Seuchenherd Web 2.0

Eine weitere Spielart ist es auch, E-Mail-Nutzer über legitime Suchmaschinen-Links auf infizierte Webseiten zu führen. Diese Anfang März 2008 erstmals vermehrt aufgetretenen Spam-Attacken nutzen Weiterleitungsmechanismen wie beispielsweise «Open Redirect» oder «Auf gut Glück»-Technologien der Suchmaschine Google. Der einzelne Link in der Spam-Nachricht führt dabei zwar zu einer legitimen Google-URL, diese leitet den User aber sofort durch die in der URL enthaltene, eindeutige Suchan-frage automatisch auf eine infizierte Website weiter. Betroffen sind neben Google auch Yahoo! und AOL.

«Solche Weiterleitungsmechanismen und somit möglicherweise bedenkliche Google-Links erkennen User an enthaltenen Parametern wie gefolgt von einer unbekannten Zieladresse», erklärt Baumann. «Derzeit machen diese Open-URL-Redirect-Attacken zwar nur ein Prozent des gesamten Spam-Volumens aus, die Tendenz ist aber - Prognosen unseres Threat Operation Centers zufolge - definitiv steigend.»

Eine der gängigsten Methoden, um seriöse Seiten zu infizieren, ist die so genannte iFrame-Attacke. Dabei werden die HTML-Tags der iFrames (Inlineframes) genutzt, um einen Schadcode in eine existierende Seite zu integrieren, ohne das bekannte Erscheinungsbild der Seite zu verändern. Häufig schleusen die Bösewichte auf diesem Weg Trojaner wie beispielsweise MPack ein, der sich 2007 besonderer Beliebtheit erfreute. Das auf der Skriptsprache PHP basierende Malware-Kit wird kommerziell vertrieben, inklusive Update und Support. Zwar ist der Verkauf von Malware nichts Neues, doch das professionelle Angebot von Support und Service setzt neue Massstäbe. Das gilt auch für die Administrationsschnittstelle: Ohne Aufwand lassen sich umfangreiche Daten wie Infektionsrate, sogar aufgeschlüsselt nach geografischen Regionen oder die Zahl der Besucher der infizierten Seite, abrufen. Gleichzeitig kann der Anwender die Effektivität einer Attacke und den Return on Investment messen.

Der Entwicklungsgrad der Bedrohungen ist schon jetzt beachtlich hoch. So zeichnete sich bereis 2007 ab, dass die Angreifer inzwischen weniger Einzelattacken starten. Vielmehr bauen sie auf mehrfach einsetzbare Plattformen, die dynamische Attacken aktivieren, synchronisieren und verteilen können. Der Mix aus Spam, Viren, Phishing, Trojaner und Malware sorgt dafür, dass ein Angriff mit Hilfe der Plattform weitere Web- und E-Mail-Attacken auslöst. Ein anderes Beispiel für den hohen Entwicklungsstand sind self-defending Botnetze. Sie sind in der Lage, massive Denial-of-Service-Attacken auszulösen, sobald die Betroffenen Schadcodes durch Analysen erkennen oder entfernen wollen.

Für Unternehmen haben Virus- und Malware-Attacken kostspielige Auswirkungen: Die Bereinigung von Computern und der damit verbundene Arbeitsausfall kostet eine mittelständische Firma fast 220000 Euro jährlich, fand Sicherheitsanbieter Panda heraus. Allein in den USA gaben Firmen in den letzten 13 Monaten 20 Milliarden Dollar für die Folgen von Malware-Angriffen aus. Und auch der wirtschaftliche Schaden wächst: die US-Verbraucherorganisationen Consumer Reports errechneten anhand von Umfragen Einbussen von sieben Milliarden US-Dollar - der Grossteil davon durch Virenattacken. Da der fehlende Schutz bei Privatpersonen oft Folge fehlender Information ist, kritisiert Chenxi Wang, Analystin bei Forrester Research: «Unternehmen mit Onlineangeboten für Verbraucher sollten und können mehr unternehmen, um Verbraucher über mögliche Bedrohungen zu informieren.»

Um sich selbst umfassend zu schützen, rät Sicherheitsexperte Baumann den Unternehmen: «IT-Sicherheitsteams müssen geeignete Massnahmen ergreifen, um zum einen Malware zu blocken, aber zum anderen auch, um den Malware-Verkehr in ihrem Netzwerk zu erfassen. URL-Filtertechniken der ersten Generation, wie sie in den Unternehmen noch häufig vorzufinden sind, bieten keinen zuverlässigen Schutz vor den neuen Bedrohungen.» Wirksamer sind ganzheitliche Methoden, die sowohl den Inhalt als auch die Zusammensetzung eines Threats, dessen Herkunft und Absender analysieren - wie beispielsweise die Technologie der Webreputation. Ihr Ziel ist es, die Seriosität einer Web-Adresse mittels statistischer Messungen genau einzuschätzen. Diese Einschätzungen sind in vielen Fällen bereits verfügbar, wenn der Angriff irgendwo auf der Welt gerade erst beginnt. So bietet das reputationsbasierte Verfahren für Unternehmen sowohl auf Netzwerk-, als auch auf Applikationsebene eine sehr frühzeitige Abwehr von Spy- und Malware-Attacken.