Drive-by-Infektionen werden meist über harmlose Websites verbreitet, die
in in den
bisherigen
Folgen
beschrieben
präpariert wurden. Ab dieser Folge
geht es um die Frage, wie der Schadcode vom präparierten Server auf die
Clients, d.h. die Rechner der Besucher der Website gelangt.
Viele Wege führen zur Infektion
"Drive-by-Infektionen - Vom Server auf den Client" vollständig lesen
Schadcode für Drive-by-Infektionen kann außer durch die
in der vorigen Folge
beschriebenen SQL-Injection-Angriffe auch auf vielen weiteren Wegen in eine
harmlose Website eingeschleust werden. So wurde z.B. auch schon die
Suchmaschinenoptimierung mancher Websites in Verbindung mit einer
Cross-Site-Scripting-Schwachstelle ausgenutzt, und wenn die
Cyberkriminellen sich über ausgespähte FTP- oder SSH-Zugangsdaten
oder Brute-Force-Angriffe auf die entsprechenden Zugänge Zugriff auf
den Webserver verschafft haben, können sie nicht nur den
Schadcode beliebig in die Seiten einfügen, sondern die Besucher auch
über die .htaccess-Datei beliebig umleiten.
SEO + XSS = Drive-by-Infektion
"Drive-by-Infektionen: So kommt der Schadcode auf den Server" vollständig lesen
Eine Möglichkeit, einer harmlosen Website Code für
Drive-by-Infektionen unter zu schieben, besteht im Ausnutzen von
Schwachstellen in der jeweiligen Webanwendung. Da es darum geht, iframes
oder script
-Tags einzufügen, scheint dafür auf den
ersten Blick das auch als "JavaScript Injection" bezeichnete persistente
Cross-Site Scripting gut geeignet zu sein. Im Rahmen von Massenangriffen
wurden bisher aber bevorzugt SQL-Injection-Schwachstellen ausgenutzt.
SQL-Injection mit dem Vorschlaghammer
"Drive-by-Infektionen durch SQL-Injection vorbereitet" vollständig lesen
Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im
Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes
oder script
-Tags versuchen, auf den Rechnern der Besucher
Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert
diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails
auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation
Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen
eindrucksvoll vorgeführt wurde. Und Sophos
berichtet
über Spam-Mails, deren HTML-Anhänge außer dem Spam
zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode
enthalten.
Der klassische Fall: Kompromittierte Websites
"Drive-by-Infektionen - Gefahren drohen überall" vollständig lesen
Einen neuen Phishing-Ansatz hat
Aza Raskin,
der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der
Inhalt und das Favicon eines gerade nicht im Fokus liegenden
Browser-Tabs geändert werden, kann dem Benutzer darin eine
vertrauenswürdige Webseite vorgetäuscht werden, in der er dann
womöglich seine Zugangsdaten eingibt. Aza Raskin hat das nach einer
Anregung
von Brian Krebs als
Tabnabbing
bezeichnet (vor dem Öffnen des Links bitte unten den
Hinweis
zur Demonstration des Angriffs lesen). Die Änderungen funktionieren
auch auf einer einzelnen Seite, sofern die aus dem Fokus genommen wird,
z.B. weil der Browser in den Hintergrund geschoben wird. Dort
fallen sie aber natürlich eher auf.
Anlocken und Abphishen
"Phishing mit Tabs: Tabnabbing" vollständig lesen