Im Oktober 2023 nutzten Hacker mit Punycode transkodierte Domainnamen, um Werbung für den Passwort-Manager KeePass in der Google-Suche zu schalten und Benutzer dazu zu verleiten, virentragende Versionen herunterzuladen, um Echtzeitangriffe durchzuführen und Daten zu stehlen. Für Fachleute war es leicht herauszufinden, dass es sich um eine Phishing-Website handelte, doch die Werbeprüfer der Google-Suche fanden sie nicht.

Dies bringt einerseits Probleme mit den Werbeeinnahmen mit sich, andererseits führt Google keine strenge Nachprüfung von Anzeigen durch, sodass Hacker Website-Inhalte durch schädliche Inhalte ersetzen können, nachdem die Anzeigen weitergegeben wurden.

Kürzlich hat der Sicherheitssoftware-Entwickler Malwarebytes erneut eine ähnliche Phishing-Website entdeckt. Die diesmal entdeckte Phishing-Website wurde wahrscheinlich von einer Betrügerbande in Indien oder Nigeria ins Leben gerufen, da es sich bei der Zielseite um eine gefälschte Microsoft-Support-Hotline handelte.

Diesmal nutzte die Betrügerbande keinen gefälschten Domainnamen. Sie schienen in irgendeiner Weise den Domainnamen der Nachrichten-Website CNN verwendet zu haben. Wenn Nutzer bei Google nach CNN suchen, sehen sie die Werbung mit dem ersten Rang. Oberflächlich betrachtet scheint es sich um die offizielle CNN-Website zu handeln. Nach dem Klicken zur Eingabe erscheint eine sogenannte Virenwarnung auf dem Bildschirm, die den Benutzer auffordert, eine gefälschte Microsoft-Support-Hotline anzurufen und um Hilfe zu bitten.

Die meisten dieser Betrugsgruppen, die sich als Microsoft-Support-Hotlines ausgeben, haben ihren Sitz in Indien und Nigeria und zielen hauptsächlich auf amerikanische Benutzer ab. Sie leiten die eingehenden Anrufe der Benutzer über virtuelle Callcenter weiter und verleiten die Benutzer dann dazu, eine Gebühr zu zahlen, um Virenprobleme zu lösen.

Warum die Betrügerbande den CNN-Domainnamen nutzen konnte, ist unbekannt. Möglicherweise handelt es sich um ein Schlupfloch, wahrscheinlicher ist jedoch, dass ein Insider bei CNN eine Unterseite für die Betrügerbande geöffnet hat, sodass die Betrügerbande den Namen von CNN zum Schalten von Werbung verwenden kann.

Nachdem die Anzeige von Google überprüft wurde, wird sie auf eine betrügerische Website weitergeleitet. Diese betrügerische Website ist immer noch ein auf Azure gehosteter Container und der verwendete Domänenname ist *.web.core.Windows.net. Es wird geschätzt, dass die Betrügerbande hofft, durch die Verwendung von Windows im Domainnamen ihre Glaubwürdigkeit zu erhöhen.