Yahoo! Mail leitet Nutzer auf schädliche Webseite weiter

Anfang Juni schickte mir meine Freundin früh morgens eine aufgebrachte Mail mit einem beigefügten Screenshot. Beim morgendlichen Mail-Check auf Yahoo wurde sie plötzlich auf die Seite main.targo12.com weitergeleitet und sah eine Popup-Warnung. Ihr Computer könnte in Gefahr sein und sie solle doch bitte eine Software zum Schutz installieren. Das Programm hat meine Freundin nicht installiert, sonst wäre ihr Laptop ernsthaft bedroht gewesen. Solche Tools nennt man Scareware (scare, dt.: erschrecken). Die Angreifer versuchen dem Opfer einzureden, dass die PC-Sicherheit gefährdet sein könnte, und schlagen ein Schadprogramm zur Lösung vor. Damit handelt man sich dann genau den Ärger ein, den man doch vermeiden wollte.

Scareware (Quelle: Christiaan Colen, Liz. CC BY-SA 2.0)

Ich untersuchte ihr System mit Desinfec’t auf Viren etc., fand aber nach 3-stündiger Prüfung rein gar nichts. Im Chrome Browser waren auch keine unbekannten Erweiterungen und in den Programmen keine Toolbars oder Ähnliches zu finden. Aber was war dann passiert? Wahrscheinlich wurde sie durch eine Werbeanzeige, die auf Yahoo gezeigt wurde, auf die Scareware-Seite geleitet.

Also installierte ich ihr vorsorglich noch einen Werbeblocker. Damit war das Thema für mich eigentlich erledigt.

Kein Einzelfall: Auch andere Nutzer melden sich!

Vorgestern passierte ihr das Gleiche an einem anderen PC. Zunächst dachte ich mir da nicht viel dabei und fragte beiläufig, ob da auch ein Werbeblocker installiert sei? Ihre Antwort: Nein…. Okay, das könnte also passen. Ich recherchierte ein bisschen. Dabei fand ich viele weitere Betroffene, aber keine wirklichen Lösungen oder konkreten Anhaltspunkte. Diese Menschen haben allesamt aber etwas gemeinsam: Sie nutzen zumeist Google Chrome, die Weiterleitung auf main.targo12.com erfolgt bei Yahoo! Mail und ein Werbeblocker fehlt. Jetzt wollte ich es genauer wissen!

Ich fuhr eine saubere virtuelle Maschine hoch, lud mir Chromium herunter und loggte mich bei Yahoo! Mail ein. Es dauerte nicht lange und auch ich wurde einfach so weitergeleitet. Die Domain verweist auf einen Server in den Niederlanden und enthält scheinbar russsische, sowie chinesische Inhalte. Die Werbekampagne soll angeblich von der Domain Maya.de ausgehen, die wiederum der österreichischen Domainvermarktung Adomino gehört. Ohne Werbeblocker wurde ich zahlreiche Male weitergeleitet. Aber mit Werbeblocker war schlagartig Ruhe.

Danach habe ich die VM mit Malwarebytes Anti-Malware, ESET und ClamAV gründlich durchgescannt — Ergebnis: keine Funde. Trotzdem kann nicht ausgeschlossen werden, dass das bei dir auch so ist. Falls dein System mit der Scareware infiziert wurde, solltest du deinen Conmputer schnellstmöglich mit einem Antivirenscanner untersuchen und dir notfalls fachmännische Hilfe suchen.

Werbeanzeige auf Yahoo ist wahrscheinlich der Übeltäter

Es scheint naheliegend, dass die Weiterleitung zu der schädlichen Webseite durch eine Werbeanzeige auf Yahoo verursacht wird. Ich habe in der englischsprachigen Hilfe-Community von Yahoo dazu ein Thema gefunden. Allerdings schreibt der Themenstarter vorwiegend über Popups und der Yahoo-Mitarbeiter versteht das mit der Weiterleitung nicht so ganz. Folglich schreibt er:

We do not use pop-up advertising.

If you're getting pop-up ads on Yahoo they could be caused by malware.

Das ist allerdings für die eigentliche Problemlösung wenig hilfreich, da kein Werbe-Popup angezeigt wurde. Darunter schreiben noch weitere Nutzer. Einer von ihnen hat seine Antworten inzwischen gelöscht, warum ist unklar. Dummerweise hat ein Forenadministrator die Antwort von Nixon als Lösungsvorschlag und das Thema als erledigt markiert, damit ist die Sache augenscheinlich für Yahoo erledigt. Somit lässt Yahoo zahlreiche Anwender seines Maildienstes im Regen stehen. Die schädliche Werbeanzeige wird weiter verteilt. Yahoo macht es sich an dieser Stelle sehr einfach und wälzt das Problem auf seine Nutzer ab.

Es kommt leider oft genug vor, dass Werbeanzeigen gekapert oder in betrügerischer Absicht geschaltet werden. An dieser Stelle wird auch mal wieder deutlich, wie gefährlich Onlinewerbung sein kann. Solche Anzeigen sind mitunter in der Lage, die Sicherheit deines Systems und deine Privatsphäre zu bedrohen. Deshalb ist ein Werbeblocker eben auch ein Sicherheitsfeature und nicht nur dazu da, um unzählige Webseitenbetreiber in den Ruin zu stürzen.

Wie kannst du dich schützen?

Lade dir am besten einen Werbeblocker, wie µBlock, für deinen Browser herunter. Schalte zumindest auf Yahoo die Werbung ab. Das ist die einfachste Möglichkeit, um die Sicherheit wiederherzustellen. Um alles andere müsste sich eigentlich Yahoo kümmern…

Anmerkung Ich habe diesen Blogpost geschrieben, weil ich selbst keine stichhaltigen und teils widersprüchliche Hinweise im Web gefunden habe. Stattdessen aber viele ratlose Menschen.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

12 Kommentare – Schreib mir deine Meinung!

Fülle bitte die nachstehenden Felder aus. Angaben mit einem Sternchen sind Pflichtangaben. Deine E-Mail-Adresse wird nicht veröffentlicht.

  1. Kommentar von Schrammpano · · #

    Hi, danke für Deinen Artikel, habe ein identisches Problem mit Firefox/ Yahoo. Werde ständig auf unerwünsche Seiten weitergeleitet. Finde krass, das Yahoo da nicht so wirklich drauf reagiert….
    Werde es jetzt mal mit µblock probieren.

  2. Kommentar von reraiseace · · #

    Gerne! Kannst du mir sagen, auf welche Seiten du weitergeleitet wirst und wo dir das passiert?

  3. Kommentar von Betroffen · · #

    Die Popup-Warnung main.targo12.com tritt bei mir auch auf. Ausschließlich bei Yahoo (mit Firefox)

  4. Kommentar von Tibby · · #

    Hi, auch von mir danke für diesen Artikel!!

    Du schreibst, dass man auf Yahoo.de die Werbung abschalten sollte. Mal ne blöde Frage: Wie macht man das bei Firefox? :-)

  5. Kommentar von reraiseace · · #

    Bitte! Installiere dir, wie im Post geschrieben, einfach einen Werbeblocker. Ich verwende seit letztem Jahr für meinen Firefox µBlock.

  6. Kommentar von Klaus · · #

    Hallo Markus,
    vielen Dank für deine Analyse und deinen Blogartikel. Wir haben auch gerade gerätselt, wieso man auf dem Laptop immer auf so einer komischen Webseite landet. Aktuell erfolgt die Weiterleitung zu main.r.olivia656.com/… .
    Ich finde es erschreckend, das Yahoo an dieser Stelle bisher nichts unternommen hat. Es kann doch nicht sein, dass die Kunden auf solche Spam-Seiten weitergeleitet werden.

    Viele Grüße,
    Klaus

  7. Kommentar von Newbie · · #

    Danke für die Hilfe! Hatte das gleiche Problem mit IE (ich weiß, nutzt man nicht :D). Wurde auf verschiedene Seiten weitergeleitet, zuletzt auf “main.r.olivia656.com”. War etwas irritiert weil weder AntiViren-Software noch das Malwarebytes Anti-Rootkit was gefunden hatte.

  8. Kommentar von Pat · · #

    Habe das gleiche Problem seit etwa 4 Wochen unregelmäßig. Benutze ausschließlich den IE. Zuerst war es eine Seite, die wie eine Umfrage-Seite aussah, danach die beiden hier genannten Adressen. Bei letzterer hat zumindest MS Security Essentials angeschlagen.

    Kann man das ganze nicht mal öffentlich machen, damit Yahoo reagiert? Also an heise oder Golem weitergeben, o.Ä.?

  9. Kommentar von Julia · · #

    Gleiches Problem ebenfalls bei mir… immer morgens, wenn ich den PC anschalte und meine e-mails abrufe… zuerst wurde ich auf main.targo12.com weitergeleitet, beim nächsten Mal landete ich auf einer Seite, bei der ich angeblich dank Google crome etwas gewonnen hätte, obwohl ich Google crome gar nicht installiert habe (ich benutze “Edge”) und heute wollte er mich auf main.r.olivia656.com weiterlieten, was aber mein Antivirenprogramm verhinderte.

    Hoffentlich unternimmt Yahoo bald etwas dagegen :(

  10. Kommentar von reraiseace · · #

    @Pat
    Durch mich ist es ja quasi schon öffentlich. Es mangelt lediglich noch an Interesse. Ich habe heise Security mal drauf aufmerksam gemacht.

    Danke an alle, die bisher hier kommentiert haben!

  11. Kommentar von Anton · · #

    Dieser Beitrag ist nur noch im Google-Cache zu finden, bei Yahoo ist er gelöscht. Sieht nach schlechtem Gewissen aus.

  12. Kommentar von Ellen · · #

    Hallo,
    vielen Dank für Deine Hilfe. Ich habe einen Blocker eingeschaltet und werde daher um Erlaubnis gefragt, ob Firefox die Seite anzeigen darf. Was ich natürlich nicht getan habe,- Dank Kaspersky. Dennoch nervte dieses abrupte Umschalten mitten im Lesen meiner Mails und ich konnte es mir nicht erklären, was da passiert. Jetzt weiß ich es. Danke dafür. Werde Yahoo ebenfalls darauf hinweisen. Je mehr umso besser! Ich wurde übrigens an u.a. Link weitergeleitet. Habe Leerzeichen eingefügt, damit es nicht funzt. ;-)
    Gruss
    Ellen

    http:// main.r.olivia656.com/...