Malvertising

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

München, den 03. Februar 2015. Als Malvertising wird der Missbrauch von Onlinewerbung zum Datendiebstahl oder gar der Übernahme von Rechnern bezeichnet. Im Oktober 2014 waren nach Feststellung des Enterprise-Security-Anbieters Palo Alto Networks[1] AOL und Yahoo und deren Nutzer betroffen. Anfang 2015 kam heraus, dass weitere bekannte Websites, darunter auch FHM und Huffington Post für Malvertising-Kampagnen genutzt wurden, ohne dass die Betreiber davon etwas mitbekommen haben.

So werden für Malvertising auf nahezu jeder Website Werbeflächen genutzt, die als Hosting-Plattform für Drittanbieter-Werbung dient. Die potenzielle Reichweite ist groß, denn jeder Internetnutzer auf der ganzen Welt kommt ständig in Kontakt mit Werbung. Auf jeder Internetseite, die aufgerufen wird, etwa um Nachrichten zu lesen oder nach einem Film zu suchen, taucht Werbung auf. Der durchschnittliche Internetnutzer wurde laut Statistik von Comscore bereits im Jahr 2012 mit mehr als 1.700 Anzeigen pro Monat konfrontiert. Durch Malvertising können die Angreifer Hunderte Millionen von Nutzern erreichen. (Auch auf SecuPedia erscheint Werbung. Sie wird allerdings nicht automatisiert entgegengenommen, sondern von Menschen geprüft und freigegeben.)

Malvertisements sind kaum von legitimen Anzeigen zu unterscheiden. Selbst mit geschärftem Blick für Cyber-Bedrohungen fällt es schwer, auf den ersten Blick die gefährlichen Werbeeinblendungen als solches zu identifizieren. Eine simple No-Click-Regel ist nicht genug, um Nutzer zu schützen, weil einige Malvertisements, wie Pop-up-Anzeigen, nicht einmal die Interaktion des Anwenders erfordern. Die Malware wird nebenbei installiert, wenn die Anzeige auf der Seite geladen wird – und als Malware kommt alles in Frage, von Botnetzen, die sich fremde Computer als Zombie-Computer aneignen, bis hin zu Ransomware, die Daten verschlüsselt, um dann „Lösegeld“ für die Entschlüsselung zu fordern.

Konsequenzen haben die Malvertising-Akteure kaum zu befürchten, da die Hosting-Website keine Kontrolle über die Anzeigen hat. Angreifer nutzen die Möglichkeit, auf die Werbenetzwerk-Funktionen mit ihren niedrigen Preisen und automatischen Bieterverfahren zurückzugreifen. Damit erschließen sie sich das Potenzial sehr großer Zielgruppen, die sich über „vertrauenswürdigen“ Quellen – wie eben AOL oder Yahoo – erreichen lassen.

Und so funktioniert es: Der Angreifer stellt bei einem Ad Publisher seinen Anzeigen-Programmcode und nennt den höchsten Preis, den für die Veröffentlichung seiner Werbeanzeige zahlen will – so wie legitime Anzeigenkunden. Der Ad Publisher nutzt ein Ad-Netzwerk, um für Werbeflächen auf fremden Websites zu bieten. Das Angebot geht an den Meistbietenden. Dies ist ein automatischer Verkaufsprozess, der nur einige Millisekunden dauert. Die Preise betragen in der Regel weniger als einen US-Dollar. Der Code der vermeintlichen Anzeige wird dann auf der Website platziert.

Die Angreifer versuchen meist, sich einen „guten Ruf“ zu verschaffen, indem sie für ein paar Monate Anzeigen mit sauberem Code platzieren, bevor die Anzeigen mit Angriffscode versehen werden. Sobald dies geschieht, erzielt der Angriff eine breite Reichweite und es besteht die Möglichkeit, Hunderttausende von Benutzern zu infizieren und Einnahmen im sechsstelligen Bereich zu generieren – für eine anfängliche Investition, die nur einen Bruchteil davon beträgt. Die bösartige Werbeanzeige muss nur für ein paar Tage oder ein paar Stunden gebucht werden, bis der Angreifer seine Mission erfüllt hat und die Anzeige wieder herunternimmt vom Netz.

Maßnahmen, um Malvertising-Angriffe zu vereiteln:

  • Drive-by-Download-Schutz warnt die Benutzer, dass ein Download-Versuch stattfinden soll. Diesen muss der Benutzer entweder erlauben oder verweigern. Wenn ein Malvertisement versucht, das automatische Herunterladen von Malware zu starten, gibt dieser Mechanismus dem Benutzer die Möglichkeit hier einzugreifen, bevor etwas passiert.
  • File-Blocking-Profile schränken die Arten von herunterladbaren Dateien ein auf nur die Dateien, die erforderlich sind oder die der Benutzer erwartet.
  • Ein Cloud-basierter Anti-Malware-Dienst kann für stets aktuellen Antivirus-Schutz gegen unbekannte Malware sorgen, unmittelbar nachdem sie vom Anbieter der Sicherheitssoftware entdeckt wurde. Malvertisements, die versuchen, bekannte oder unbekannte Malware zu aktivieren, werden erkannt und abgewehrt.
  • URL-Filterung stoppt den Verkehr zu bekannten bösartigen oder nicht kategorisierten Websites. Wenn ein Malvertisment angeklickt wird, wird die entsprechende Webseite blockiert.
  • Selbst wenn der Download der Malware auf den PC erfolgreich war, verhindern gute Sicherheitsprogramme die Installation der Malware.


Einzelnachweis

  1. SecuPedia Aktuell: Anstieg bei gefährlicher Onlinewerbung


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 6. Februar 2015 um 10:36 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.

Anzeigen