Was ist Hijacking?
Im Bereich der Web-Sicherheit ist von Hijacking die Rede, wenn Cyberkriminelle die Kontrolle über einen fremden PC übernehmen, um dort unerwünschte Aktionen auszuführen. Der Computer wird dafür „entführt“. Die meist verbreitete Hijacking-Methode ist die Infizierung von Computern mit Malware, die den Browser oder die Startseite auf eine schadhafte Seite umleitet. Darüber hinaus gibt es weitere Wege für einen Computer-Hijack, die Methoden benötigen eine Netzwerkverbindung oder physischen Zugriff zum Rechner. Viele Angreifer stehlen im Rahmen von PC-Entführungen private Daten, überwachen die Aktivitäten des Anwenders oder nutzen den Rechner für weitere Hijack-Attacken aus.
Welche Formen von Hijacking gibt es?
Hat es der Angreifer auf ein bestimmtes Unternehmen oder eine bestimmte Person abgesehen, kommen Techniken wie das Social Engineering oder Spear-Phishing zum Einsatz. Das Ziel: Einen bestimmten Anwender dazu bringen, eine Software auf seinem Rechner zu installieren oder eine infizierte Webseite aufzurufen. Richtet sich der Angriff nicht gegen eine Einzelperson oder einen Konzern, kommen Methoden wie Spam E-Mails, Phishing und in E-Mails angehängte Viren zum Einsatz. Zusätzlich gibt es die folgenden Hijacking-Methoden.
Das Browser Hijacker (Hijackware)
Bei Browser-Hijackern handelt es sich um kleine Schadprogramme, die die Browsereinstellungen manipulieren und zum Beispiel die Startseite verändern oder Suchanfragen auf schädliche Webseiten weiterleiten. Häufig ist dafür Malware im Einsatz, die der Anwender unwissentlich installiert und die im Hintergrund aktiv ist.
Das Hijacking von Host-Dateien (IP-Spoofing)
Das Hijacking von Host-Dateien ist auch als IP-Spoofing bekannt, bei dieser Methode gibt sich der Cyberkriminelle als vertrauenswürdiger Host aus und verschleiert seine Identität. Dabei besorgt sich der Angreifer die IP-Adresse eines zugelassenen Hosts und passt den Header seiner verschickten Daten-Pakete so an, dass diese scheinbar von der IP-Adresse des Hosts stammen. Wird die Methode zur Übernahme eines Browsers eingesetzt, kommt es bei Seitenaufrufen meist zur Weiterleitung zu einer betrügerischen Webseite. Bei der schadhaften Webseite kann es sich zum Beispiel um die Startseite des Online-Banking Anbieters handeln und die Kriminellen können die auf dieser Seite eingetragenen Log-in-Daten abfangen. Stellt die Seite dynamische Inhalte dar, kann der Angreifer sich zudem Zugang zu sensiblen Informationen verschaffen und Malware installieren. Ein entführter Computer kann zudem für weitere Angriffe missbraucht werden.
Das Session-Hijacking
Immer, wenn ein Anwender sich bei einer Webseite einloggt, wird eine Session gestartet. Die Programme prüfen mithilfe der Session zum Beispiel, ob der Besucher X von der Seite A auf die Seite B gewechselt ist. Im Rahmen von Session-Hijacking versucht der Angreifer solch eine gültige Session zu entführen und übernimmt bei Erfolg die Identität des Anwenders. Bei sicherheitsrelevanten Anwendungen wie dem Online-Banking läuft eine Session daher bei Inaktivität meist nach rund zehn Minuten aus und der Anwender muss sich für weitere Aktionen erst neu einloggen. Webseitenbetreiber müssen sicherstellen, dass ihre Anwendung nicht für Cross-Site Scripting anfällig ist, da dies andernfalls eine Erfolg versprechende Methode darstellt. Schutz bieten unter anderem Firewalls, die ausgehende Pakete blockieren, deren Absender-Adresse mit der IP-Adresse des PCs nicht übereinstimmen.
Was tun gegen Hijacking?
Aktuelle Virenprogramme bieten einen Basisschutz, zusätzlich finden spezielle Programme auch Malware und reparieren Infizierungen. Für optimale Sicherheit muss sämtliche Software immer auf dem aktuellen Stand sein, besonders wichtig sind das Betriebssystem und der verwendete Webbrowser. Eine Firewall bietet ebenfalls Schutz vor verschiedenen Angriffsmethoden. E-Mails von unbekannten Absendern sind zu misstrauen, Anhänge sollten nicht geöffnet werden. Auch bei seltsamen E-Mails von Freunden und Bekannten ist Misstrauen sinnvoll, in vielen Fällen wurden deren Rechner bereits infiziert und die Software versucht sich über die E-Mail-Adressen im Adressbuch weiterzuverbreiten. Ebenso ist bei im Internet angebotener Freeware Vorsicht geboten. Zum Beispiel gelangen Browser-Hijacker häufig über kostenlose Programme auf den PC und werden beim Set-up mitinstalliert.
Hijacked Computer – was ist zu tun?
Lässt sich der PC nicht mehr ein- oder ausschalten? Läuft der Rechner sehr langsam, poppen ständig Fenster auf oder öffnen sich Webseiten, die nicht angeklickt wurden? In solch einem Fall wurde der PC wahrscheinlich gehackt oder mit einem Virus infiziert und der Besitzer muss schnell handeln. Zuerst wird die Verbindung zum Internet und Netzwerk getrennt, damit die Verbindung zum Angreifer gekappt ist. Anschließend werden mit einem anderen Rechner aktuelle Viren-, Spyware- und Malware-Programme heruntergeladen und auf dem infizierten Computer ausgeführt. Nach mehreren erfolgreichen Scans ohne weitere Funde und wenn der Rechner normales Verhalten zeigt, kann die Verbindung zum Internet wiederhergestellt werden. Sollte sich der Rechner nicht reinigen lassen, ist die Neuinstallation des Betriebssystems der letzte sinnvolle Schritt.