Wie Sie über Ihren Browser angesteckt werden können und wie Sie sich schützen können
In einer perfekten Welt kann Ihr Computer nicht über Ihren Browser infiziert werden. Browser sollen Webseiten in einer nicht vertrauenswürdigen Sandbox ausführen und sie vom Rest Ihres Computers isolieren. Leider passiert das nicht immer.
Websites können Sicherheitslücken in Browsern oder Browser-Plugins verwenden, um diese Sandboxen zu umgehen. Schädliche Websites versuchen auch, Social-Engineering-Taktiken einzusetzen, um Sie zu betrügen.
Unsichere Browser-Plugins
Die meisten Menschen, die durch Browser gefährdet werden, werden durch die Plugins ihrer Browser gefährdet. Oracle Java ist der schlimmste und gefährlichste Schuldige. Apple und Facebook haben kürzlich interne Computer gefährdet, weil sie auf Websites mit schädlichen Java-Applets zugegriffen haben. Ihre Java-Plugins könnten komplett auf dem neuesten Stand sein - das ist unwichtig, da die neuesten Java-Versionen noch immer ungepatchte Sicherheitslücken aufweisen.
Um sich zu schützen, sollten Sie Java vollständig deinstallieren. Wenn Sie dies nicht tun können, weil Sie Java für eine Desktop-Anwendung wie Minecraft benötigen, sollten Sie mindestens das Java-Browser-Plugin deaktivieren, um sich selbst zu schützen.
Auch andere Browser-Plugins, insbesondere der Adobe Flash Player- und PDF-Reader-Plug-In, müssen regelmäßig Sicherheitslücken beheben. Adobe ist bei der Reaktion auf diese Probleme und beim Patchen ihrer Plugins inzwischen besser als Oracle, aber es ist immer noch üblich, dass eine neue Flash-Sicherheitsanfälligkeit ausgenutzt wird.
Plugins sind saftige Ziele. Schwachstellen in Plugins können mit dem Plugin in allen verschiedenen Browsern für alle verschiedenen Betriebssysteme ausgenutzt werden. Eine Sicherheitsanfälligkeit im Flash-Plugin kann zum Ausnutzen von Chrome, Firefox oder Internet Explorer unter Windows, Linux oder Mac verwendet werden.
Führen Sie die folgenden Schritte aus, um sich vor Anfälligkeiten durch Plugins zu schützen:
- Verwenden Sie eine Website wie die Firefox-Pluginprüfung, um festzustellen, ob veraltete Plugins vorhanden sind. (Diese Website wurde von Mozilla erstellt, funktioniert jedoch auch mit Chrome und anderen Browsern.)
- Aktualisieren Sie alle veralteten Plugins sofort. Halten Sie sie auf dem neuesten Stand, indem Sie sicherstellen, dass automatische Updates für jedes installierte Plugin aktiviert sind.
- Deinstallieren Sie Plugins, die Sie nicht verwenden. Wenn Sie das Java-Plugin nicht verwenden, sollte es nicht installiert sein. Dies verringert die "Angriffsfläche" - die Menge an Software, die Ihrem Computer zur Verfügung steht.
- Erwägen Sie die Verwendung der Click-to-Play-Plugins-Funktion in Chrome oder Firefox, die die Ausführung von Plugins verhindert, sofern Sie sie nicht ausdrücklich anfordern.
- Stellen Sie sicher, dass Sie auf Ihrem Computer ein Antivirus-Programm verwenden. Dies ist die letzte Verteidigungslinie gegen eine Zero-Day-Sicherheitsanfälligkeit (eine neue, nicht gepatchte Sicherheitsanfälligkeit) in einem Plugin, mit der ein Angreifer schädliche Software auf Ihrem Computer installieren kann.
Browser-Sicherheitslücken
Sicherheitslücken in Webbrowsern können böswillige Websites auch dazu befähigen, Ihren Computer zu gefährden. Webbrowser haben ihr Verhalten weitgehend bereinigt und Sicherheitslücken in Plugins sind derzeit die Hauptursache für Kompromisse.
Sie sollten Ihren Browser jedoch trotzdem auf dem neuesten Stand halten. Wenn Sie eine alte, nicht gepatchte Version von Internet Explorer 6 verwenden und eine weniger seriöse Website besuchen, kann die Website Sicherheitslücken in Ihrem Browser ausnutzen, um schädliche Software ohne Ihre Erlaubnis zu installieren.
Der Schutz vor Sicherheitslücken im Browser ist einfach:
- Halten Sie Ihren Webbrowser auf dem neuesten Stand. Alle gängigen Browser suchen nun automatisch nach Updates. Lassen Sie die Auto-Update-Funktion aktiviert, um geschützt zu bleiben. (Internet Explorer wird über Windows Update selbst aktualisiert. Wenn Sie Internet Explorer verwenden, ist es besonders wichtig, über Updates für Windows auf dem neuesten Stand zu sein.)
- Stellen Sie sicher, dass auf Ihrem Computer ein Antivirus ausgeführt wird. Wie bei Plugins ist dies die letzte Verteidigungslinie gegen eine Zero-Day-Schwachstelle in einem Browser, durch die Malware auf Ihren Computer gelangen kann.
Social-Engineering-Tricks
Schädliche Webseiten versuchen Sie dazu zu bringen, Malware herunterzuladen und auszuführen. Sie tun dies häufig mit „Social Engineering“ - mit anderen Worten, sie versuchen, Ihr System zu beeinträchtigen, indem Sie Sie überzeugen, sie unter falschen Vorsätzen zuzulassen, und nicht, indem Sie Ihren Browser oder Ihre Plugins selbst gefährden.
Diese Art von Kompromittierung beschränkt sich nicht nur auf Ihren Webbrowser. Böswillige E-Mail-Nachrichten können Sie auch dazu verleiten, unsichere Anhänge zu öffnen oder unsichere Dateien herunterzuladen. Viele Menschen sind jedoch mit allem infiziert, von Adware und schädlichen Browsersymbolleisten über Viren und Trojaner über Social-Engineering-Tricks, die in ihren Browsern stattfinden.
- ActiveX-Steuerelemente: Internet Explorer verwendet ActiveX-Steuerelemente für seine Browser-Plugins. Jede Website kann Sie auffordern, ein ActiveX-Steuerelement herunterzuladen. Dies kann legitim sein. Beispielsweise müssen Sie möglicherweise das Flash Player-ActiveX-Steuerelement herunterladen, wenn Sie ein Flash-Video zum ersten Mal online abspielen. ActiveX-Steuerelemente sind jedoch wie jede andere Software in Ihrem System und haben die Berechtigung, den Webbrowser zu verlassen und auf den Rest Ihres Systems zuzugreifen. Eine böswillige Website, die ein gefährliches ActiveX-Steuerelement ausführt, sagt möglicherweise, dass das Steuerelement für den Zugriff auf bestimmte Inhalte erforderlich ist, aber tatsächlich vorhanden ist, um Ihren Computer zu infizieren. Stimmen Sie im Zweifelsfall nicht zu, ein ActiveX-Steuerelement auszuführen.
- Automatisches Herunterladen von DateienHinweis: Eine bösartige Website kann versuchen, automatisch eine EXE-Datei oder eine andere gefährliche Datei auf Ihren Computer herunterzuladen, in der Hoffnung, dass Sie sie ausführen. Wenn Sie nicht ausdrücklich einen Download angefordert haben und nicht wissen, was es ist, laden Sie keine Datei herunter, die automatisch eingeblendet wird und Sie fragt, wo sie gespeichert werden soll.
- Gefälschte Download-Links: Auf Websites mit schlechten Werbenetzwerken - oder auf Websites, auf denen gefälschter Inhalt gefunden wird - werden häufig Anzeigen angezeigt, die Download-Schaltflächen imitieren. Diese Werbung versucht, Menschen dazu zu verleiten, etwas herunterzuladen, das sie nicht suchen, indem sie sich als echter Downloadlink ausgeben. Es gibt gute Chancen, dass Links wie dieser Malware enthalten.
- "Sie benötigen ein Plugin, um dieses Video anzusehen": Wenn Sie über eine Website stolpern, die besagt, dass Sie ein neues Browser-Plug-In oder einen neuen Codec installieren müssen, um ein Video abzuspielen, passen Sie auf. Möglicherweise benötigen Sie für einige Dinge ein neues Browser-Plugin. Beispielsweise benötigen Sie das Silverlight-Plugin von Microsoft, um Videos auf Netflix abzuspielen. Wenn Sie sich jedoch auf einer weniger seriösen Website befinden, möchten Sie, dass Sie eine EXE-Datei herunterladen und ausführen, um sie abspielen zu können In ihren Videos besteht eine gute Chance, dass sie versuchen, Ihren Computer mit bösartiger Software zu infizieren.
- "Ihr Computer ist infiziert": Möglicherweise sehen Sie Werbung, die besagt, dass Ihr Computer infiziert ist und darauf besteht, dass Sie eine EXE-Datei herunterladen müssen, um die Dinge zu bereinigen. Wenn Sie diese EXE-Datei herunterladen und ausführen, ist Ihr Computer wahrscheinlich infiziert.
Dies ist keine erschöpfende Liste. Bösartige Menschen sind ständig auf der Suche nach neuen Wegen, um Menschen zu betrügen.
Wie immer kann ein Antivirus-Programm Sie schützen, wenn Sie versehentlich ein schädliches Programm herunterladen.
Dies ist die Art und Weise, wie der durchschnittliche Computerbenutzer (und sogar die Mitarbeiter bei Facebook und Apple) ihren Computer über ihre Browser "hacken" lassen. Wissen ist Macht und diese Informationen sollen Ihnen helfen, sich online zu schützen.