Wie Malware AutoFill-Daten stiehlt

9 Aug 2019

Die meisten Browser bieten einem freundlicherweise an, Informationen wie Kontodaten, Bankkartendetails für Online-Shops, Rechnungsadressen, Name(n) und Ausweisnummer(n) für Reisewebsites und so weiter zu speichern. Das ist praktisch und erspart einem das erneute Ausfüllen der sich immer wiederholenden Formulare sowie die Sorge um vergessene Passwörter. Es gibt jedoch einen Haken: Alle diese AutoFill-Daten können in die Hände von Cyberkriminellen gelangen, wenn Ihr Computer von einem sogenannten Stealer infiziert wird – als Stealer wird informationsstehlende Malware bezeichnet.

Passwörter, Kreditkartennummern und andere Daten, die in Ihrem Browser gespeichert werden, können von Malware gestohlen werden

 

Derartige Programme erfreuen sich bei Online-Betrügern immer größerer Beliebtheit: Allein in der ersten Jahreshälfte entdeckten die Sicherheitsprodukte von Kaspersky mehr als 940.000 Stealer-Angriffe. Zum Vergleich: im Jahr 2018 lag die Angriffszahl im gleichen Zeitraum lediglich bei einem Drittel der Gesamtziffer.

Genau genommen interessieren sich Stealer allerdings nicht nur für die AutoFill-Daten von Browsern, sondern auch für Kryptowallets und Gaming-Daten. Darüber hinaus stehlen sie auf dem Desktop gespeicherte Dateien (wir hoffen, dass Sie dort keine wertvollen Informationen wie z. B. Passwortlisten aufbewahren).

Da Browser jedoch zu einem zentralen Punkt für Arbeit und Vergnügen geworden sind – Shopping, Banking & Co. – liefern sie häufig weitaus vertraulichere Informationen als jede andere Anwendung. Werfen wir einen Blick darauf, wie Stealer überhaupt an Browserdaten gelangen.

So speichern Browser ihre Autofill-Daten

Selbstverständlich versuchen Browser-Entwickler, die ihnen anvertrauten Informationen zu schützen, indem sie diese verschlüsseln. Die erneute Entschlüsselung der Informationen und Daten ist ausschließlich auf demselben Gerät und über dasselbe, zur Speicherung verwendete Konto möglich. Sollte also jemand eine Datei mit AutoFill-Daten entwenden, ist diese völlig nutzlos, da alle Informationen sicher verschlüsselt sind.

Doch auch hier gibt es ein Aber. Standardmäßig gehen Browser-Entwickler davon aus, dass sowohl Ihr Gerät als auch Ihr Konto gut geschützt sind, was bedeutet, dass jedes Programm, das von Ihrem Konto aus auf Ihrem Computer ausgeführt wird, in Ihrem Namen handeln und daher gespeicherte Daten extrahieren und entschlüsseln kann. Dies gilt leider auch für Malware, die sich in Ihr Gerät eingeschleust hat und unter dem Deckmantel Ihres Kontos ausgeführt wird.

Der einzige Browser, der eine zusätzliche Schutzebene für gespeicherte Daten bietet, ist Firefox. Der Browser ermöglicht es ein Master-Passwort zu erstellen, das immer dann eingeben werden muss, wenn die Daten entschlüsselt und für AutoFill-Formulare verwendet werden müssen. Diese Option ist jedoch standardmäßig deaktiviert.

So stiehlt Malware Chrome-Daten

Google Chrome und andere Browser, die auf der Chromium-Engine basieren (z. B. Opera und Yan-dex.Browser), speichern Benutzerdaten immer am selben Ort, sodass Stealer sie problemlos finden können. Zumindest theoretisch werden diese Daten eigentlich verschlüsselt gespeichert. Sollte die Malware jedoch bereits in das System eingedrungen sein, agiert diese, wie bereits zuvor gesagt, in Ihrem Namen.

Die Malware fordert das Datenverschlüsselungstool des Browsers dann höflich dazu auf, die auf Ihrem Computer gespeicherten Informationen zu entschlüsseln. Anfragen, die auf den ersten Blick vom Nutzer selbst zu stammen scheinen, werden standardmäßig als sicher eingestuft. Auf diese Weise erhält der Stealer all Ihre Passwörter und Kreditkartendetails als Antwort.

So stiehlt Malware Firefox-Daten

Firefox funktioniert etwas anders. Um Passwortdatenbanken & Co. vor Fremden zu verbergen, erstellt der Browser ein Profil mit einem vollkommen zufälligen Namen, sodass die Malware im Voraus nicht wissen kann, wo sie danach suchen muss. Der Name der Datei, die die gespeicherten Daten enthält, ändert sich jedoch nicht, sodass der Stealer nicht daran gehindert wird, alle Profile einzeln durchzugehen (die Ordner, in denen sie gespeichert sind, befinden sich an einem Ort) und auf diese Weise dann die gewünschte Datei zu identifizieren.

Danach bittet die Malware das entsprechende Browsermodul darum, die Dateien zu entschlüsseln. Selbstverständlich mit vollem Erfolg, da sie erneut in Ihrem Namen agiert.

So stiehlt Malware Internet Explorer- und Edge-Daten

Windows-Browser verwenden einen speziellen Speicher für Ihre Daten. Obwohl die genaue Methode und Art der Speicherung immer von der Version der jeweiligen Anwendung abhängt, lässt das Thema Zuverlässigkeit auch hier einiges zu wünschen übrig. Auch in diesem Fall kann die Malware ganz einfach Ihre Passwörter und Kreditkartendaten abrufen, indem sie diese scheinbar in Ihrem Namen anfordert.

Das Problem besteht darin, dass die Anfrage der Malware zur Entschlüsselung von Browserdaten vom Benutzer selbst zu stammen scheint, sodass der Browser keinen Grund hat, Nein zu sagen.

Was passiert mit Daten, die von einem Stealer entwendet wurden?

Sobald die Malware über die AutoFill-Daten im Klartext verfügt, übermittelt sie diese an die Cyberkriminellen. Danach können sich zwei mögliche Szenarien enfalten. Entweder die Malware-Entwickler nutzen die Daten selbst oder sie verkaufen diese zu einem stolzen Preis auf dem Schwarzmarkt.

Wenn zu den gespeicherten Informationen Benutzernamen und Passwörter gehören, werden die Gauner sehr wahrscheinlich einige Ihrer Konten entwenden und versuchen, Ihren Freunden aus ausgefuchste Art und Weise Geld aus der Tasche zu ziehen. Wenn Sie Bankkartendaten im Browser gespeichert haben, kann es zu deutlich größeren und vor allem direkten Verlusten kommen. Ihr Kontoguthaben kann dann entweder umgehend ausgegeben oder auf ein anderes Konto überwiesen werden.

Gestohlene Konten können auch für viele andere Zwecke verwendet werden; von Spam und Werbung für Websites oder Apps über das Versenden von Viren bis hin zur Geldwäsche.

So schützen Sie Ihre Daten vor Stealern

Wie unser Beitrag zeigt, sind die im Browser gespeicherten Daten und damit auch Ihre Finanzen und sogar Ihr Ruf gefährdet, wenn Malware in Ihren Computer eindringen sollte. Um eine solche Situation zu vermeiden:

  • Vertrauen Sie Ihrem Browser keine wichtigen Informationen wie Bankkartendetails zur sicheren Aufbewahrung an. Geben Sie diese stattdessen jedes Mal manuell ein – dies nimmt zwar mehr Zeit in Anspruch, ist aber deutlich sicherer. Alternativ können Sie Passwörter auch per Passwort-Manager speichern.
  • Wenn Sie Firefox nutzen, können Sie im Browser gespeicherte Daten mit einem Masterpasswort schützen. Klicken Sie dazu auf die Menürschaltfläche oben rechts und wählen Sie Einstellungen. Wählen Sie den Abschnitt Datenschutz & Sicherheit. Setzen Sie ein Häkchen bei Master-Passwort Erstellen Sie dann Ihr persönliches Passwort – je länger und komplexer desto schwerer wird es für Angreifer dieses zu knacken.
  • Das Wichtigste: Der beste Weg, um Daten zu schützen, besteht darin, zu verhindern, dass Malware auf Ihren Computer gelangt. Installieren Sie dazu eine zuverlässige Sicherheitslösung, die Infektionen fernhält. Denn ohne Malware gibt es auch keine Probleme!