Archiv

Cyberkriminalität
Vom Werbebanner zur Virenschleuder

Statt Websites aufwendig zu hacken und dort Schadsoftware zu platzieren, schalten Cyberkriminelle einfach Werbung und lassen infizieren – per Werbebanner. Internetwerbung hat sich so zu einem weit geöffneten und sehr gefährlichen Einfallstor für Onlinebetrug entwickelt.

Von Achim Killer |
    Symbolbild: Mensch sitzt vor einem Rechner, auf dem Bildschirm zu sehen: "Hacker Attack!"
    Symbolbild: Mensch sitzt vor einem Rechner, auf dem Bildschirm zu sehen: "Hacker Attack!" (imago)
    Wenn Websites wie die der New York Times, von BBC oder News Week Schadprogramme verteilen, dann erwischt das die Opfer meist kalt. Denn die wähnen sich auf sicheren Seiten.

    "Wessen sich die meisten nicht bewusst sind, ist, dass dieser Code sehr häufig von einer anderen Webseite geladen wird", so Candid Wüest, Virenforscher bei Symantec. Werbebanner, verteilt durch Media-Agenturen oder Werbe-Netzwerke, entwickeln sich zunehmend zu Virenschleudern. Früher haben Virenschreiber beliebte Websites gehackt, um die üblen Produkte ihrer Arbeit möglichst breit zu verteilen. Allerdings: Das wird immer schwieriger, weil die Website-Betreiber Vorkehrungen dagegen treffen.
    Malvertising ersetzt das Hacking
    "Angreifer können aber diese Sicherheitsvorkehrungen umgehen: Anstatt die Site zu hacken, schalten sie einfach eine Anzeige", so Mikko Hypponen, Chef-Technologe bei F-Secure. Malvertising ersetzt das Hacking.
    Cyberkriminellen erspart ein Werbebanner einen Website-Hack. Einen? Viele, sagt Christian Funk, Virenforscher bei Kaspersky: "Über ein Werbenetzwerk ist es tatsächlich so, dass man die Reputation von sehr vielen Netzwerken ausnutzen kann und dort gleichzeitig eben diese maliziöse Inhalte eingeblendet werden können. Das heißt: Man kann in sehr, sehr kurzer Zeit sehr viele Surfer erreichen, entsprechend auch viele Opfer generieren, infizierte Rechner generieren und das Ganze für einen überschaubaren Geldbetrag."
    Sicherheit bleibt auf der Strecke
    Medien-Unternehmen, die Anzeigenplatz im Netz verkaufen, verlieren so die Kontrolle über ihren Webauftritt. Denn die Werbebanner werden nicht auf ihren eigenen Servern gespeichert, wo sie in Ruhe untersucht werden könnten, sondern auf Rechnern ihrer Anzeigenkunden. "Einige Angreifer übermitteln Anzeigen, die heute noch in Ordnung sind, aber, sagen wir mal, nächsten Donnerstag Exploits verbreiten."
    Dass dies möglich ist, liegt an der Arbeitsteilung in der Branche. Die Medien-Unternehmen stellen den Anzeigenplatz zu Verfügung. Die Werbenetzwerke analysieren mit Hilfe von Cookies und anderen Tracking-Werkzeugen die Surfer. Und die Anzeigenkunden schließlich entscheiden, welchem Surfer, welcher Werbebanner gezeigt werden soll. Und Letzteres sollte tunlichst in Sekundenbruchteilen geschehen. So funktioniert personalisierte Werbung. Die IT-Sicherheit bleibt dabei auf der Strecke, meint Candid Wüest:
    "Zum Teil sind diese Werbebanner eben sehr dynamisch heutzutage. Das heißt: Je nachdem von welcher IP-Adresse ich darauf zugreife, bekomme ich einen anderen Inhalt, weil man ja personalisierte Werbung haben möchte. Und dementsprechend kann man es fast nicht ermöglichen, immer alles zu analysieren. Sie müssen wirklich den kompletten Code analysieren. Und selbst dann wissen sie nicht, ob im Hintergrund vielleicht zwei Tage später der Code ausgetauscht wird."
    Eine einfach Abhilfe
    Mikko Hypponen weist auf eine einfache Sicherheitsvorkehrung hin, mit der sich Surfer vor Malvertising, vor verseuchten Werbebannern, schützen können. Wenn die Surfer massenhaft dazu greifen würden, wäre das verheerend für die Werbebranche. Aber eigentlich liegt es nahe.

    "Deshalb verwenden immer mehr Leute Ad-Blocker. Nicht alle installieren Ad-Blocker, weil sie keine Werbung sehen wollen. Einige nutzen Ad-Blocker auch wegen dieser Risiken, sie streben dadurch mehr Sicherheit an."