Wer möchte nicht wissen, was am Ende des schwarzen Lochs passiert? Regisseur Christopher Nolan schickt die Schauspieler Anne Hathaway und Matthew McConaughey in seinem gewagten Science-Fiction Film auf eine Reise zu uns selbst. Doch „Interstellar“ gibt es nicht nur im Kino oder wenig später auf DVD bzw. Blu-Ray. „Interstellar“ gibt es schon jetzt im Internet. Und das völlig umsonst. Eine der führenden deutschsprachigen Streaming-Webseiten Movie4k.to bietet den Streifen derzeit in 21 verschiedenen Fassungen an. Beim kleinen Bruder Kinox.to sind es immerhin 10. Doch welche Risiken drohen den Besuchern bei solchen Angeboten? Die Schadsoftware wird nicht rund um die Uhr verbreitet, teilweise ist es nur für wenige Stunden oder Minuten.
Monatlich werden bei Movie4k.to zwischen 60 und 80 Millionen Seiten-Zugriffe generiert. Das heißt, jedes Mal wenn jemand die Webseite besucht oder dort etwas auswählt, wird jeweils exakt 1 Seitenzugriff erzeugt. Der Ableger Kinox.to rangiert monatlich zwischen 30 und 35 Millionen Zugriffen. Gerüchte besagen, die beiden Portale sollen von den Gebrüdern Selimi betrieben werden. Ende Oktober letzten Jahres versuchte die Polizei dem bunten Treiben ein Ende zu setzen.
Vergeblich. Die Verdächtigen waren schon ausgeflogen, schon Wochen zuvor hatten sie ein Flugticket nach Priština (Kosovo) gebucht und das Foto bei Instagram gepostet. Die GVU verdächtigt sie, für diverse illegale Foren, BitTorrent-Seiten, Share- und Streaminghoster verantwortlich zu sein. Die Dienstleister für Online-Speicherplatz Freakshare und Bitshare haben allerdings im Oktober letzten Jahres ihre Bankverbindung eingebüßt. Piratenjäger haben in der Vergangenheit häufiger Kreditkartenfirmen oder Banken über ihre dubiosen Kunden in Kenntnis gesetzt. Das Ziel ist einfach: Sie wollen damit den Ganoven den Geldhahn zudrehen. Wenn die Beschaffer neuer Filme und Software (Uploader genannt) mangels einer Bankverbindung nicht mehr ausbezahlt werden, bleiben erst die Beschaffer und dann die zahlenden Kunden aus.
Vorletzte und letzte Woche hat sich der mangelnde Geldfluss offenbar direkt auf die Gestaltung der beiden Streaming-Webseiten ausgewirkt. Selbst mit einem Apple-Computer war es kaum möglich einen Film auszumachen, wo statt eines angeblichen „Player Updates“ oder „Media Downloaders“ ein illegaler Mitschnitt angezeigt wurde. Wer aber das „Software-Update“ oder den vornehmlichen „Videoplayer“ installiert hat, hat sich in jedem Fall Schadsoftware auf seinen Rechner geholt.
Ein Datenschützer hat die ausführbaren Dateien für uns analysiert. Er möchte lieber anonym bleiben, schon wegen der Gefahr selbst mit DDoS-Angriffen überzogen zu werden. Es ist im Graubereich üblich, wenn die eigene Webseite von Konkurrenten aus Rachegelüsten für Stunden oder sogar mehrere Tage via DDoS lahmgelegt werden. Unser Stern-Hacker konnte im Test diverse unterschiedliche Programme ausmachen, die sich hinter dem „Player Update“ verborgen haben. Zwar war die Schadsoftware inhaltlich unterschiedlich. Die Programme waren aber alle dafür geeignet, Kontodaten, PayPal-Zugangsdaten oder andere wertvolle Informationen von den Rechnern der Opfer zu kopieren.
Eine Woche später haben wir die beiden Streaming-Anbieter Kinox.to und Movie4k.to vom Schadsoftware-Spezialisten Kaspersky Lab untersuchen lassen. Zu diesem Zeitpunkt wurden dort schon andere Programme eingesetzt. Die verwendete Adware, bei Kaspersky bekannt als „not-a-virus:Downloader.Win32.DriverUpd.ipb“ oder „SoftPulse“, kann diverse Funktionen des Browsers übernehmen. So werden Suchmaschineneinstellungen, die Startseite, Favoriten etc. verändert oder ungewollt zusätzliche Werbe-Fenster eingeblendet. Der Techniker bei Kaspersky konnte auch eine Adware-Version auf Basis eines angeblichen Java-Updates entdecken – siehe Bild oben.
Schadsoftware im Graubereich? Alltag im Web!
Der Datenschützer war deswegen wenig überrascht. Er schrieb uns, für ihn wäre das seit jeher schlichtweg Realität und total normal, dass schädliche Software über solche Seiten verbreitet wird. Er würde es gar nicht anders kennen. Man müsse sich halt entsprechend vorsichtig im Web bewegen. Der Hacker glaubt, es könne sein, dass die Gebrüder Selimi die Verbreitung nicht einmal bemerkt haben. Die Kinofilme werden nicht von kinox oder movie4k selbst geladen, dafür sind sogenannte Streaming-Hoster zuständig. Der Nutzer bekommt davon nichts mit, weil man für den Konsum der Filme das illegale Filmportal scheinbar nicht verlässt. Der Hacker glaubt, es könne auch sein, dass selbst die Streaming-Hoster unschuldig sind, weil die Infektion von einem Werbepartner kommt. Im für den Film vorgesehenen Fenster wird im Regelfall Werbung eingeblendet. Doch zeitweise erscheint halt keine Anzeige, sondern die dubiose Aufforderung, ein Update zu installieren.
Der Hacker klärt uns auf, es wäre sogar technisch machbar, dass man automatisch per „Framebreaker“ vom Film zu einer mit Trojanern verseuchten Webseite geleitet wird. Der Fantasie werden dabei kaum Grenzen gesetzt. Grundsätzlich wird alles gemacht, was Geld bringt. Doch wirklich lange kann den Betrug kein Anbieter aufrecht erhalten. Wenn sich die Infektion bei den Konsumenten herumspricht, würden diese dem Angebot fernbleiben. Sinkende Besuchszahlen hätten geringere Einnahmen für alle Beteiligten zur Folge. Dann würde im Graubereich die Suche nach den Schuldigen beginnen. So lange der Schmu nicht zu sehr auffällt und die Zugriffszahlen stabil bleiben, halten sich alle Beteiligten mit Schuldzuweisungen und DDoS-Angriffen zurück. So funktioniert die Zusammenarbeit im digitalen Graubereich.
Im Prinzip ist es eigentlich egal, wer im Einzelfall dahintersteckt. Es ist auch eher zweitrangig, ob es sich bei der Infektion „nur“ um Adware oder um eine bösartige Spionagesoftware dreht. So oder so sollen Ahnungslose in die Falle gelockt werden.
Unser Tipp: Finger weg von solchen Webseiten! Spätestens wenn die Kreditkarte leer ist, kann sich der kostenlose Filmgenuss als wahrlich teures Vergnügen herausstellen. Oder wollen sie Christopher Nolans schwarzes Loch statt auf der Leinwand lieber in Ihrer Brieftasche haben? Wenn ja, wäre das auch ohne Raumschiff schon bald wieder machbar.