PSW GROUP GmbH & Co. KG:
Sicherheitsrisiko Browser-Erweiterung: Augen auf vor der Installation
Fulda – Die Nutzung von Browser-Erweiterungen zur Anpassung und Verbesserung des Online-Erlebnisses ist heutzutage weit verbreitet. Von Übersetzungs-Tools über Werbeblocker bis hin zu Passwort-Managern bieten diese kleinen Programme zahlreiche Funktionen, um das Surfen im Internet komfortabler und effizienter zu gestalten.
Doch Vorsicht: „Browser-Erweiterungen bergen auch ein Sicherheitsrisiko – insbesondere dann, wenn sie nicht sorgfältig überprüft oder aus nicht vertrauenswürdigen Quellen heruntergeladen werden“, warnt IT-Sicherheitsexpertin Patrycja Schrenk. Die Geschäftsführerin der PSW GROUP (www.psw-group.de) erklärt: „Damit Browser-Erweiterungen ordnungsgemäß funktionieren, müssen sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und Ändern von Inhalten von Webseiten. Allerdings bergen umfangreiche Berechtigungen immer auch ein Sicherheitsrisiko, da sie das Potenzial für Missbrauch erhöhen. Cyberkriminelle können nämlich scheinbar harmlose Erweiterungen in echte Bedrohungen verwandeln, mit denen sie dann zum Beispiel sensible Benutzerdaten wie Passwörter oder Zahlungsinformationen ausspionieren, auf gefälschte Websites umleiten und Anmeldeinformationen stehlen, unerwünschte Adware verbreiten und sogar die Opferrechner mit Malware infizieren.“
Tatsächlich existiert eine ganze Reihe verschiedener schädlicher Browser-Erweiterung, allen voran betrügerische WebSearch-Erweiterungen für Office-Dateien. Diese Erweiterungen geben vor, nützliche Tools für Office-Dateien zu sein, manipulieren jedoch heimlich die Browsersuche und fügen Affiliate-Links zu Drittanbieter-Ressourcen ein. „Viele WebSearch-Erweiterungen sind inzwischen für ihre betrügerischen Aktivitäten bekannt. Nach ihrer Installation ersetzen sie die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgten Affiliate-Links zu Drittanbieter-Ressourcen wie AliExpress oder Farfetch. Zudem ändern sie auch die Standardsuchmaschine in search.myway. Dies ermöglicht es den Cyberkriminellen, die Suchanfragen ihrer Opfer zu überwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu überhäufen oder sie auf unerwünschte Websites umzuleiten“, informiert Schrenk.
Bei Cyberkriminellen ebenfalls beliebt sind die Adware-Erweiterung der DealPly-Familie. Diese Adware-Erweiterungen werden oft mit raubkopierten Inhalten verbreitet und ersetzen ebenfalls unbemerkt die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enthält. Zusätzlich ändern sie die Standardsuchmaschine des Browsers und verfolgen die Suchanfragen der Nutzenden, um personalisierte Werbeanzeigen einzublenden. „Hauptziel dieser betrügerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyberkriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern“, so Patrycja Schrenk.
Mit der Erweiterungen der AddScript-Familie missbrauchen Cyberkriminelle sogar legitime Technologien und Praktiken für ihre illegalen Zwecke: Diese Erweiterungen präsentieren sich nämlich als nützliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizieren aber das Gerät ihres Opfers mit Schadsoftware. „Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um künstlich die Aufrufzahlen zu erhöhen. Dies erzeugt Einnahmen für die Angreifenden, da einige Website-Anbietende Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisten“, erklärt die IT-Sicherheitsexpertin und warnt auch gleich vor Cookie-Dieb „FB-Stealer“: „Mit Hilfe dieser schädlichen Erweiterungen stehlen Cyberkriminelle Sitzungscookies von Nutzenden des sozialen Netzwerks Facebook, womit sie ohne jegliche Passwortabfrage Zugriff auf das Facebook-Konto ihres Opfers erhalten. Mit diesem Zugang können die Kriminellen dann verschiedene böswillige Aktivitäten ausführen, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausführen.“ Die FB-Stealer-Erweiterung gelangt häufig zusammen mit dem Trojaner NullMixer auf das Gerät des Opfers, welches sich NullMixer beim Download gehackter Software-Installer einfängt.
Seit mehreren Monaten aktiv ist auch das Firefox Browser-Plugin „FriarFox“, das Angreifenden den Zugriff auf die Gmail-Konten ihrer Opfer gewährt. Verteilt wird die Erweiterung durch Phishing-E-Mails mit einem präparierten Link, der zu einer gefälschten Landing Page mit einem vermeintlichen „Adobe Flash Player Update“ führt. Sobald das Opfer den Link anklickt, werden JavaScript-Dateien ausgeführt, die prüfen, ob es bestimmte Kriterien erfüllt – etwa, ob der Links mittels Firefox geöffnet wurde und ob eine aktive User Session in Gmail ausgeführt wird. Ist dies der Fall, wird die FireFox-Browsererweiterung durch eine XPI-Datei installiert, die den Cyberkriminellen nahezu vollständige Kontrolle über die E-Mail Konten ihrer Opfer gewährt.
„Schutzlos ausgeliefert sind Nutzende solchen schadhaften Browser-Erweiterungen nicht. Allerdings sollten diese stets sorgfältig ausgewählt und ausschließlich aus vertrauenswürdigen Quellen, beispielsweise aus den offiziellen WebStores der Browser, bezogen werden. Auch wenn es keine 100%-ige Sicherheitsgarantie ist, so ist das Risiko, dort an eine bösartige oder unsichere Erweiterung zu geraten, definitiv geringer“, so Patrycja Schrenk.
Wer seinen Browser-Erweiterungen zudem nur diejenigen Berechtigungen gewährt, die für deren Funktion unbedingt erforderlich sind und zusätzlich sicherstellt, dass die Browser-Erweiterungen regelmäßig aktualisiert werden – zum Beispiel durch das Aktivieren der automatischen Update-Funktion – hat weitere wichtige Schutzmaßnahmen ergriffen. Der Tipp der Expertin: „Es lohnt sich auch, die Bewertungen und Erfahrungsberichte anderer Nutzenden zu lesen, bevor eine Erweiterung installiert wird. Positive Bewertungen und hohe Installationszahlen sind ein guter Indikator für die Vertrauenswürdigkeit einer Erweiterung. Ich selbst installiere außerdem auch nur Erweiterungen, die ich wirklich benötige – und deaktiviere oder entferne Erweiterungen, die ich nicht nutze. Und das rate ich auch jedem anderen, denn je weniger Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen.“
Weitere Informationen unter: www.psw-group.de/blog/browser-erweiterungen-ein-risiko/10177