|
Internet-Kriminalität ist zu einem einträglichen Geschäft geworden, das mittlerweile höhere Profite abwirft als der Drogenhandel. "Täglich werden etwa 13.000 Webseiten neu mit Schadcode infiziert", sagt Candid Wüest, Senior Threat Researcher bei Symantec. Cyberkriminelle präparieren nicht mehr nur Internetangebote dubiosen Ursprunges, sondern auch seriöse Websites, bei denen die Surfer keinen Verdacht schöpfen. Die neueste Masche der Betrüger, so Wüest, sei die DriveBy-Infektion, bei der sich Internet-Surfer bereits durch Eintippen einer gefährlichen URL und Laden der Website bösen Schadcode einfangen. Nur welche Links sind gefährlich, welche nicht?
Kriminelle Technik: Driveby-Infektion
Kriminelle nutzen mittlerweile perfide Techniken. DriveBy-Infektion läuft vereinfacht so ab: Lädt der Browser eines unbedarften Surfers den HTML-Code einer infizierten Seite, dann könnte etwa ein illegal im Code platzierter onload-Event-Handler ein Java-Skript starten, das den TCP/IP-Kommunikationskanal auf einen fremden Server umleitet. Von dort gelangt dann der gefährliche Trojaner auf den Rechner des Surfers, ohne dass irgendjemand Verdacht schöpft.
Hat sich erst einmal Malware eingenistet, dann geraten mit hoher Wahrscheinlichkeit bei der nächsten Online-Überweisung geheime Passwörter und Transaktionsnummern in kriminelle Hände. Einige Trojaner gehen dabei besonders geschickt vor: Sie gaukeln Bankkunden beispielsweise eine korrekte Überweisung von 150 Franken an das Elektrizitätswerk vor, während 15.000 Franken bereits ihren Weg auf ausländischen Konten gefunden haben. Raffiniert programmierte Trojaner manipulieren dabei auch die Kontoübersicht und spielen dem Kunden eine heile Welt vor. Die getürkte Überweisung ins Ausland taucht in der Übersicht gar nicht auf. In Wirklichkeit aber wird das Bankkonto leer geräumt.
Wie schützt man sich vor Online-Betrügereien?
Wie kann man sich vor solchen Risiken schützen? Der Sicherheitsspezialist Symantec stellte in Zürich seine reputationsbasierte Technologie (Codename Quorum) vor, die Surfer vor infizierten Downloads und gefährlichen Webseiten warnt. Quorum verwendet unter anderem die Daten der mehrere zehn Millionen zählenden Watch-Mitglieder der Norton Community, um für Datei-Downloads sogenannte Reputationsprofile zu erstellen. Eine wichtige Rolle spielen dabei mithilfe von Hash-Algorithmen erstellte Prüfsummen, digitale Signaturen und die Seriosität der Website, auf der die Dateien zum Download angeboten werden. Die Technik ist allerdings nicht neu, auch Anbieter wie McAfee haben sie bereits im Einsatz.
Symantec betreibt Website-Seriositätstests jedoch im grossen Stil. "Wir laden Websites auf unsere Server, suchen sie nach Schadcode ab und erstellen dann das Reputationsprofil", sagte Stefan Wesche, Symantecs Technikexperte für Norton-Produkte, gegenüber Computerworld. Ähnlich wie beim Suchmaschinenspezialisten Google sind dafür riesige Server-Farmen notwendig, mit einem kleinen Unterschied: Google sucht nach aussagekräftigen Schlagworten, Symantec nach suspekten Code-Schnipseln.
Reputationsprofile als Gegenmittel
Weit verbreitete Malware wird rasch erkannt und durch die marktüblichen Viren-Scanner unschädlich gemacht. "Cyberkriminelle sind deshalb dann besonders erfolgreich, wenn sie eine möglichst einzigartige Malware programmieren", erklärt Wesche. Beim Kampf gegen personalisierten Schadcode in geringen Stückzahlen haben herkömmliche Viren-Scanner einen schweren Stand. Reputationsprofile sollen das ändern. Norton Internet Security 2010 und Norton AntiVirus 2010 greifen bereits darauf zurück.
Zweitrechner fürs Online-Banking
Wie kann man sich als Bankkunde sicher vor Online-Betrügereien schützen? Handelsübliche Sicherheitsnmechanismen wie einen aktualisierten Viren-Scanner und eine aktivierte Firewall
beten Security-Experten seit Jahren wie ein Mantra vor sich her. Diese Software schützt auch. Reputationsprofile weiten die demilitarisierte Kampfzone ein Stück weiter aus. Auf Nummer sicher aber gehen Bankkunden, die einen Zweit-Rechner nur für Online-Banking reservieren oder ein schlankes Linix-Betriebssystem wie Knoppix oder Ubuntu von CD-ROm oder einem USB-Stick booten. Die genannten Systeme nehmen ausschliesslich Kontakt mit der Banken-Webseite auf, werden für nichts anderes eingesetzt und können sich daher gar nicht mit Crimeware infizieren. Mit einer Ausnahme: Das Internet-Portal des Bankhauses selbst ist bereits mit Schadcode verunreinigt, wie es beispielsweise der Bank of India passiert ist. In der Schweiz ist jedoch bisher ein solcher Fall noch nicht bekannt geworden.
