12. November 2008 - Rogue-Antispyware

Wenn gefälschte Software zum echten Problem wird

Anti-Malware-Software soll Nutzer und Computer vor Schadprogrammen schützen. Doch was passiert, wenn die angebliche Sicherheitslösung ohne jede Funktion ist oder selbst zum Angriff übergeht? In den vergangenen Monaten nahm die Verbreitung sogenannter Rogue-Antispyware, also gefälschter Sicherheitssoftware, dramatisch zu. Wie unterscheidet man aber echte und gefälschte Sicherheitsprogramme?

wenn-falsche-software-zum-echten-problem-wird.jpeg
Rogue-Antispyware ist unter der Maske der Sicherheitssoftware ein Angriffstool. (Bild: Thinkstock)

Während einer Internetrecherche öffnet sich plötzlich ein Programmfenster und verkündet die unheilvolle Botschaft, Ihr Rechner sei durch zahlreiche Schadprogramme verseucht worden. Gleichzeitig bietet sich eine Ihnen unbekannte Sicherheitssoftware an, dieses Problem sogleich zu beheben.

Unerwartete Hilfe aus dem Netz?

Sie stutzen vielleicht und wundern sich, woher plötzlich diese unerwartete Hilfe kommt. Und Sie wundern sich zu Recht: Entweder hat überhaupt keine Verseuchung Ihres Rechners stattgefunden oder aber das angebliche Schutzprogramm ist Teil der Attacke aus dem Internet, die gefälschte Software anbietet.

Bei diesen Rettungsangeboten aus dem Internet handelt es sich nicht etwa um die häufig angebotenen Online-Virenscans bekannter Sicherheitsunternehmen, sondern um sogenannte Rogue-Antispyware.

Rogue: Nomen est omen

Diese Bezeichnung für die gefälschte Sicherheitssoftware verdeutlicht durch ihre Übersetzung, wer der Absender der Software ist und was man von der Software zu halten hat.

Rogue steht zum einen für den Gauner als Initiator des Angriffs, zum anderen aber auch für nutzlos und bösartig. Beides kann diese angebliche Hilfe aus dem Netz sein: Sie bietet keinen Schutz und wiegt den Anwender in falsche Sicherheit. Und sie stellt meist selbst einen Trojaner dar, der es auf persönliche Daten abgesehen hat.

Wer den Schaden hat, darf noch zahlen

Mit der Malware-Infektion des Rechners und der nutzlosen Meldung über die Verseuchung endet der Angriff aber noch nicht. Die Internetkriminellen wollen auch noch für die Attacke bezahlt werden.

Meist wird die scheinbare Sicherheitssoftware als Demoversion oder reine Scan-Lösung beschrieben. Die Vollversion zur Beseitigung der gefundenen Computerschädlinge kostet natürlich etwas. Wer dann tatsächlich die Vollversion durch Angabe seiner Kreditkarteninformation erwerben möchte, liefert den Angreifern die gewünschten Daten und wird dafür nichts bekommen, in jedem Fall keine echte Hilfe. Auch eine kostenlose Registrierung liefert dem Angreifer die gewünschten vertraulichen Daten.

Daten sind auch gefährdet, wenn man nicht auf das Pseudoangebot eingeht

Und fällt man auf das Angebot nicht herein, können die eigenen Daten trotzdem bedroht sein. Die gefälschte Software stellt oft selbst ein Spionageprogramm dar und dient dem Datendiebstahl.

Unvorsichtiger Download nicht erforderlich

Vielleicht halten Sie nun das Risiko von Rogue-Antispyware in Ihrem Fall für gering, da Sie nicht einfach eine Sicherheitssoftware ohne jede Prüfung herunter laden würden. Aber das brauchen Sie leider auch gar nicht. Der Angriff mit der gefälschten Software erfolgt meist als Drive-by-Download, geschieht also durch das bloße Öffnen einer infizierten Webseite, die ganz harmlos erscheint.

Zudem stellt sich die Frage, wie man gutartige, echte Sicherheitssoftware von gefälschten und bösartigen Programmen unterscheiden kann. Schließlich bieten auch renommierte Sicherheitsprovider ihre Software als Download im Internet an.

Fälscher nutzen gute Tarnung

Eine Prüfung der Internetdomain, auf der der Download angeboten wird, reicht leider nicht aus, um wirklich sicher zu gehen. Die Website könnte gekapert oder über einen Cross-Site-Scripting-Angriff in bestimmten Bereichen verseucht sein. Die Namen der Domains ähneln zudem ebenso den Internetadressen der echten Anbieter wie die Namen der Software echten Produktbezeichnungen.

Selbst eine Prüfung der digitalen Signatur für das Softwarepaket kann scheitern und einen falschen Softwareherausgeber anzeigen. Die Tarnversuche der Angreifer sind sehr ausgeklügelt. Dazu gehören auch umfangreiche, echt wirkende Lizenzbestimmungen, die man bestätigen soll.

So schützen Sie sich vor Softwarefälschern

Was auffällig ist, sind die ungewöhnlichen Vertriebsmethoden, bestehend aus der unerwünschten Installation einer Demoversion, dem meist fehlenden Angebot eines Testzeitraumes und der offensichtlichen Erpressung, nur nach Registrierung oder Bezahlung die angeblich gefundenen Probleme zu beheben.

Neben der hierbei angebrachten Skepsis sollten Sie jedoch auch technische und organisatorische Maßnahmen ergreifen, um sich und Ihre Kolleginnen und Kollegen zu schützen:

  • Akzeptieren Sie keine Downloadangebote, die Sie über E-Mail oder plötzlich erscheinende Popup-Fenster erhalten.
  • Prüfen Sie vor jedem Download die angezeigte SSL-Verbindung (gültiges Digitales Zertifikat).
  • Nutzen Sie Webfilter (http-Filter), die die über den Browser aufgesuchten Webseiten bereits vor dem Öffnen überprüfen.
  • Deaktivieren Sie aktive Inhalte im Browser wie JavaScript.
  • Halten Sie Ihren Webbrowser und Ihr Betriebssystem über automatische Updates aktuell.
  • Lassen Sie sich nicht unter Druck setzen, falls Ihr Rechner angeblich verseucht wurde. Nutzen Sie zur Kontrolle eine aktuelle, bereits im Unternehmen verfügbare Sicherheitssoftware.
  • Informieren Sie die Internetnutzer in Ihrem Unternehmen über das zunehmende Angebot an gefälschter Sicherheitssoftware und die dadurch bestehenden Risiken.

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist freier IT-Fachjournalist, Herausgeber des WEKA-Werks „
IT-Know-how für den Datenschutzbeauftragten“ und Autor bei dem WEKA-Werk „Datenschutz online“.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln