Burger King verschickt Rabattcoupons per WhatsApp? – Nicht mit dieser Nachricht!

Gerade schien es fast so, als neige sich der laufende WhatsApp-Scam dem Ende entgegen und plötzlich taucht ein neuer auf. In Form einer gefälschten Umfrage wird dem User die Chance auf einen Rabattgutschein suggeriert. Am Ende wartet nur eine Enttäuschung.

In diesem Beitrag wird gezeigt, wie User in die Falle geraten und welche technischen Möglichkeiten die Angreifer benutzen. Die Burger King Scam-Kampagne wurde in folgenden Sprachen gesichtet: Englisch, Deutsch, Spanisch, Portugiesisch und Italienisch.

Der Start der Kampagne

Die Scam-Attacke beginnt mit einer Instant-Nachricht per WhatsApp. Diese kommt meist von einer bekannten Person aus der Kontaktliste. In der Nachricht wird mit der Chance geworben, einen Burger King Gutschein zu gewinnen.

Diese Methode kann dem sogenannten Social Engineering zugeordnet werden. Es wird als Marketing-Strategie und zum Hacking verwendet. Im Prinzip handelt es sich um „soziale Manipulation“. Eine Person versucht bei einer anderen eine bestimmte Verhaltensweise hervorzurufen. Den Opfern kommt dabei eine Schlüsselrolle zu teil. Wem das Konzept des Social Engineering noch nicht so geläufig ist, kann Details dazu im nächsten Abschnitt erfahren.

Wie funktioniert es?

Sobald der Benutzer auf den Link klickt, wird er zu einer Umfrage geleitet. Diese beinhaltet verschiedenen Fragen, wie die folgenden:

Burger King Scam-Umfrage

Die Phrase „1 von 150 verfügbaren Gutscheincodes“ ist eine Social Engineering Technik und Ziel darauf ab, dass User schnellstmöglich auf etwas klicken, ohne viel nachzudenken.

Was steckt dahinter?

Interessant ist, dass die Cyber-Kriminellen ihre Inhalte per „noindex“ vor den Suchmaschinen Google und Bing verstecken. Sie hoffen, dass die Scam Kampagne auf diese Weise länger unbemerkt bleibt und lediglich Opfer direkten Zugang zur „Umfrage“ bekommen.

Des Weiteren ist die Scam-Webseite nur mit einem mobilen Browser wie bei Smartphone und Tablet aufrufbar. Wer versucht, den Link vom Computer aus zu öffnen, bekommt eine Fehlermeldung zurück.

Damit hebt sich dieser Burger King Scam von anderen ab. Ein Update bzw. eine extra Zeile Code (siehe im unteren Bild) ermöglicht das. Vorherige Scam-Kampagnen konnten auch im Desktop-Browser dargestellt werden. Der folgende Screenshot zeigt, wie diese Funktion verschiedene mobile Endgeräte anspricht:

Burger King Scam Code

Nachdem die Umfrage ausgefüllt wurde, wird scheinheilig erklärt, dass man einen Coupon gewonnen hat. Im Folgenden wird das Opfer selbst zum Verbreiter des Scams: Um den gewonnen Coupon zu erhalten, muss die WhatsApp-Nachricht entweder an zehn Freunde gesendet oder in drei Gruppen geteilt werden. Und damit das auch schnell geschieht, beginnt ein Countdown von 255 Sekunden.

Die technischen Aspekte dahinter zeigt der Screenshot unten. Zu sehen sind die Umleitung und Verbreitungsmethode:

Burger King Scam Redirection

Es ist denkbar, dass sich die Burger King Scam-Kampagne auch auf Facebook ausbreiten könnte. Dann allerdings ohne die zusätzliche Zeile Code, die nur mobilen Endgeräten eine Darstellung ermöglicht.

Am Ende bleibt die Enttäuschung, nichts gewonnen zu haben. Die Angreifer beenden die Scam-Attacke mit den einfachen Worten: „Danke für die Teilnahme. Sie haben nichts gewonnen. Versuchen Sie es nochmal. Viel Glück.“.

burger king

Ein interessantes Detail ist die Tatsache, dass anhand der IP-Adresse des Users und der Sprachen-Einstellung des Browsers, Sprache und Währung der Scam-Umfrage automatisch angepasst werden.

Ohne das der Nutzer es bemerkt, wird er mehrfach auf unterschiedliche Webseiten umgeleitet. Dadurch werden Klicks und User-Registrierungen erzeugt, für die der Scam-Autor Geld von den jeweiligen Webseiten-Betreibern erhält. Die folgenden Screenshots zeigen einige der Webseiten, die man nach den Umleitungen erhält:

Umelitungen zu folgenden Webseiten

Wie kann ich mich davor schützen?

Da diese Art von Scam Social Engineering benutzt, muss man vor allem an das Bewusstsein der User appellieren. Auch wenn diese Methode keine neue ist, wird sie gerne von Cyber-Kriminellen benutzt. Leider beobachten wir täglich wie User auf WhatsApp- oder Facebook-Scam hereinfallen.

Die folgenden fünf Tipps helfen dabei, nicht auch Opfer von verdächtigen WhatsApp-Nachrichten zu werden:

  • Das Klicken auf verdächtige Links in WhatsApp-Nachrichten oder anderen Messenger und in E-Mails unbedingt vermeiden!
  • Niemals persönliche Daten an unbekannte Quellen geben.
  • Die Installation von Apps oder Software aus nicht vertrauenswürdigen Quellen vermeiden.
  • Verdächtige Nachrichten niemals an seine Kontakte weiterleiten – besser gleich löschen.
  • Aktuelle Antiviren-Lösungen blockieren Malware und schädliche Seiten.

 

Weitere Informationen auch in einem früheren Artikel: Schutz vor Facebook-Scam