Die Social-Media-Seite Pinterest generiert zurzeit enorme Aufmerksamkeit. Mit Pinterest können Anweder im Web gefundene oder hochgeladene Bilder in Sammlungen kategorisieren und diese Sammlungen wiederum anderen Nutzern anzuzeigen. Allerdings hat es nicht lange gedauert, bis Kriminelle den Dienst für sich entdeckten.

Die Strategie ist laut dem Customer Threat Alert Blog von McAfee relativ simpel: Die Kriminellen stehlen sich das Logo einer bekannten Marke, versprechen kostenlose Dienste oder Hardware und verlinken auf eine externe Webseite. Wenn diese selbst keine Malware oder Drive-By-Attacken enthalten, sind sie meist Teil von Umfrage-Betrügereien oder sonstigen Abzock-Methoden. Die versprochene Gegenleistung erhält der Besucher nicht.

Eine kurze eigene Suche in Pinterest hat tatsächlich zahlreiche verschiedene Angebote zu Tage gefördert. Vor allem technische Gadgets wie das iPhone oder Tablets müssen als Lockvögel herhalten. Neu ist diese Methode nicht. Bereits im Januar habe ich über eine ähnliche Methode geschrieben, mit der Facebook-Nutzer geködert wurden. (Die dort gegebenen Tipps lassen sich ohne weiteres auf die Pinterest-Attacken übertragen:

  • Wo sind die Webseiten gehostet? Seiten wie Tumblr oder Cloud-Dienste wie Amazon sind verdächtig, richtige Gewinnspiele liegen meist unter der Domain der jeweiligen Anbieter/Hersteller.
  •  Gibt es Impressum und Hinweise auf Ausschluss des Rechtsweges? Ohne diese Informationen wird kein regulärer Anbieter ein Gewinnspiel veranstalten.

Klingt es zu gut, um wahr zu sein? Dann ist es wahrscheinlich auch nicht wahr.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.