Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, Februar 5, 2015 21:09 - noch keine Kommentare
Malvertising im Aufwind: Anstieg bei gefährlicher Webwerbung
Palo Alto Networks fordert Absicherung von Business-to-Business-Prozessen
[datensicherheit.de, 05.02.2015] „Malvertising“ – also den Missbrauch von Webwerbung zum Datendiebstahl oder gar der Übernahme von Rechnern – befindet sich nach jüngsten Erkenntnissen von Palo Alto Networks im Aufwind. Im Oktober 2014 seien mit AOL und Yahoo bereits zwei Internetriesen und deren Nutzer betroffen gewesen. Anfang 2015 sei herausgekommen, dass weitere bekannte Websites, darunter auch „FHM“ und „Huffington Post“ für Malvertising-Kampagnen genutzt worden seien, ohne dass die Betreiber davon etwas mitbekommen hätten.
Global Hunderte Millionen von Nutzern gefährdet
Die Zunahme von „Malvertising“ beschäftige sie derzeit mehr als die sonstigen gängigen Angriffsmethoden, erklärt Thorsten Henning, „Senior Systems Engineering Manager Central & Eastern Europe“ bei Palo Alto Networks.
Demnach werden für „Malvertising“ auf nahezu jeder Website Werbeflächen genutzt, die als Hosting-Plattform für Drittanbieter-Werbung dient. Die potenzielle Reichweite ist dabei groß, denn jeder Internetnutzer auf der ganzen Welt kommt ständig in Kontakt mit Werbung – auf jeder Website, die aufgerufen wird, etwa um Nachrichten zu lesen oder nach einem Film zu suchen, taucht Werbung auf. Der durchschnittliche Internetnutzer sei laut Statistik von Comscore bereits im Jahr 2012 mit mehr als 1.700 Anzeigen pro Monat konfrontiert worden, Tendenz steigend. Durch „Malvertising“ können die Angreifer somit Hunderte Millionen von Nutzern erreichen.
Gefährliche Werbeeinblendungen schwer zu identifizieren
„Malvertisements“ sind kaum von legitimen Anzeigen zu unterscheiden. Selbst mit geschärftem Blick für Cyber-Bedrohungen fällt es schwer, auf den ersten Blick die gefährlichen Werbeeinblendungen als solches zu identifizieren.
Eine simple No-Click-Regel sei nicht genug, um Nutzer zu schützen, weil einige „Malvertisements“, wie Pop-up-Anzeigen, nicht einmal die Interaktion des Anwenders erforderten. Die Malware werde nebenbei installiert, wenn die Anzeige auf der Seite geladen wird – und als Malware komme alles in Frage, von Botnetzen, die sich fremde Computer als Zombie-Computer aneignen, bis hin zu Ransomware, die Daten verschlüsselt, um dann „Lösegeld“ für die Entschlüsselung zu fordern.
Konsequenzen hätten die „Malvertising“-Akteure kaum zu befürchten, da die Hosting-Website keine Kontrolle über die Anzeigen habe. Angreifer nutzten die Möglichkeit, auf die Werbenetzwerk-Funktionen mit ihren niedrigen Preisen und automatischen Bieterverfahren zurückzugreifen. Damit erschlössen sie sich das Potenzial sehr großer Zielgruppen, die sich über „vertrauenswürdigen“ Quellen – wie eben AOL oder Yahoo – erreichen lassen.
Automatisierung nützt Angreifern
Der Angreifer stellt bei einem Ad-Publisher seinen Anzeigen-Programmcode und nennt den höchsten Preis, den für die Veröffentlichung seiner Werbeanzeige zahlen will – so wie legitime Anzeigenkunden. Der Ad-Publisher nutzt ein Ad-Netzwerk, um für Werbeflächen auf fremden Websites zu bieten; das Angebot geht an den Meistbietenden.
Dies sei ein automatischer Verkaufsprozess, der nur einige Millisekunden dauere. Die Preise würden in der Regel weniger als einen US-Dollar betragen. Der Code der vermeintlichen Anzeige werde dann auf der Website platziert.
Die Angreifer versuchten meist, sich einen „guten Ruf“ zu verschaffen, indem sie für ein paar Monate Anzeigen mit sauberem Code platzierten, bevor die Anzeigen mit Angriffscode versehen werden. Sobald dies geschieht, erziele der Angriff eine breite Reichweite und es bestehe die Möglichkeit, Hunderttausende von Benutzern zu infizieren und Einnahmen im sechsstelligen Bereich zu generieren – für eine anfängliche Investition, die nur einen Bruchteil davon beträgt.
Die bösartige Werbeanzeige muss nur für ein paar Tage oder ein paar Stunden gebucht werden, bis der Angreifer seine Mission erfüllt hat und die Anzeige wieder entfernt.
Kein Interesse an schneller Aufklärung
Damit die Branche dem „Malvertising“-Problem entschieden entgegentreten kann, wäre eine koordinierte Anstrengung von Werbenetzwerken und Publishern sowie mehr Druck von Ad-Hosting-Websites nötig. Eine solche Zusammenarbeit zwischen vielen Beteiligten sei schwer zu orchestrieren, zudem gehe es um Gewinne. Da Werbenetzwerke von den Angreifern immer noch für Werbefläche bezahlt werden, bestehe kein Interesse an einer schnellen Aufklärung.
Die Angreifer mache sich diese Taktik zunutze, weil sie einfach sei und funktioniere. „Malvertising“ sei gegenüber Spear-Phishing und Packet-Sniffing eine völlig andere, fast schon legitime Methode, weil es einen echten Geschäftsprozess nutze, statt Malware mit großem Aufwand wie etwa Social Engineering in Stellung zu bringen.
Ausnutzung von Schwachstellen alltäglicher Geschäftsprozesse
Die Zeiten, in denen Malware nur auf zwielichtigen Websites präsent gewesen sei, seien vorbei. Cyber-Bedrohungen agierten heute in „freier Wildbahn“, versteckt auf echten Websites, denen wir vertrauten und die wir häufig besuchten. Die Angreifer arbeiteten mit Methoden, die ehrliche Leute absichtlich geschaffen hätten, um Geschäftspotenziale zu erschließen.
Wir müssten daher unsere Anstrengungen, um Cyber-Werte zu schützen, anpassen. Angreifer gingen dazu über, Schwachstellen in alltäglichen Geschäftsprozessen für ihre unlauteren Zwecke zu nutzen, warnt Thorsten Henning von Palo Alto Networks.
Abwehmaßnahmen von Palo Alto Networks
Palo Alto Networks setzt nach eigenen Angaben auf verschiedene Maßnahmen, um „Malvertising“-Angriffe zu vereiteln:
- Drive-by-Download-Schutz warnt die Benutzer, dass ein Download-Versuch stattfinden soll. Diesen muss der Benutzer entweder erlauben oder verweigern. Wenn ein „Malvertisement“ versucht, das automatische Herunterladen von Malware zu starten, gibt dieser Mechanismus dem Benutzer die Möglichkeit hier einzugreifen, bevor etwas passiert.
- File-Blocking-Profile schränken die Arten von herunterladbaren Dateien ein auf nur die Dateien, die erforderlich sind oder die der Benutzer erwartet.
- Der Cloud-basierte Anti-Malware-Dienst „WildFire“ von Palo Alto Networks soll für stets aktuellen Antivirus-Schutz gegen unbekannte Malware, unmittelbar nachdem sie von „WildFire“ entdeckt wurde, sorgen. „Malvertisements“, die versuchen, bekannte oder unbekannte Malware zu aktivieren, werden demnach erkannt und abgewehrt.
- URL-Filterung stoppt den Verkehr zu bekannten bösartigen oder nicht kategorisierten Websites. Wenn ein „Malvertisment“ angeklickt wird, wird die entsprechende Webseite blockiert.
- Selbst wenn der Download der Malware auf den PC erfolgreich war, soll Palo Alto Networks´ Abo-Dienst „Traps“ die Installation der Malware verhindern.
B2B-Prozesse müssen sicherer werden!
Sicherheit sei nicht etwas, das sich auf Netzwerkarchitektur und Programmierpraktiken beschränke. Business-to-Business-Prozesse müssten auch sicherer werden. Alle Prozesse, die das Internet oder Intranet nutzen, müssten in die Liste möglicher Angriffsvektoren aufgenommen werden. Er empfehle dabei, sich in die Rolle des Hackers zu versetzen und zu überlegen, wie man vorgehen würde. Daraufhin gelte es Schutzmaßnahmen gegen diese potenziellen Angriffstaktiken aufzustellen, rät Thorsten Henning.
Weitere Informationen zum Thema:
datensicherheit.de, 23.01.2015
Adobe Flash: Warnung vor Zero-Day-Sicherheitslücke
datensicherheit.de, 03.02.2015
Adobe Flash Player: Weitere Zero-Day-Sicherheitslücke entdeckt
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren