Beim Eingeben von Webseiten-Adressen sollten Internet-Surfer exakt auf die korrekte Schreibweise achten, sonst droht womöglich Gefahr von so genannten "Typosquatting"-Domains, also von URLs, deren Schreibweise sich oft nur minimal von Namen populärer, "echter" Internet-Adressen unterscheidet. Wie unachtsame Webseiten-Besucher mit dieser Masche gleich mehrfach abgezockt werden, zeigt ein aktuelles Beispiel aus den G Data Security Labs.

Besuchern, die die deutsche Internetpräsenz des Virenschutz-Anbieters McAfee ansteuern möchten, droht durch unbeabsichtigtes Vertippen bei der Webseiten-Adresse gleich in mehrfacher Hinsicht Gefahr durch Internet-Abzocker. Wer statt des offiziellen Domainnamens (www.mcafee.de) aus Versehen eine minimal andere Namensvariante eintippt (mcaffe.de), findet sich auf einer Webseite des Domain-Händlers NameDrive wieder, welche eine Reihe von so genannten Sponsored Links enthält, die im Zusammenhang mit Antiviren-Software stehen. Auf der Seite lag aber nicht nur harmlose Werbung.

In dieser Link-Liste fanden sich neben etablierten Virenschutz-Programmen auch Einträge zu den Webseiten Trojaner-Doktor.com und AntiVirusDoktor.com. Anwender sollten unbedingt vom Besuch dieser Webseiten absehen, da es sich bei der angepriesenen Software "Antivirus Doktor 2009" um ein Produkt mit zweifelhaftem Nutzwert handelt. Nach der Installation der Software bietet diese an, den Rechner auf Spyware, Adware, Trojanische Pferde, Keylogger, Würmer, Rootkits, Rogue-Anwendungen und diverse Registry-Probleme zu scannen.

Die Erkennungsleistung lässt allerdings stark zu wünschen übrig; nicht einmal das so genannte Eicar-Testfile, eine harmlose Prüfdatei, die als Industrie-Standard zum Testen von Antivirus-Produkten angesehen werden kann und in jedem Fall erkannt werden sollte, veranlasst "Antivirus Doktor 2009" dazu, die Datei als potenzielle Bedrohung einzustufen.

Im Anschluss an den Scanlauf vermeldet "Antivirus Doktor 2009", eine Reihe von Fehlern, hauptsächlich in der System-Registry gefunden zu haben, von denen jedoch kein einziger durch die nunmehr als "Testversion" bezeichnete Software behoben werden könne. Klickt man innerhalb der Software auf den entsprechenden Button, öffnet sich eine Webseite, auf der zum Preis von 49,85 Euro die Vollversion von "Antivirus Doktor 2009" erworben und gleich per Kreditkarte bezahlt werden kann.

Die faktisch nicht vorhandene Erkennungsleistung, das Unvermögen, auch nur einen einzigen während des Scanjobs gefundenen Fehler zu beheben, sowie der Hinweis, der Anwender müsse hierzu die Vollversion erwerben, machen "Antivirus Doktor 2009" zu einer so genannten Scareware oder Rogueware. Dabei handelt es sich um Programme, die dem Anwender suggerieren, dass auf dem Rechner Schadsoftware oder Systemprobleme entdeckt worden seien und ihn anschließend dazu auffordern, eine kostenpflichtige Vollversion zu erwerben oder die Software kostenpflichtig zu registrieren. Betroffene Anwender sollten dieser Aufforderung mit äußerster Skepsis begegnen und sich bei der Herausgabe ihrer Kreditkarten-Informationen in Zurückhaltung üben.

Kostenpflichtige Abos drohen

Damit jedoch nicht genug: Beim Öffnen von mcaffe.de erwartet den Besucher noch eine weitere Abzock-Variante in Form einer Abo-Falle. Diese funktioniert folgendermaßen:
Parallel zur oben geschilderten Link-Liste öffnet sich in einem weiteren Browserfenster die Webseite softwaresammler.de, auf der ein direkter Download der kostenlosen PDF-Software Adobe Reader 9 angepriesen wird. Zum Download soll der Besucher der Webseite lediglich seine persönlichen Daten eingeben. Der Haken: Mit der Abgabe der persönlichen Daten soll nach Ansicht des Webseiten-Betreibers ein kostenpflichtiger Abo-Vertrag mit einer Laufzeit von zwei Jahren zustande kommen, der pro Monat mit acht Euro berechnet wird, insgesamt also 192 Euro. Beim Absenden soll der Anwender zudem die Allgemeinen Geschäftsbedingungen des Anbieters akzeptieren, wodurch er nach Lesart des Anbieters gleichzeitig auf sein Widerrufsrecht verzichtet.

Ein derartiges Vertragskonstrukt dürfte insbesondere im Hinblick auf den Verzicht des Anwenders auf sein Widerrufsrecht auf wackeligen Füßen stehen und im Zweifelsfall nichtig sein. Gleichwohl scheuen sich Anbieter ähnlicher Abo-Fallen nicht, den Opfern, die auf eine derartige Masche hereingefallen sind, wenig später eine Rechnung über das angeblich geschlossene Abonnement zu präsentieren.

Geprellte Anwender, die eine derartige Rechnung erhalten haben, sollten keinesfalls bezahlen und stattdessen die Rechnung und den angeblich geschlossenen Vertrag anfechten. Auch von dem daraufhin in aller Regel seitens des Anbieters einsetzenden Säbelrasselns in Form von Mahnungen oder gar Inkasso-Drohungen sollten sich Opfer nicht einschüchtern lassen. Bisher ist noch kein derartiger Fall bekannt geworden, in dem ein Abo-Fallen-Anbieter einen gerichtlichen Mahnbescheid erwirkt hätte. Eine sinnvolle Anlaufstelle für Empfänger von ungerechtfertigten Abo-Rechnungen sind die Verbraucherschutzzentralen, die Hilfestellung z.B. in Form von Musterschreiben anbieten, mit denen gegen die Zahlungsaufforderung Widerspruch eingelegt werden kann.

Offensichtlich prüft der Domain-Händler NameDrive, der die Vertipper-Domain mcaffe.de "geparkt" und mit Sponsor-Links versehen hat, nicht die Inhalte der verlinkten Seiten. Die Links sind zwar derzeit nicht mehr zugänglich; das liegt aber offenbar nicht daran, dass NameDrive sie entfernt haben könnte. G Datas Bitte, die Domains aus den Sponsored Links zu entfernen, wurde vom Support-Team als nicht durchführbar zurückgewiesen. Zum PopUp mit einer Abo-Falle steht eine Rückmeldung noch aus. G Data ist um eine kooperative Lösung mit NameDrive bemüht, aber auch rechtliche Schritte werden geprüft - insbesondere, da G Data auf der Linkliste ebenfalls erwähnt wird, jedoch ausdrücklich darauf hinweist, dass sich das Unternehmen von einer Zusammenarbeit mit NameDrive distanziert und für die Schaltung von Links auf der Webseite mcaffe.de nicht verantwortlich ist.

Daher rät Ralf Benzmüller, Leiter der G Data Security Labs, dringend zur Vorsicht: "Wer als Internet-Surfer auf einer solchen Werbeseite landet, sollte sie schleunigst wieder verlassen. Klicken Sie keinen der angebotenen Links an, geben Sie keine persönlichen Daten ein und kaufen Sie auf keinen Fall dort ein." (rw)