Web-Schadprogramme: Sie verstecken sich nicht im Schatten

Oft wird fälschlicherweise angenommen, dass man nur mit Web-Schadprogrammen infiziert werden kann, wenn man die zwielichten Bereiche auf der Schattenseite des Internet, oder eine Webseite der Gruppe „nicht sicher für

Malware

Oft wird fälschlicherweise angenommen, dass man nur mit Web-Schadprogrammen infiziert werden kann, wenn man die zwielichten Bereiche auf der Schattenseite des Internet, oder eine Webseite der Gruppe „nicht sicher für den Bürocomputer“ besucht. Und wenn Sie Ihren Freunden erzählen, dass Ihr Computer infiziert wurde, macht sicher einer einen Witz darüber, dass Sie sich zu oft auf pornografischen Seiten herumtreiben.

Doch in der Realität sind die Zeiten, in denen man sich ausschließlich auf solchen Webseiten infizieren konnte, lange vorbei. Denn solche Webseiten sollen den Betreibern Geld einbringen – ganz anders als die meisten anderen Seiten. Deshalb stellen die Betreiber sicher, dass die Seiten nicht mit Schadprogrammen infiziert sind. Meiner Erfahrung nach, sind die am häufigsten infizierten Webseiten jene, bei denen man es absolut nicht erwartet.

Meiner Erfahrung nach, sind die am häufigsten infizierten Webseiten jene, bei denen man es absolut nicht erwartet.

Wie bei allen Infizierungen, gibt es auch hier zwei primäre Philosophien: Trawling und Spear-Phishing. Beim Trawling wird ein Netz so weit wie möglich ausgeworfen, um so viele Fische wie möglich zu fangen; das ist die Strategie für Botnetz-Betreiber und die Entwickler von Bank-Trojanern. Beim Spear-Phishing wählt man einen bestimmten Fisch aus, geht dorthin, wo er lebt, legt einen Köder aus, bei dem man sicher ist, dass der Fisch ihn schlucken wird, und fängt ihn. Genau so kann man eine Sicherheitslücke auf einer beliebten Webseite finden, und diese kompromittieren, um so viele Infizierungen wie möglich zu erhalten. Oder man findet eine Sicherheitslücke auf einer Webseite, von der man annimmt, dass sie vom gewünschten Opfer besucht wird. Diese zweite Methode nennt man Watering-Hole-Angriff. Der Name stammt von der Praxis von Jägern, die sich in der Nähe von Wasserstellen verstecken, bei denen die gewünschten Beutetiere früher oder später zum Wassertrinken erscheinen. Die Jäger warten einfach, bis die Beute aus dem Wasserloch trinkt und greifen dann an. Genau so schätzt auch ein Cyberkrimineller ab, welche Webseite sein Opfer am ehesten besuchen wird und sucht dort nach Sicherheitslücken.

Die breitgefächerte Attacke wurde auch letzte Woche wieder angewandt, als die beliebte amerikanische Satireseite cracked[dot]com infiziert wurde. Forscher von Barracuda Labs befürchten, dass die Zahl der dadurch erfolgten Computerinfizierungen recht hoch sein könnte, da die Seite laut Web-Informationsdienst Alexa in den USA auf Rang 289 und weltweit auf Rang 654 der populärsten Seiten steht. Ganz ähnlich wurde kürzlich auch die Web-Entwickler-Seite PHP[dot]net infiziert, wie Spiderlabs mitteilt. Und auch einige russische Bankseiten waren mit Schädlingen befallen (für den Artikel müssten Sie allerdings Ihr Russisch aufpolieren).

Die raffiniertere Variante solcher Angriffe zeigten die Watering-Hole-Attacken auf Webseiten des amerikanischen Department of Labor, die Anfang dieses Jahres durchgeführt wurden. In diesem Fall waren wahrscheinlich einzelne Personen mit Zugang zu vertraulichen Regierungsnetzwerken die Ziele. Erst kürzlich haben Forscher der Sicherheitsfirma FireEye über eine Watering-Hole-Attacke auf eine Webseite einer ungenannten amerikanischen Nicht-Regierungsorganisation (NGOs) berichtet, auf der nationale und internationale Richtlinien dargelegt werden. Doch generell muss man sich fragen: Wer würde schon denken, dass die Webseite des Department of Labor Schadprogramme verteilt? Aber genau das ist der springende Punkt für die Cyberkriminellen: Sie wollen eine Seite infizieren, auf der die Besucher es nicht erwarten.

Leider gibt es keine absolut perfekte Sicherheit. Sie können nie wissen, wo ein Angreifer Schadprogramme versteckt. Cyberkriminelle verwenden automatische Werkzeuge, um Webseiten zu finden, die ausnutzbare Sicherheitslücken enthalten. Deshalb müssen Sie sich darauf verlassen, dass zum einen die Webseiten-Administratoren Updates installieren, die zum anderen von den Software-Herstellern erstellt werden müssen. Wenn Administratoren nur ein bisschen so sind, wie normale Internet-Anwender, dann sind sie beim Installieren von Updates nicht sehr gut. Die Hersteller dagegen sind viel besser als früher und erstellen häufig Updates. Allerdings gibt es immer noch besorgniserregend viele Firmen in diesem Bereich, die keine regelmäßigen Updates veröffentlichen.

 

Aus all diesen Gründen, ist es für Sie am sichersten, ein Antiren-Programm zu verwenden, auf Warnungen des Browsers zu achten, und regelmäßig Sicherheitsnachrichten zu lesen – egal ob Sie mit einem PC, Mac, Tablet oder Mobiltelefon im Internet surfen.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.