Was ist eine Drive-by-Infection?
Cyberkriminelle nutzen für die Verbreitung ihrer Schadsoftware eine Vielzahl möglicher Wege. Die Drive-by-Infection ist eine, vielen Gelegenheitsnutzern des Internets wenig bekannte, Verbreitungsmethode. Dabei erfolgt die Infektion mit Malware, wie etwa einem Virus oder Trojaner, bereits durch den Besuch einer Webseite – es muss keine Datei heruntergeladen und geöffnet werden. Das Herunterladen und Ausführen der schädlichen Datei übernimmt die Webseite automatisch und unbemerkt im Hintergrund. In vielen Fällen geht es bei betroffenen Webseiten um seriöse Angebote, allerdings wurden solche Webseiten zuvor entsprechend kompromittiert. Dafür nutzen Angreifer in den Webanwendungen Schwachstellen aus, die Betreiber bemerken die Manipulation häufig erst viel später.
Wie funktioniert eine Drive-by-Infection?
Wird der Malware-Download direkt beim Aufruf einer Webseite gestartet, schlägt die Firewall nicht Alarm. In Webseiten ermöglichen Technologien wie PHP und JavaScript mit dynamischem Code während einer Session die ständige Kommunikation zwischen Browser und Webserver. Auf diesem Weg werden zum Beispiel Listen geladen, ohne die gesamte Webseite neu laden zu müssen. Die Ausführung erfolgt in modernen Browsern in einer Sandbox. Zweifelhafter Code wird dabei in einem separaten Bereich ausgeführt und kann das restliche System nicht schädigen. Gibt es jedoch eine Sicherheitslücke im verwendeten Browser, ist mit den Skripts der direkte Zugriff auf den Computer und das Einschleusen von Malware möglich.
Was schützt gegen eine Drive-by-Infection?
Einen garantierten Schutz kann es nicht geben. Wichtig ist es, für den verwendeten Browser bereitgestellte Updates immer umgehend zu installieren. Auch Browser-Plugins können eine Schwachstelle darstellen und müssen immer aktuell sein. Auf den Einsatz zweifelhafter Plugins sollten Anwender zur Sicherheit verzichten.