Testimonial-Klau oder: Der falsche CNBC Hase

Man will ja wissen, was die schwarzen Schafe aktuell so treiben. Man klickt ja ab und an mal auf den einen oder anderen Link in dieser oder jener „unverlangt zugestellten elektronischen Postwurfsendung“. Meist gilt es dann noch, unbeeindruckt von tödlichen Surf-by-Virenkolonnien, die eine oder andere Browser-Warnung zu ignorieren, um Kriminalität in ihrer digitalsten Form (un)gestörtest zu aus der Nähe zu betrachten.

Nicht immer, aber immer seltener stößt man dabei auf wahre Perlen großer Fälschungs-Handwerks-Kunst, wie etwa im vorliegenden Falle des falschen BBC-Hasen. Alles begann damit, dass asifzain786110@yahoo.com Inschpektor datenschmutz freundlicherweise auf eine vielversprechende Business-Opportunity hinwies. Das Subject „Re: ritchie“ wies, genau wie der Text, vorerst keinerlei besondere Kennzeichen auf:

hello ritchie I earn more in one week than my friends do in a month you will wish you had started down this path earlier your entire future is behind this http://j.mp/VV6wFK you certainly may have tried working on your own before but you surely haven’t tried this

Ich weiß im nachhinein kaum mehr zu sagen, ob mich eine Vorahnung intuitiver Natur oder ein unerwartet zum Fenster hineinfliegender Sonnenstrahl bewog, die Maushand reflexartig Richtung Hyperlink zu bugsieren und selbigen anzuklicken. Er führt zu meinem großen Erstaunen auf folgende Seite, die im ersten (und zweiten) Moment wie ein typischer CNBC-Newsartikel wirkt:

Das muss man sich mal auf der Zunge zergehen lassen: anstatt den Link zur eigentlichen Landing Page per Spam zu verteilen, hat sich jemand die Mühe gemacht, einen gefälschten CNBC-Newsartikel zu erstellen, die Landing Page im Lauftext zu verlinken sowie eine passende Domain zu registrieren, denn der Shortlink entpuppt sich als:

Beim flüchtigen Hinschauen könnte man diese nicht unoriginelle Konstruktion durchaus mit dem Original cnbc.com verwechseln, tatsächlich lautet die Domain hier aber com-feb-2013.net. Selbiger wurde die Subdomain www.cnbc.* vorangestellt. (Notiz an mich selbst: Guter Trick, den muss ich mir für den kommenden 1. April merken, z.B.: www.orf.at-stories-28438293.net/ – „at-stories-28438293.net“ dürfte jedenfalls noch frei sein.)

Ich wette, der Städtename im ersten Absatz wird dynanmisch anhand der IP-Adresse generiert:

Cynthia Roberts of Vienna, never thought she would have a job working at home until one day she filled out a simple form online. […]

Mein Interesse war längst geweckt, also hab ich den falschen Hasen etwas genauer analysiert und nicht schlecht gestaunt: die Navigationslinks, die Tags sowie die Links im Sidebar (inklusive Werbung) führen zu den korrekten Originalseiten, sogar sämtliche Metadaten hat der Fälscher von CNBC eins zu eins übernommen, lediglich die Suchfunktionen produzieren einen Serverfehler. Zwar sieht die CNBC-Seite mittlerweile schon wieder ein wenig anders aus, im großen und ganzen reicht die Ähnlichkeit dennoch völlig aus, um den gewünschten Camouflage-Effekt zu erzielen.

Der vorliegende Fall mag als solcher von geringer Bedeutung für die heimische Websphäre sein, wirft jedoch als Prototyp einer neuen Fake-Generation mindestens eine spannende Frage auf, die ein PR-Heini wohl so formulieren müsste: Werden Cyberbetrüger zukünftig verstärkt auf bekannte Medienmarken als Testimonials setzen?

Im vorliegenden Fall überlässt der „Herausgeber“ freundlicherweise CNBC alle Rechte am besagten Artikel [2013 The Associated Press. All rights reserved. This material may not be published, broadcast, rewritten or redistributed.], aber die Freude an solchen Spin-Offs dürfte sich dennoch in engen Grenzen halten… höchste Zeit also, schon im Kindergarten das Pflichtfach „URL-Kunde“ einzuführen, denn wie Pete immer zu sagen pflegt: „On the internet, nobody knows you’re a frog!“