Drive-by-Infektionen werden meist über harmlose Websites verbreitet, die in in den bisherigen Folgen beschrieben präpariert wurden. Ab dieser Folge geht es um die Frage, wie der Schadcode vom präparierten Server auf die Clients, d.h. die Rechner der Besucher der Website gelangt.
Schadcode für Drive-by-Infektionen kann außer durch die in der vorigen Folge beschriebenen SQL-Injection-Angriffe auch auf vielen weiteren Wegen in eine harmlose Website eingeschleust werden. So wurde z.B. auch schon die Suchmaschinenoptimierung mancher Websites in Verbindung mit einer Cross-Site-Scripting-Schwachstelle ausgenutzt, und wenn die Cyberkriminellen sich über ausgespähte FTP- oder SSH-Zugangsdaten oder Brute-Force-Angriffe auf die entsprechenden Zugänge Zugriff auf den Webserver verschafft haben, können sie nicht nur den Schadcode beliebig in die Seiten einfügen, sondern die Besucher auch über die .htaccess-Datei beliebig umleiten.
Eine Möglichkeit, einer harmlosen Website Code für
Drive-by-Infektionen unter zu schieben, besteht im Ausnutzen von
Schwachstellen in der jeweiligen Webanwendung. Da es darum geht, iframes
oder script-Tags einzufügen, scheint dafür auf den
ersten Blick das auch als "JavaScript Injection" bezeichnete persistente
Cross-Site Scripting gut geeignet zu sein. Im Rahmen von Massenangriffen
wurden bisher aber bevorzugt SQL-Injection-Schwachstellen ausgenutzt.
Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im
Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes
oder script-Tags versuchen, auf den Rechnern der Besucher
Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert
diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails
auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation
Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen
eindrucksvoll vorgeführt wurde. Und Sophos
berichtet
über Spam-Mails, deren HTML-Anhänge außer dem Spam
zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode
enthalten.
Einen neuen Phishing-Ansatz hat Aza Raskin, der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der Inhalt und das Favicon eines gerade nicht im Fokus liegenden Browser-Tabs geändert werden, kann dem Benutzer darin eine vertrauenswürdige Webseite vorgetäuscht werden, in der er dann womöglich seine Zugangsdaten eingibt. Aza Raskin hat das nach einer Anregung von Brian Krebs als Tabnabbing bezeichnet (vor dem Öffnen des Links bitte unten den Hinweis zur Demonstration des Angriffs lesen). Die Änderungen funktionieren auch auf einer einzelnen Seite, sofern die aus dem Fokus genommen wird, z.B. weil der Browser in den Hintergrund geschoben wird. Dort fallen sie aber natürlich eher auf.