Ähnlich wie Phishing-Angriffe zielt Malvertising auf die menschliche Komponente in der IT-Sicherheit als Schwachstelle ab. Solange es noch kein Firmwareupdate für menschliches Verhalten gibt, hilft nur das Fortbilden der Mitarbeiter. Wir erläutern, was Malvertising ist und wie man sich schützen kann.
Der Inhalt im Überblick
Wie funktioniert Malvertising?
Malvertising nutzt die Onlinemarketing Funktionen von beispielsweise Google oder Microsoft, um in deren Suchmaschinen an erster Stelle der Suchergebnisse zu stehen. Im Grunde werden Nutzer nach dem Absenden ihrer Suchanfragen mit zwei Arten von Ergebnissen versorgt: Auf der einen Seite die Anzeigen, auf der anderen die „organischen“ Suchergebnisse.
Während beide Ergebnisse sich nach dem Bezug auf die jeweilige Anfrage des Nutzers richten, erscheinen die bezahlten Anzeigen meist über den Organischen in der Reihenfolge von Resultaten. Da sich die meisten Nutzer an den ersten Ergebnissen ihrer Suchanfrage orientieren, ist die Reihenfolge der dargestellten Resultate die entscheidende Voraussetzung für eine erfolgreiche Malvertising Kampagne.
In den meisten Fällen imitieren die beworbenen Resultate von Angreifern, bekannte und häufig genutzte Webseiten. Oftmals unterscheiden sich die Domainnamen nur durch einen Buchstaben oder häufig vorkommende Tippfehler vom Original. Aufbau und Aussehen der Webseite gleichen dann der legitimen Variante meist bis ins kleinste Detail.
Diese Umstände verleiten unachtsame Nutzer zum Eingeben von Anmeldedaten oder dem Download von vertraulich wirkender Software die sich letztlich als Malware herausstellt.
Welche Techniken verwenden die Angreifer?
Wie bereits erwähnt bedient sich Malvertising einiger Elemente von Phishing-Angriffen. Tatsächlich läuft das Abgreifen von Anmeldedaten auf einer für diesen Zweck inszenierten Webseite nach dem gleichen Prinzip ab. Der Phishing-Link wurde jedoch über die Suchmaschine statt via E-Mail verbreitet. In beiden Fällen vertrauen unachtsame Nutzer der Quelle. Daher ist die Aufklärung von Nutzern über diese Techniken der Angreifer von solch hoher Bedeutung.
Im Falle von gefälschten Downloadseiten zielen Angreifer auf die Kontrolle der Systeme ihrer Opfer ab. Da diese Downloadseiten große Ähnlichkeiten mit z.B. der Webseite eines Softwareherstellers aufweisen und auch der Name des Programms beim Download übereinstimmt, bedarf es bei dieser Technik besonderer Aufmerksamkeit.
Ist der Download abgeschlossen und die Installationsdatei ausgeführt, werden im Hintergrund meist weitere Dateien nachgeladen und Mechanismen zur Sicherung der Persistenz der Angreifer etabliert. Häufig funktioniert die vermeintlich harmlose Software oberflächlich wie erwartet, um sicherzustellen, dass die Nutzer keinen Verdacht schöpfen. Hierfür verwenden die Angreifer dann besonders unauffällige Techniken wie DLL-Injection. War dieser letzte Schritt erfolgreich, können sich die Angreifer ihrem eigentlichen Ziel auf dem System widmen.
Wie kann man sich vor Malvertising schützen?
Man erkennt Malvertising in vielen Fällen an der URL der gesponsorten Webseite. Das Suchergebnis wird als „Gesponsert“ markiert. Dann wird der Name der Webseite und darunter die URL ausgegeben. Hier lohnt es sich genauer hinzuschauen und die URL auf Unregelmäßigkeiten zu prüfen.
Doch nutzen Angreifer vermehrt Techniken wie „Cloaking“ (dt. verhüllen) um ihre Anzeigen bei Werbenetzwerken zu tarnen, doch dann beim Aufruf selbiger den Nutzer auf eine infizierte Webseite weiterzuleiten.
Wenn die Aufmerksamkeit der Nutzer die erste Maßnahme zum Schutz vor Malvertising ist, steht an zweiter Stelle die Installation eines AdBlockers. Diese Empfehlung hatte das FBI bereits bei der letzten Welle von Malvertising ausgesprochen. Jeder gängige Browser bietet hierzu passende Erweiterungen an. Auf diese Weise werden die gesponsorten Suchergebnisse erst gar nicht angezeigt. Hierbei gilt es jedoch zu beachten, dass sich viele Webseiten über Werbung finanzieren und jeder individuell entscheiden muss, den Adblocker für die genutzten Webseiten aktiv zu lassen oder auszuschalten.
Bei bekannten oder häufig genutzten URLs empfiehlt es sich zudem diese direkt und vollständig in die Adresszeile einzugeben. Hierbei muss dann wieder auf die korrekte Schreibweise geachtet werden.
Was tun, wenn man Opfer von Malvertising wurde?
An dieser Stelle spielen verschiedene Aspekte eine Rolle. Wenn Nutzer auf eine Phishing Webseite weitergeleitet wurden und Anmeldedaten eingegeben wurden, sollten diese umgehend geändert werden. Dies gilt für die eingegeben Daten sowie in den meisten Fällen auch das Passwort für die ggf. eingetragene E-Mail-Adresse. Außerdem ist eine Zwei-Faktor-Authentifizierung, wo immer möglich, empfehlenswert.
Sollte durch einen Download, Schadsoftware auf das System gelangt sein, gibt es verschiedene Ansätze wie u.a. Virenscanner, um die Malware zu löschen oder im Zweifelsfall das System zu formatieren, wie dieser Beitrag deutlich macht.
Vorsicht ist besser als Nachsicht
Es gibt einige Möglichkeiten, wie sich Nutzer schützen können, bevor drastische Maßnahmen, wie eine Neuformatierung, ergriffen werden müssen. Neue Gewohnheiten bedürfen Zeit, um sich zu festigen, doch die potenziellen Auswirkungen rechtfertigen den Aufwand. Ein kurzer Blick auf die URL bevor man auf einen Link klickt, kann einen großen Unterschied machen. Zudem sind Adblocker eine gute Möglichkeit den Angreifern zuvorzukommen.
