Thought Leadership
Cyberkriminelle nutzen gefälschte McAfee Verlängerungsbenachrichtigungen und manipulative Browser Pop ups, um Anwender in betrügerische Callcenter zu leiten.
Die Sicherheitslandschaft wird durch eine Renaissance bekannter Angriffsvektoren im Bereich des Endverbraucherschutzes geprägt. Kriminelle Akteure setzen verstärkt auf betrügerische E-Mails und manipulierte Browser-Meldungen, die eine baldige Ablauffrist oder Schadinfektion im Zusammenhang mit der Antiviren-Software McAfee vortäuschen. Obwohl diese Masche seit Jahren bekannt ist, erweist sie sich in der Praxis weiterhin als äußerst effektiv.
Berichten von Verbraucherschutzportalen und aktuellen Analysen zufolge zielen die Kampagnen darauf ab, durch gezielte Desinformation und künstlichen Zeitdruck irrationale Handlungen bei den Opfern hervorzurufen. Betroffen sind dabei keineswegs nur tatsächliche Kunden des Sicherheitsanbieters. Die Angreifer verteilen die Nachrichten massenhaft und spekulieren darauf, dass Computernutzer aus Sorge um die Integrität ihrer Endgeräte unüberlegt handeln.
Die psychologischen Mechanismen von browserbasierter Scareware
Das informationstechnische Prinzip hinter diesen Angriffen basiert auf der Klassifizierung als Scareware. Diese Softwarekomponenten oder manipulierten Skripte verändern den Bildschirminhalt der Betroffenen so, dass eine akute Bedrohungssituation vorgetäuscht wird. In einem dokumentierten Fall auf der Diskussionsplattform Reddit berichtete ein macOS-Anwender, dass nach dem Aufruf einer veralteten Lesezeichen-Webseite plötzlich eine bildschirmfüllende Warnung erschien. Das System meldete fälschlicherweise die Entdeckung von Physierviren und behauptete, das McAfee-Abonnement sei am Vortag abgelaufen.
Solche technischen Inszenierungen führen bei ungeschulten Anwendern oft zu Panikreaktionen. Im beschriebenen Szenario erwarb das Opfer aus Angst umgehend das günstigste offizielle Schutzpaket direkt auf der echten McAfee-Webseite, um den vermeintlichen Schaden abzuwenden. Der heruntergeladene legitime Installer verweigerte jedoch die Ausführung mit dem Hinweis auf eine fehlende Internetverbindung, da die zugrundeliegende Schadseite im Hintergrund bereits Netzwerkeinstellungen manipuliert oder den Browser blockiert hatte. Erst im Mai 2026 legten Sicherheitsanalysten des IT-Unternehmens Barracuda eine verwandte Scareware-Kampagne namens CypherLoc offen, die in kurzer Zeit rund 2,8 Millionen Angriffe verzeichnete. Diese Angriffe nutzen Vollbildmodi, blockierte Tastaturbefehle und akustische Warnsignale im Webbrowser, um eine Flucht aus der Webseite zu verhindern.
Übergang zu betrügerischen IT Support Hotlines
Ein entscheidendes Merkmal der aktuellen Angriffswelle ist die Verknüpfung von digitalem Phishing mit klassischem Telefonbetrug. Die gefälschten Rechnungen, E-Mails und Pop-ups beschränken sich nicht mehr nur auf das Platzieren schadhafter Hyperlinks zur Datenexfiltration. Häufig integrieren die Täter gut sichtbare Telefonnummern in die Warnmeldungen und fordern die Opfer auf, umgehend eine angebliche technische Hotline zu kontaktieren, um die Blockierung des Computers aufzuheben.
Hinter diesen Nummern verbergen sich organisierte, betrügerische Callcenter, die darauf spezialisiert sind, die Anrufer durch Social-Engineering-Taktiken weiter zu manuell steuerbaren Handlungen zu bewegen. Die dort agierenden Operatoren geben sich als Support-Mitarbeiter von namhaften Technologieunternehmen wie Microsoft oder McAfee aus. Im Verlauf des Gesprächs versuchen sie, die Opfer zur Installation von Fernwartungs-Software wie QuickAssist oder AnyDesk zu bewegen. Sobald die Täter die Kontrolle über das Endgerät erlangt haben, installieren sie echte Schadsoftware, spähen Online-Banking-Zugänge aus oder fordern horrende Summen für die Behebung der erfundenen Systemfehler.
Offizielle Verhaltensrichtlinien zur Verifizierung von Abonnements
Der betroffene Sicherheitshersteller McAfee hat auf seiner Plattform offizielle Leitlinien veröffentlicht, um Verbraucher und Unternehmen beim Erkennen gefälschter Nachrichten zu unterstützen. Das Unternehmen stellt klar, dass legitime Sicherheitsbenachrichtigungen niemals die telefonische Kontaktaufnahme über eine in der Nachricht enthaltene Nummer verlangen. Zudem werden über unaufgeforderte Textnachrichten oder E-Mails keine persönlichen Verträge oder finanziellen Transaktionen verhandelt.
Zu den klassischen Indikatoren für Phishing-Versuche gehören auffällige Grammatik- und Rechtschreibfehler, unübliche Absenderadressen sowie die Aufforderung zur Eingabe von sensiblen Zugangsdaten oder Kreditkarteninformationen auf externen Webseiten. Anwendern wird dringend empfohlen, den Status ihrer Softwarelizenzen ausschließlich über das offizielle, selbstständig im Webbrowser aufgerufene Kundenkonto zu überprüfen und verdächtige Nachrichten direkt an die Missbrauchsabteilungen der Hersteller zu melden.
(red)
