungen in einem Bericht des Föderalen Sicherheitsdienstes (FSB) der Russischen Föderation und der serbischen Behörden, wonach die „Unruhen” von Dingen wie Feuerwerkskörpern ausgelöst worden seien und die Reaktionen der Demonstranten lediglich eine Reaktion auf einen von der Menge erzeugten Lärm gewesen seien.

Earshot untermauert diese Annahme mit verschiedene Argumenten. So hätten die Ohrenzeugen während des Vorfalls einige analytischen Fähigkeiten behalten. So konnten sie weiterhin verschiedene Geräusche unterscheiden und ihre Umgebung einschätzen. Das widerspricht laut den Audioexperten Behauptungen, wonach die Panik durch Geräusche, die von der Menge erzeugt wurde, oder durch anderweitig erklärbare akustische Auslöser wie Feuerwerkskörper ausgelöst worden sei.

Bericht hält LRAD-Schallwaffe für möglich

Earshot wendet sich auch gegen einen Untersuchungsbericht des russischen Geheimdienstes FSB, den die pro-russische serbische Regierung beauftragt hatte. Dieser Bericht wirft den Demonstrierenden vor, den Effekt selbst koordiniert zu haben.

Stattdessen verweist der Earshot-Bericht darauf, dass die serbische Regierung gerichtete Schallwaffen vom Typ LRAD 450 XL besitze und diese weite Entfernungen eingesetzt werden könnten. Dass in den unterschiedlichen Videos kein spezielles Geräusch des Effekts zu hören ist, begründet Earshot mit „spezifischen und patentierten Mechanismen, mit denen es den Schall aus seinem Lautsprecher-Array verbreitet“. Dies deute eher auf den Einsatz eines LRAD-ähnlichen Geräts hin, als dass es diesen ausschließe.

Weitere Untersuchungen und Theorien

Parallel dazu untersucht auch die „International Research Group“ den Vorfall. In der spontan entstandenen Recherchegruppe aus Hackern, Journalist:innen und Audio-Ingenieur:innen aus verschiedenen europäischen Ländern arbeitet auch netzpolitik.org mit. Sie ist der Theorie der Vortex-Kanone nachgegangen und hat eigene Experimente mit einer Vortex-Kanone durchgeführt, deren abschließende Präsentation und Bewertung noch aussteht. In einem Zwischenbericht (PDF) hatte die Recherchegruppe eine Theorie ins Spiel gebracht, die sowohl Infraschall wie Vortex erklären könnte. Die Theorie der LRAD-Schallkanonen hatte der Bericht der International Research Group wegen deren Ausrichtung auf höhere Audio-Frequenzen nicht weiter verfolgt.

Auf einer eigens eingerichteten Webseite stellt zudem ein Bündnis serbischer Organisationen eine vorläufige Auswertung von mehr als 3.000 Zeug:innenaussagen vor. Das Bündnis hatte direkt nach dem Vorfall angefangen, die Zeug:innenstimmen zu sammeln, und eine große Resonanz aus der Bevölkerung erhalten.

Die serbische Zivilgesellschaft hatte auch eine Beschwerde beim Europäischen Gerichtshof für Menschenrechte eingereicht, damit das Gericht eine vorläufige Maßnahme erlässt. Der Gerichtshof hat dieser Beschwerde teilweise stattgegeben und weist mit seiner Entscheidung die serbische Regierung darauf hin, jeglichen Einsatz von Schallgeräten zur Kontrolle von Menschenmengen sowohl von staatlichen als auch von nicht-staatlichen Akteuren künftig zu verhindern. Das Gericht unterstrich zudem, dass der Einsatz von solchen Waffen zur Kontrolle von Menschenmengen nach serbischem Recht illegal ist.

Interaktive Karte

Im Nachgang der Ereignisse hat die  International Research Group eine interaktive Karte erstellt. Die Karte trägt verfügbares Material zusammen und soll dazu beitragen, die Vorgänge am 15. März in Belgrad zu rekonstruieren. Die Karte wird fortlaufend von mehreren Akteuren aktualisiert und enthält auch nicht-verifiziertes Material. Sie lässt deshalb nur mit Einschränkungen zuverlässige Rückschlüsse zu.

Rot = Ereignisse.  Blau = Kameraaufnahmen des Vorfalls. Gelb = Verdächtiges / Auffälliges / Hinweise. Grün = Zusätzliches Material

AMD hat im Juni aktualisierte Firmware veröffentlicht, die teils hochriskante Sicherheitslücken in den Prozessoren schließt. Betroffen sind etwa die Krypto-Coprozessoren sowie das Firmware-TPM moderner Ryzen- und zum Teil auch der abgespeckten Athlon-CPUs.

In einem Sicherheits-Bulletin schreibt AMD, dass ein IT-Sicherheitsforscher eine Sicherheitslücke gemeldet hat, durch die Angreifer mit erhöhten Rechten auf die Register des Krypto-Coprozessors zugreifen können. Der ist Teil des AMD Secure Prozessor (ASP). Bei dem wiederum handelt es sich um einen integrierten Controller aller jüngeren Systems-on-Chip (SoCs), der ein Trusted Execution Environment (TEE) und eine in der Hardware verankerte Root of Trust bereitstellt und etwa den Systemstart absichert.

Durch unzureichende Zugriffskontrolle des ASP können der Beschreibung zufolge Angreifer unbefugt auf die Register des Krypto-Coprozessors des ASPs zugreifen. Das kann in den Verlust der Kontrolle über Pointer und Indizes kryptografischer Schlüssel führen, was einen „Verlust an Integrität und Vertraulichkeit“ bewirkt (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9, Risiko „hoch„).

Bemerkenswert: Am Abdichten der Schwachstelle hat AMD zwei Jahre gebastelt, die wurde bereits 2023 gemeldet. OEMs stellt AMD aktualisierte Firmware bereit, die Liste der betroffenen Prozessoren im Sicherheits-Bulletin bleibt überschaubar.

AMD: Schwachstelle in TPM-Referenzimplementierung betrifft CPUs

AMD stellt zudem ein Firmware-basiertes Trusted Platform Modul (fTPM) in vielen Prozessoren bereit. Es nutzt ebenfalls den ASP und setzt auf der TPM-2.0-Referenzimplementierung der Trusted Computing Group auf. In dieser Referenzumsetzung erlaubt eine Schwachstelle, über das Ende vorgesehener Speicherbereiche hinaus zu lesen, erörtert AMD in einer Sicherheitsnotiz. Apps im Usermode können bösartig präparierte Befehle an das fTPM schicken und damit darin abgelegte Daten auslesen oder „die Verfügbarkeit des TPM beeinflussen“, sprich, es zum Absturz bringen (CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6, Risiko „mittel„). „AMD hat den Bericht der Trusted Computing Group untersucht und geht davon aus, dass AMDs Firmware-TPM von der Schwachstelle betroffen ist“, schreiben die Ingenieure weiter.

Zahlreiche AMD Ryzen-Desktop und -Mobilprozessoren, AI 300-CPUs, Ryzen-Embedded- und auch Threadripper-CPUs sind laut der Sicherheitsnotiz von der Schwachstelle betroffen. AMD stellt aktualisierte Firmware für OEMs bereit, die damit neue BIOS-Versionen für ihre Hardware erstellen und an Endverbraucher verteilen müssen. Das hat zum vergangenen Wochenende etwa Asus mit einem BIOS-Update für das Mainboard ROG Crosshair X870E Apex getan. Die aktualisierte Programmbibliothek AMD Generic Encapsulated Software Architecture (AGESA) enthält dort den korrigierten Firmware-Anteil ComboAM5 PI 1.2.0.3e, der die Lücke im fTPM des AMD Secure Prozessor respektive im Pluton-TPM der Ryzen-9000-Desktop-CPUs stopft. Für das MSI-Motherboard MEG X870E Godlike gab es kurzzeitig ebenfalls ein neueres BIOS mit Fehlerkorrektur, das hat der Hersteller inzwischen jedoch wieder zurückgezogen – Gründe dafür hat MSI nicht genannt. Für andere CPUs gibt es teilweise bereits seit September 2024 Firmware-Blobs für OEMs, die die erst jetzt bekannt gewordene Sicherheitslücke schließen.

Im April wurden Sicherheitslücken im Kontext von AMDs KI-Koprozessoren bekannt. Sie betrafen jedoch die Treiber dafür und nicht, wie in diesem Fall, die tieferliegende Firmware der CPUs.

(dmk)