Gaunereien 2.0

Die neuen Waffen der Web-Kriminellen

Spam, Trojaner, Viren und lästige Werbeprogramme waren gestern – jetzt kommen „Spit“, „Spim“ und „Drive-by-Downloads“, Hacker entdecken „Keyloggers“ und „Bootsektor-Viren“ wieder und allein in Europa arbeiten täglich 19.000 Rechner als Zombie-PCs in so genannten „BotNets“, die immer leistungsfähiger werden. Wem jetzt von all diesen virtuellen Bedrohungen schwindelig wird, der sollte trotzdem weiter lesen. So schwierig ist es nämlich nicht, sich vor Internetbetrügern und Cyberkriminellen zu schützen. Die setzen meist nur auf Unwissenheit und Nachsicht – und das lässt sich beides vermeiden!

Die drei Grundregeln für den vifen User, der Internet-Gaunereien nicht auf den Leim geht, sind simpel: 1.) Wissen ist Macht, denn wer weiß, wo man sich Computer-Schädlinge einfangen kann und wie sie funktionieren, ist im Vorteil. 2.) Sicherheitssoftware ist Trumpf, denn schon der Hausverstand sagt, dass man im Regen ohne Schirm nass wird. Und 3.) Vorsicht kann man sich antrainieren und damit Betrugs- und Angriffsversuche durchschauen, bevor man Schaden nehmen kann.

„Um sich vor Gefahren im Internet zu schützen, reicht die altbekannte gesunde Portion Misstrauen alleine leider nicht mehr“, so die düstere Prognose von Candid Wüest, Virenexperte von Symantec. Die Methoden der Internet-Betrüger seien vielfältig und passen sich den neuen technischen Entwicklungen an. Vielen Internet-Nutzern seien diese aber nicht oder kaum bekannt und der Großteil wisse nicht genau, was sich dahinter verberge. Ein unruhiges Jahr 2008, was die Cyber-Kriminalität betrifft, prophezeit auch der Virenanalyst Magnus Kalkuhl von Kaspersky: „2008 hat gerade erst begonnen, und die Zahl neuer Schädlinge pro Tag hat sich zum Vorjahr fast verdoppelt.“

Schädlinge im Vorbeiflug: „Drive-by-Downloads“
Das Prinzip der Drive-by-Downloads ist einfach: Manipulierte Webseiten nutzen Sicherheitslücken des Browsers und infizieren beim Ansurfen meist unbemerkt den Rechner des Internet-Nutzers. In der Regel stecken finanzielle Absichten der Betreiber dahinter. Ein sinnvoller Schutz sind regelmäßige Updates des Browsers (stopft Sicherheitslücken) sowie zusätzliche Software (Firewall), welche die Internet-Aktivitäten kontrolliert.

Browser-Warnungen sollte man Angesichts dieser neuen Entwicklung nicht leichtfertig ignorieren und einfach wegklicken. Taucht bei besonders plumpen „Drive-by-Download“-Websites (die meisten sind eher unauffällig) ein Pop-Up-Fenster mit einer dubiosen Warnung auf, empfiehlt es sich, das Fenster nicht mit einem Klick auf „X“ zu schließen, sondern über den Task-Manager radikal zu „killen“.

Auf Spam folgen „Spim“ und „Spit“
Spam - Massenwerbung per E-Mail mit dubiosen Angeboten, verlogene Hilferufen und "Brauche dein Konto zum Überweisen"-Anfragen - ist in den letzten Monaten zwar immer mehr geworden, aber gleichzeitig unwirksamer. Doch die Cyber-Gauner schlafen nicht: „Spim“ und „Spit“ sind zwei neue Formen der Massenwerbung via Instant Messaging und Internet-Telefonie (VoIP).

Bei Spam-Mails gilt die alte Regel, sie ungeöffnet zu löschen, sollte der Spam-Filter sie nicht bereits erkannt haben. In Chats sollte man nie den eigenen Nicknamen oder andere persönliche Daten an vollkommen fremde Personen verraten und zudem nur bekannten Usern die Kontaktaufnahme gestatten.

„Spimmer“ nehmen sich oft Zeit und gaukeln zuerst ein normales Gespräch vor, um dann unauffällig ihre Betrugsversuche zu starten. Häufig werden für Spim-Attacken auch so genannte Chatbots eingesetzt - vollautomatische Programme, die die Dialoge selbstständig führen. Wenn ein unbekanntes Gegenüber also zusammenhanglose Sätze abfeuert, sollte man auf diese Unterhaltung lieber verzichten. Im Bereich VoIP sollte man sich eine Liste anlegen, welche Anrufe generell gestattet seien.

User als Mittäter: „BotNets“ und die Super-Wurm-Wiederkehr
Zu den „jüngsten Maschen der Cyberkriminellen“ zählen laut Candid Wüest so genannte „BotNets“. Hacker nutzen in der Regel für ihre Aktivitäten nicht die eigenen Computer, sondern schleusen ihre Schadprogramme in fremde Computer ein und kontrollieren diese per Fernsteuerung. Die fremden Computer werden dann zu großen Netzwerke, den „BotNets“, zusammengeschlossen.

In Europa sind täglich 19.000 Rechner als Zombie-PCs in solchen Netzen aktiv. In der Regel werden die BotNets vom Hacker an Dritte weiter vermietet, die das Netz für Spam-Versand nutzen. „Grundsätzlich hilft es, gegenüber Veränderungen in der Leistung des eigenen PCs wachsam zu bleiben, um nicht unwissentlich zum ‚Mittäter’ der Cyberkriminellen zu werden“, rät Wüest.

Ein Blick in den Taskmanager und auf die Systemleistung kann oft Bände sprechen. Wenn die CPU-Auslastung auch dann sehr hoch ist, wenn man eigentlich gar nichts tut und der PC im Moment keine Updates im Hintergrund installiert oder der Virenscanner nicht läuft, ist häufig etwas faul - und sei es nur an der Hardware.

In Verbindung mit dem Ansteigen von BotNets kommt auch eine altbekannte Virengattung wieder in Mode: Vor dem Wurm „Nugache“ als möglicher Nachfolger des „Storm“-Wurmes, der Anfang 2007 acht Prozent aller Computer weltweit infizierte, warnt das Unternehmen Secure Computing. Nugache könnte der Storm-Wurm 2008 werden, heißt es. Storm baute innerhalb eines halben Jahres ein Botnetz mit zwischenzeitlich bis zu 50 Millionen PCs auf.

Viren-Revival, die Erste: Bootsektor-Viren
Bootsektor-Viren waren zu DOS-Zeiten sehr weit verbreitet, sind jedoch mit dem Erscheinen von Windows NT praktisch verschwunden. Das dachte man zumindest, denn Mitarbeiter des Unternehmens eEye Digital Security haben 2005 mit einer Software gezeigt, dass Bootsektor-Viren auch bei NT-basierten Systemen (also auch Windows XP und Vista) möglich sind. Ein polnisches Unternehmen meldete nun Anfang Jänner einen neuen Virus, der sich im so genannten Master Boot Record von NT-Systemen einnistet. Das gefährliche am Bootsektor-Virus: Er wird schon beim Hochfahren des PCs aktiv, sodass er sich vor einem Virenscanner sehr gut verstecken kann - falls der Computer danach überhaupt noch normal hochfährt. Hier hilft dann wirklich nur mehr ein Spezialist oder – im schlimmsten Fall – die Festplattenformatierung.

„Es ist natürlich interessant, wenn Techniken aus der Viren-Steinzeit wieder auftauchen“, kommentiert Magnus Kalkuhl, Virenanalyst von Kaspersky Labs, das Revival der Bootsektor-Viren. „Wirklich gefährlich könnte es nun werden, wenn eine vor wenigen Monaten veröffentlichte Machbarkeitsstudie der Sicherheitsexpertin Joanna Rutkowska mit solchen Techniken kombiniert werden sollte“, warnt Kalkuhl vor einer möglichen neuen Bedrohung. „Dabei würde ein System gleich beim Hochfahren in eine virtuelle Umgebung verschoben werden, ohne dass der Nutzer etwas davon merkt und völlig unabhängig vom verwendeten Betriebssystem operieren", erläutert der Virenexperte weiter. Brisanterweise ist Rutkowskas Code frei im Web verfügbar. Ein „Gegenmittel“ würde es für solche Attacken derzeit keines geben.

Viren-Revival, die Zweite: Keylogger
Keylogger gehören wie die bekannten Trojaner zur Gruppe der Spionagesoftware. Erstere sind Schadprogramme, welche - ohne bemerkt zu werden - beispielsweise mit gepatchter Software aus dem Internet mit installiert werden und machen mittlerweile 73 Prozent der 50 Top-Schädlinge aus. Keylogger werden über Trojaner importiert und zeichnen die Tastatureingabe auf; Experten melden einen Anstieg dieser Spionage-Tools, die jetzt offenbar wieder in Mode kommen.

Keylogger bedeuten für den Web-Kriminellen schlicht weniger Arbeit: Das Passwort fürs Online-Banking wird quasi auf dem Silbertablett serviert, der Hacker muss sich nicht einmal die Mühe machen, auf einen fremden Computer direkt zuzugreifen. Ein wirksamer Schutz ist Software, welche die Identität des Internet-Users schützt -  das kann eine gute Firewall sein oder auch ein separates Programm. Der wirksamste Schutz ist es überdies hinaus, zweifelhafte (Download-)Quellen generell zu meiden.