Dies ist keine Spam, sondern ein Hinweis auf eine gefährliche journalistische Desinformation durch Weglassen wesentlicher Information, die in dieser Form der Organisierten Internet-Kriminalität direkt zuarbeitet.
Wieder einmal wird Schadsoftware über (diesmal aufwändig) verseuchte Ads verbreitet. Und, was empfiehlt Heise Online seinen Lesern?
Schützen kann man sich gegen solche Angriffe eigentlich nur, indem man immer die aktuellen Versionen von Betriebssystem, Browser und Erweiterungen einsetzt
Natürlich ist das halb wahr, und deshalb als Unwahrheit auch so gefährlich. Ein aktueller Systemstand und aktuelle Software ohne bekannte Sicherheitslücken, die von Kriminellen ausgenutzt werden können, sind die Grundlage der Computersicherheit. Nur ein beseitigter Fehler ist ein guter Fehler.
Aber gegen Schadsoftware in Ads hilft vor allem anderen ein wirksamer Adblocker, der nicht nur diesen Transportweg an der Wurzel unterbindet, sondern dazu auch noch das gesamte Web viel genießbarer und schneller macht. Weil nahezu jeder Webbrowser-Angriff der letzten Jahre Javascript verwendete, empfehle ich zusätzlich einen guten, konfigurierbaren Javascript-Blocker, der es möglich macht, das Privileg einer Javascript-Ausführung gezielt an vertrauenswürdige Websites zu vergeben. Es ist einfach keine gute Idee, jedem anonymen Gegenüber die Möglichkeit zu geben, Programmcode im Browser auszuführen. Viele empfinden einen Javascript-Blocker allerdings als etwas „nervig“, zumal zurzeit sehr viele Websites teilweise aufdringlich dazu auffordern, Javascript zu gestatten, obwohl es keinen technischen Grund dafür gibt (und mit dieser Haltung ebenfalls die Organisierte Internet-Kriminalität fördern). Der Adblocker muss aber in jedem Fall sein, und er ist das genaue Gegenteil von „nervig“. 😉
Warum Heise Online das seinen Lesern nicht empfiehlt? Weil Heise Online über eingeblendete Reklame finanziert wird und eine solche, wirksame Empfehlung dieses Geschäftsmodell beeinträchtigen würde. So leistet die (leider legale) Reklame im Web und die trotz ihrer derzeitigen Allgegenwärtigkeit äußerst halbseidene Idee einer Monetarisierung von Websites durch Reklame aus allerlei Quellen einen Beitrag zum Erfolg der Schadsoftware.
Und nein: Das Antivirus-Programm hilft nicht! Die (für die Verbrecher aufwändig) über Ads verbreitete Schadsoftware ist meist der neueste Schrei der kriminellen Kunst und kann im Regelfall für mehrere Tage von den Antivirus-Programmen nicht zuverlässig erkannt werden.
Deshalb: Niemals einen Browser ohne Adblocker benutzen! Egal, was Journalisten sagen und schreiben! Es handelt sich um eine unverzichtbare Schutzmaßnahme. Wer darauf verzichtet, handelt verantwortungslos.
Na ja, meine Wahrnehmung ist eine andere, und zwar diejenige, dass die Empfehlungen für AdBlocker bzw. die Warnung vor Werbung als Einfallstor für Mist und Müll durch Heise überwiegen, sei es gedruckt, online oder im c‘t-Uplink-Podcast.
Gerade hierzu hatte ich im Januar auf einer IT-Sicherheitskonferenz einen schönen Vortrag gesehen. Nun ist diese Art von Schadsoftware auch ‚mal flächendeckend in der freien Wildbahn aufgetaucht. Der Autor nennt es „Stegosploit“, ein sehr schönes Wort aus „Steganographie“ und „Exploit“; unter http://stegosploit.info/ gibt es tiefergehende technische Hintergründe zu (Schad-)Code in Bildern.