Die Raubtiere des Internets

Inhalt

    Es ist nicht wichtig, was genau ein Anwender im Internet macht – ob er in Sozialen Netzwerken kommuniziert, neue Informationen sucht oder sich Videos anschaut. Auch das Alter des potenziellen Opfers spielt keine Rolle – im Arsenal der Cyberkriminellen findet sich vom Schülern bis hin zum Rentner für jeden etwas. Das Ziel von Online-Gangstern besteht darin, sich Zugriff auf das Geld der Anwender zu verschaffen, auf deren persönliche Daten und auf die Systemressourcen ihrer Computer. Also auf alles, womit sich Geld machen lässt.

    In den Weiten des Internets kann der Anwender den unterschiedlichsten Angriffen zum Opfer fallen: Er kann sich die Erpresserprogramme Gimemo oder Foreign einfangen, sein Computer kann Teil des Botnetzes Andromeda werden, er kann Geld von seinem Bankkonto infolge der Aktivität von ZeuS/Zbot verlieren, oder seine Passwörter werden von dem Schädling Fareit kompromittiert. In den meisten Fällen wird bei einer Webattacke auf den angegriffenen Computern eine schädliche ausführbare Datei geladen und dort installiert. Allerdings gibt es auch Ausnahmen wie XSS oder CSRF, wobei eingeschleuster HTML-Code ausgeführt wird.

    Das Angriffsschema

    Damit eine Attacke erfolgreich durchgeführt werden kann, muss der Anwender auf eine schädliche Webseite surfen, von der aus eine ausführbare Datei auf seinen Computer geladen wird. Um den Anwender auf eine solche Ressource zu locken, können Cyberkriminelle ihm beispielsweise einen Link via E-Mail, SMS oder über ein Soziales Netzwerk schicken, oder ihre Seite auf den ersten Ergebnisseiten von Suchmaschinen platzieren. Es gibt auch noch eine andere Möglichkeit: Die Verbrecher können eine populäre legitime Ressource oder ein populäres Banner hacken und sie in ein Angriffswerkzeug für Attacken auf die Besucher verwandeln.

    Der Download und die Installation eines Schädlings erfolgen auf eine von zwei möglichen Arten. Die erste ist ein verborgener Drive-by-Download, der auf der Ausnutzung von Sicherheitslücken in der Software des Nutzers beruht. Dabei ist es möglich, dass der Besucher der infizierten Seite gar nicht bemerkt, dass auf seinem Computer ein Schädling installiert wird – in der Regel gibt es keinerlei Anzeichen, die darauf hinweisen.

    Bei der zweiten Methode kommt Social Engineering zum Einsatz, und der überlistete Nutzer lädt sich selbst ein Schadprogramm auf seinen Computer, das als Update des Adobe Flash Players oder einer anderen populären Anwendung getarnt ist.

    Threat_landscape_1

    Angriffsschema via Internet mit Download einer schädlichen ausführbaren Datei

    Schädliche Links und Banner

    Die einfachste Art, ein Opfer auf eine schädliche Webseite zu locken, besteht darin, ein optisch attraktives Banner mit einem Link gut sichtbar zu platzieren. In der Regel werden als Plattform Seiten mit illegalem Inhalt verwendet – etwa Pornografie, nicht lizenzierte Software oder Filme. Seiten dieser Art können über einen langen Zeitraum „ganz normal“ funktionieren, wobei sie ein gewisses Publikum um sich scharen. Erst im Laufe der Zeit platzieren die Cyberkriminellen dort Banner und Links, die auf schädliche Ressourcen führen.

    Eine recht populäre Infektionsmethode ist das „Malwertising”, oder die Umleitung des Anwenders auf eine schädliche Seite mit Hilfe verborgener Banner. Zweifelhafte Bannernetze, die Administratoren von Webseiten mit hoher Bezahlung für Klicks auf Werbung und für den Besuch der beworbenen Ressourcen locken, verdienen auch nicht selten an der Verbreitung von Schädlingen.

    Beim Wechsel auf eine Webseite, auf der ein Banner eines schädlichen Netzes installiert ist, öffnet sich im Browser des Anwenders ein so genanntes „Pop-under“, das heißt ein Pop-up-Fenster, das entweder unter dem Fenster der Seite oder im benachbarten, nicht aktiven Tab geöffnet wird. Der Inhalt eines solchen „Pop-under“ variiert häufig je nach Standort des Besuchers der Webseite – Einwohner unterschiedlicher Länder werden unter Umständen auch auf unterschiedliche Ressourcen umgeleitet. Besuchern aus wiederum anderen Ländern wird eventuell nur Werbung angezeigt, wie zum Beispiel hier:

    Threat_landscape_2

    Die Seite leitet amerikanische Besucher auf die Ressource watchmygf[]net weiter

    Threat_landscape_3

    Die Seite leitet Besucher aus Russland auf die Ressource runetki[]tv weiter

    Die Computer der Besucher aus anderen Ländern werden von Exploit-Packs angegriffen.

    Threat_landscape_4

    Computer in Japan werden von einem Exploit angegriffen und erhalten den Spionage-Trojaner Zbot

    In seltenen Fällen dringen schädliche Banner auch in redliche Banner-Netze ein, ungeachtet sorgfältiger Prüfungen seitens der Administratoren. Solche Fälle wurden im Banner-Netz Yahoo Advertising und sogar bei YouTube registriert.

    Spam-Versendungen

    Spam gehört zu den populärsten Methoden, wenn es darum geht, Anwender auf schädliche Ressourcen zu locken. Gemeint sind damit Mitteilungen, die via E-Mail, SMS und IM-Systeme oder über Soziale Netzwerke versendet werden, sowie persönliche Mitteilungen in Foren oder Kommentare in Blogs.

    Gefährliche Mitteilungen können eine Schädlingsdatei oder einen Link auf eine infizierte Seite enthalten. Um den Empfänger dazu zu bringen, auf den Link oder die Datei zu klicken, werden Social-Engineering-Tricks eingesetzt, unter anderem in den folgenden Ausformungen:

    • Als Absendername wird der Name einer realen Organisation oder einer realen Person eingesetzt.
    • Das Schreiben ist als legitime Versendung getarnt oder sogar als persönliche Mitteilung.
    • Die Datei ist so benannt, dass das Opfer sie für ein nützliches Programm oder ein notwendiges Dokument hält.

    Threat_landscape_5

    Im Rahmen einer zielgerichteten Attacke, bei der Cyberkriminelle punktuell eine bestimmte Organisation angreifen, kann eine schädliche E-Mail ein Schreiben eines echten Korrespondenz-Partners der Organisation imitieren: Die Absenderadresse, der Inhalt und die Signatur sind dann die gleichen wie in den echten E-Mails, beispielsweise von einem Partner des Unternehmens. Öffnet der Empfänger das angehängte Dokument mit der Bezeichnung nach Art von „Rechnung.docx“, setzt er seinen Computer dem Risiko einer Infektion aus.

    Illegale Suchmaschinenoptimierung

    Unter Suchmaschinenoptimierung (SEO, Search Engine Optimization) versteht man verschiedene Methoden, eine Webseite in der Ergebnisausgabe von Suchsystemen auf höhere Positionen zu befördern. Sucht der moderne Internetuser bestimmte Informationen oder Dienstleistungen, so tut er dies zumeist mit Hilfe eines Suchsystems. Daher hat eine Webseite auch umso mehr Besucher, je leichter sie zu finden ist.

    Neben den legalen Optimierungsmethoden, die aus Sicht der Suchsysteme zulässig sind, gibt es auch verbotene Methoden, die im Austricksen der Suchmaschine begründet sind. Die Seite kann mit Hilfe eines Botnetzes „hochgepusht“ werden, wenn tausende Bots bestimmte Suchanfragen stellen und aus der Ergebnisliste die schädliche Webseite auswählen, und sie auf diese Art im Ranking nach oben befördern. Die Seite selbst kann in verschiedenen Erscheinungsformen auftreten, je nachdem, wer sie besucht: Handelt es sich um einen Suchroboter, so wird ihm eine Seite gezeigt, die für die jeweilige Anfrage von Relevanz ist. Handelt es sich um einen gewöhnlichen Anwender, so wird er auf die schädliche Seite umgeleitet.

    Threat_landscape_6

    Zudem werden in Foren und auf anderen Seiten, die dem Suchsystem bekannt sind, mit Hilfe spezieller Tools Links auf diese Seite platziert, wodurch das Rating der Seite und dementsprechend auch ihre Position in der Ergebnisausgabeliste der Suchmaschine verbessert wird.

    In der Regel werden Webseiten, die mit Hilfe der illegalen Suchmaschinenoptimierung im Rating angehoben wurden, umgehend von der Verwaltung der Suchsysteme blockiert. Daher werden sie unter Verwendung automatischer Tools zu Dutzenden und Hunderten erstellt.

    Infizierte legitime Webseiten

    Um ihre Schadprogramme zu verbreiten, können Online-Verbrecher auch eine legitime Seite infizieren, die von vielen Anwendern besucht wird. Dabei kann es sich um eine populäre Nachrichtenressource, einen Online-Shop, iein Portal oder eine automatisch erstellte Internet-Nachrichtenseite handeln.

    Um die Ressource zu infizieren, kommen zwei Methoden zum Einsatz. Wird auf der Ziel-Seite verwundbare Software gefunden, so kann man dort schädlichen Code hochladen (beispielsweise durch Einschleusung von SQL-Code). In anderen Fällen verwenden die Cyberkriminellen die Authentifizierungsdaten, die sie von dem Computer des Webseiten-Administrators mit Hilfe eines der vielen trojanischen Spionage-Programme oder mittels Phishing in Kombination mit Social Engineering erbeutet haben. Nachdem sie die Kontrolle über die Seite erhalten haben, wird diese auf die eine oder andere Weise infiziert. Im einfachsten Fall wird in den HTML-Code der Seite der verborgene Tag iframe mit einem Link auf eine schädliche Ressource eingeschleust.

    Kaspersky Lab registriert täglich tausende legitime Seiten, von denen aus Schadcode ohne Kenntnisnahme der Anwender auf deren Computer geladen wird. Aus den Aufsehen erregenden Fällen ist insbesondere das trojanische Programm Lurk hervorzuheben, das auf den Webseiten der russischen Nachrichtenagentur RIA Novosti und der Webseite gazeta.ru gefunden wurde, sowie die Infektion der Website PHP.Net.

    Der Besucher einer infizierten Seite wird unter Einsatz eines verborgenen Drive-by-Downloads attackiert, das heißt die Infektion erfolgt für den Anwender unbemerkt und macht keine Interaktion seinerseits erforderlich. Von der Seite wird ein Exploit geladen – oder auch ein ganzes Exploit-Set –, das eine ausführbare Datei auf dem Rechner des Nutzers startet, sofern dort angreifbare Software vorhanden ist.

    Exploit-Packs

    Die effektivsten Instrumente zur Infektion eines Computers sind Exploit-Packs wie Blackhole – ein auf dem Schwarzmarkt verfügbares Produkt. Exploit-Packs werden auf Bestellung entwickelt oder für den Verkauf an ein größeres Publikum, sie werden unterstützt und aktualisiert. Der Preis für ein solches Exploit-Set hängt von der Menge und der Aktualität der darin enthaltenen Exploits ab, sowie von der Benutzerfreundlichkeit, der Support-Qualität, dem Update-Rhythmus und natürlich der Gier des Verkäufers.

    Da die beschriebenen Attacken über den Browser vollzogen werden, müssen die Exploits auch Sicherheitslücken im Browser selbst, in Browser-Erweiterungen oder in Dritt-Software ausnutzen, die den Browser zur Verarbeitung des Webseiten-Inhalts lädt. Als Folge der erfolgreichen Ausführung eines der Exploits wird eine schädliche ausführbare Datei auf dem Rechner des Anwenders gestartet.

    Threat_landscape_7

    Threat_landscape_8

    Typische Auswahl von Add-ons für den Internet Explorer, die standardmäßig beim Start keine Erweiterungen erfordern. Rot unterstrichen sind die Erweiterungen, deren Sicherheitslücken häufig bei Attacken auf das System ausgenutzt werden.

    Effiziente Packs enthalten Exploits für aktuelle Sicherheitslücken in populären Browsern und Erweiterungen für diese, aber auch für Adobe Flash Player und andere beliebte Programme. Nicht selten sind Exploit-Packs mit Werkzeugen zur Feineinstellung und zur Erstellung von Infektionsstatistiken ausgestattet.

    Threat_landscape_9

    Steuerungspanel des Exploit-Packs Styx

    Direkter Download durch den Anwender

    Nicht immer müssen Cyberkriminelle raffinierte und kostspielige Werkzeuge einsetzen, um ein Schadprogramm in einen Computer einzuschleusen. Lässt sich der Anwender in die Irre führen, so kann er auch selbst dazu gebracht werden, einen Schädling zu laden und auszuführen.

    Beim Besuch einer schädlichen Porno-Seite sieht der Nutzer beispielsweise die Ankündigung einer Vorschau eines Videos „ab 18 Jahren“. Mit einem Klick auf den entsprechenden Link wird ihm mitgeteilt, dass er seinen Adobe Flash Player aktualisieren müsse. Dabei bietet ihm die Seite direkt eine Datei mit vertrauenswürdigem Namen zum Download an. Mit der Installation des „Updates“ infiziert der User seinen Computer mit einem trojanischen Programm.

    Threat_landscape_10

    Mitteilung, die beim Versuch angezeigt wird, ein Video „für Erwachsene“ auf einer schädlichen Webseite anzuschauen

    Dem Nutzer kann auch eine Webseite angezeigt werden, die das Verzeichnis „Computer“ im Windows-Explorer imitiert. Auf der Webseite wird ihm dann mitgeteilt, dass auf seinem Rechner eine Vielzahl von Viren gefunden wurde. Gleich daneben erscheint ein kleineres Fenster, das den Nutzer zum Download eines „kostenlosen Antiviren-Programms“ auffordert, das den Computer von allen Schädlingen befreit.

    Threat_landscape_11

    Aufforderung, ein kostenloses Antiviren-Programm zu installieren, hinter dem sich ein Trojaner verbirgt

    Infizierung über Soziale Netzwerke

    Unbedarfte Nutzer von Sozialen Netzwerken sind Angriffen so genannter halbautomatischer Würmer ausgesetzt. Das künftige Opfer erhält – angeblich von einem seiner virtuellen Bekannten – eine Mitteilung mit dem Vorschlag, sich eine interessante Funktion herunterzuladen, die in dem Netzwerk üblicherweise nicht vorhanden ist (zum Beispiel einen „Dislike“-Button oder die Darstellung vertraulicher Daten anderer Anwender). Um diese attraktive Funktion zu installieren, soll er die JavaScript-Konsole des Browsers öffnen und dort einen bestimmten Code eingeben.

    Threat_landscape_12

    Anweisungen zur Installation eines halbautomatischen Facebook-Wurms

    Nach Durchführung dieser Schritte wird der Wurm aktiviert und beginnt Daten über den Anwender zu sammeln, Links auf sich selbst an die Freunde des Opfers zu verschicken und „Likes“ auf verschiedenen Posts zu platzieren. Bei letztgenannter Aktion handelt es sich um eine bezahlte Dienstleistung, die der Betreiber des Wurms seinen Auftraggebern anbietet. Und damit kommen wir dazu, was Cyberkriminelle eigentlich dazu bringt, sich immer wieder neue Finten auszudenken und die Gesetze zu übertreten.

    Geld, Geld, Geld

    Cyberkriminelle greifen unsere Computer nicht aus Jux und Tollerei an, šihr Ziel ist immer Geld. Eine sehr beliebte Methode, sich illegal Geld anzueignen, ist der Einsatz eines Erpresser-Trojaners, der die Funktionen des Computers bis zur Zahlung einer bestimmten Summe außer Gefecht setzt.

    Ist er einmal in den Computer des Nutzers eingedrungen, ermittelt der Trojaner das Land, in dem sich der infizierte Rechner befindet und zeigt dann dem Erpressungsopfer einen entsprechend lokalisierten Sperrbildschirm an, auf dem die Instruktionen zur Lösegeldzahlung zu lesen sind. Die Sprache und die von den Verbrechern geforderte Bezahlmethode variieren in Abhängigkeit von dem Land, in dem der Nutzer lebt.

    Normalerweise beschuldigen die Gauner den Anwender des Betrachtens von Kinderpornografie oder einer anderen illegalen Aktivität und drohen ihm daraufhin mit strafrechtlichen Konsequenzen oder damit, diese Informationen zu veröffentlichen – in der Hoffnung darauf, dass das Opfer die Drohungen ernst nimmt und es nicht wagt, sich Hilfe suchend an die Strafverfolgungsbehörden zu wenden. Als zusätzlicher Zahlanreiz drohen manche Erpresserprogramme ihren Opfern auch damit, den Inhalt der Festplatte zu zerstören, wenn die Lösegeldsumme nicht innerhalb kürzester Zeit gezahlt wird.

    Threat_landscape_13

    Sperrbildschirm, den der Erpresser-Trojaner Trojan-Ransom.Win32.Foreign seinen Opfern in den USA anzeigt

    Die von den Cyberkriminellen geforderte „Strafzahlung“ soll durch den Versand von SMS an eine Premium-Nummer oder durch Geldüberweisung mit Hilfe eines Bezahlsystems erfolgen. Daraufhin soll der Anwender einen Entsperrungscode erhalten, nach dessen Eingabe der Trojaner deaktiviert wird, was in der Praxis jedoch nicht immer passiert.

    Der Verbindungskanal zu dem Opfer könnte die Strafverfolgungsbehörden auf die Spur der Cyberkriminellen führen. Daher gehen diese meist lieber kein Risiko ein und lassen die betroffene Person mit einem praktisch funktionsunfähigen Computer zurück.

    Eine weitere verbreitete Methode, illegal Geld zu verdienen, liegt im Sammeln und Verkaufen vertraulicher Anwenderdaten. Kontakt- und andere persönliche Daten sind eine nachgefragte Ware, die auf dem Schwarzmarkt abgesetzt werden kann, wenn auch für eine vergleichsweise geringe Summe. Dabei muss der Computer des Anwenders zum Sammeln von Informationen gar nicht unbedingt mit einem Schädling infiziert werden. Häufig übermittelt das Opfer selbst alle nötigen Informationen – Hauptsache, die Seite, auf der das Formular zur Dateneingabe platziert ist, macht einen soliden und glaubwürdigen Eindruck.

    Threat_landscape_14

    Gefälschte Webseite, die Kontaktdaten und persönliche Informationen der Besucher sammelt, die daraufhin bei kostenpflichtigen mobilen Services angemeldet werden

    Große Gewinne fahren die Betreiber von trojanischen Bank-Schädlingen ein. Diese Programme sind auf den Diebstahl von Bankkonten über Online-Banking-Systeme spezialisiert. Ein Schädling dieses Typs stiehlt die Authentifizierungsdaten des Anwenders, die dieser beim Online-Banking verwendet. Normalerweise reicht das allerdings nicht aus, da fast alle Banken und Bezahlsysteme eine Mehrfaktoren-Authentifizierung fordern, unter anderem durch Eingabe eines SMS-Codes oder der Installation eines USB-Schlüssels. In diesen Fällen wartet der Schädling ab, bis der User einen Zahlungsvorgang via Internet-Banking durchführt, tauscht dann die Zahlungsdaten aus und leitet das Geld auf bestimmte Konten um, von denen aus die Cyberkriminellen es in Bares umwandeln. Es existieren auch andere Technologien zur Umgehung der Zwei-Faktoren-Authentifizierung: Einige Trojaner können die SMS mit Einmal-Passwörtern abfangen oder das System dazu bringen, sich in dem Moment anscheinend „aufzuhängen“, in dem der USB-Schlüssel eingesteckt wird, um entfernt eine Transaktion im Namen des Nutzers durchzuführen. Und zwar bevor dieser die Situation analysieren und überlegen kann, ob es nicht vielleicht doch besser wäre, den Computer neu zu starten.

    Schließlich ist auch die Unterhaltung eines Botnetzes ein einträgliches Geschäft. Mit Bots infizierte Computer können unbemerkt verschiedene Aktionen durchführen, die Cyberkriminellen allesamt Geld einbringen: Bitcoin-Mining, Spamversand, Durchführung von DDoS-Attacken, „Hochpushen“ von Webseiten durch Suchanfragen.

    Abwehr der Bedrohung

    Wie man sieht, gibt es ein breites Spektrum an Internet-Bedrohungen, die fast überall und zu jeder Zeit auf den Nutzer lauern – beim E-Mail-Lesen, beim Kommunizieren in Sozialen Netzwerken, beim Nachrichtenstudium oder einfach so beim Surfen. Aber auch die Methoden zum Schutz vor diesen Bedrohungen sind vielfältig. Sie lassen sich zu vier grundlegenden Ratschlägen zusammenfassen:

    • Seien Sie bei allem vorsichtig, was Sie im Internet tun, und achten Sie darauf, was für Seiten Sie besuchen und was für Dateien Sie auf Ihren Computer laden und dort ausführen.
    • Schenken Sie Mitteilungen von unbekannten Anwendern und Organisationen kein Vertrauen und klicken Sie nicht auf Links in solchen Mitteilungen beziehungsweise öffnen Sie keine Anhänge in E-Mails von Unbekannten.
    • Aktualisieren Sie regelmäßig die aktiv genutzte Software, insbesondere die, die in Verbindung mit dem Browser funktioniert.
    • Installieren Sie eine aktuelle Schutzlösung und halten Sie deren Antiviren-Datenbanken auf dem neusten Stand.

    Das klingt sehr einfach, doch eine zunehmende Zahl von Infektionen führt uns deutlich vor Augen, dass bei Weitem nicht alle Anwender ein ausgeprägtes IT-Sicherheitsbewusstsein haben und sich an diese Regeln halten. Wir hoffen, dass unser Überblick über die aktuellen Internet-Bedrohungen dazu beiträgt, die Situation zu verbessern.

    Ähnliche Beiträge

    Es gibt 1 Kommentar
    1. Wilhelm Kratochwil

      Hütet Euch vor watchmygirlfriend. Die locken mit einem Angebot von 1 US-Dollar nur flpr1 Tag und buchen dann, wenn sie deine Kreditkarten- daten haben, ständig von der Karte ab. Da hilft nur noch, die Karte sperren lassen und eine andere mit einer andern Nummer beantragen.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.