IT-Sicherheitsrisiken:
Online-Porno-User leben gefährlich

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
14.06.2010

Von wegen »Safer Sex«: Laut einer Studie von drei Wissenschaftlern haben sich Porno-Web-Seiten im Internet zu beliebten »Vertriebswegen« für Schadsoftware entwickelt.

Pornografische Angebote im Internet erfreuen sich großer Beliebtheit. Laut einer Untersuchung des International Secure Systems Lab [1] zum Thema IT-Sicherheit und Online-Pornografie besuchen 42,7 Prozent aller Internet-User Web-Sites mit einschlägigen Inhalten.

Über den weltweiten Umsatz der Online-Porno-Branche gibt es keine verlässlichen Daten. Die Schätzungen richen von 1 Milliarde bis hin zu mehr als 90 Milliarden Dollar pro Jahr.

An die 20 Prozent tun dies von ihrem Arbeitsplatzrechner aus. Zumindest für diese Gruppe ist es daher kein reines »Privatvergnügen«, wenn sie beim Besuch von Porno-Seiten unwissentlich Schadsoftware auf ihre Rechner herunterladen oder Cyberkriminellen den Weg ins Firmen-LAN eröffnen.

Die fünf Forscher aus Europa und den USA haben ermittelt, dass eine große Zahl von Porno-Web-Seiten »fragwürdige« Methoden einsetzt, um Nutzer und deren Surfverhalten zu manipulieren. An die 32,2 Prozent der kostenlos verfügbaren Sites und 11,4 Prozent verwenden solche Verfahren.

Relativ harmlos: »Blind Links« und Browser-Hijacking

Beliebt ist demnach das Hijacking des Browsers mittels Javascript-Code. Dieser verhindert, dass der Nutzer eine Web-Seite verlassen kann. Jedes Mal, wenn der Nutzer eine andere Web-Adresse eingibt oder auch den »Zurück«-Button klickt, öffnet sich ein Fenster, das den User zur Bestätigung der Aktion auffordert. Tut der dies, öffnen sich Pop-up-Fenster mit Werbung oder anderen Online-Angeboten.

Ebenfalls auf Javascripts, die auf den Client-Rechnern laufen, basieren »blinde« Links. An die 10,9 Prozent der Porno-Seiten mit kommerziellen Angeboten und 26,2 Prozent der Sites mit kostenlosem Porno-Content verwenden dieses Verfahren.

Es dient dazu, die Adresse des Internet-Auftritts in der Adressleiste des Browser auszublenden. Nach Angaben der Forscher kann das höchst unerfreuliche Folgen haben. Cyberkriminelle können den Rechner eines Besuchers mittels Cross-Site-Scripting (CSS) oder Cross-Site-Request-Forgery (CSRF) angreifen.

Sehr beliebt sind zudem Redirector-Scripts, auf Server implementiert werden. Auch sie verschleiern gegenüber dem Client-Rechner, auf welche Web-Adresse dieser tatsächlich zugreift. Mithilfe von Redirection-Chains (mehrfachem Um-/Weiterleiten von Web-Zugriffen) erzeugen Kriminelle künstlich Zugriffe auf bestimmte Internet-Seiten. Dies dient dazu, mittels Klickbetrug Werbegelder zu ergattern.

Porno-Seiten als Malware-Schleudern

Ein weiteres Resultat: An die 3,2 Prozent der 260.000 Sites, die im Rahmen der Untersuchung analysiert wurden, verbreiten Schadsoftware. Allerdings gehen die Fachleute davon aus, dass in diesen Fällen die Seiten von Cyberkriminellen gehackt wurden und für ihre Zwecke missbraucht wurden.

Ein Argument, das für diese These spricht: Der Online-Porno-Industrie sei daran gelegen, möglichst nicht auf den schwarzen Listen von IT-Sicherheitsfirmen oder Internet-Service-Providern zu landen. Dies würde ihr Geschäft torpedieren.

Web-Zugriffe kaufen

Wie einfach es ist, an Adressmaterial und »Besucher« zu kommen, zeigt ein weiteres Experiment der Forscher: Sie gaben sich als Betreiber einer Porno-Site aus und »kaufen« bei einem »Traffic Broker« Unique Visitors für ihre Seite.

Um Datenverkehr auf ihre Seiten zu bekommen, kaufen Betreiber von Web-Sites häufig bei Traffic-Brokern Unique Visits ein.

Für 49.000 Besuche mussten sie nach eigenen Angaben ganze 161,84 Dollar berappen. Unmittelbar nach Platzieren der Order bei den Brokern leiteten diese Internet-Besucher zur vermeintlichen Porno-Web-Seite weiter.

Die Forscher gehen davon aus, dass es sich zumindest bei einem Teil der 49.000 Systeme um Rechner handelte, die Bot-Netzen angehörten oder mittels anderer unsauberer Methoden auf die Test-Web-Seite umgelenkt wurden. Dies wollen die Experten jedoch später separat untersuchen.

Sicherheitslücken bei Browser-Plug-ins

Ein Indiz dafür, das diese Vermutung stützt: Rund 20.000 der »gekauften« Visits stammten von Rechnern, die zumindest eine Sicherheitslücke bei Browser-Plug-ins für Adobe Flash und PDF oder Microsoft Office aufwiesen. Bei 5700 Visitors waren sogar mehrere Schwachstellen gleichzeitig vorhanden.

Eines der unseriösen Zusatzgeschäfte von Porno-Web-Sites: die zugekauften Klicks von Besuchern werden wiederum an andere Traffic-Broker weiter verhökert. An wen diese die Daten weiterverkaufen, etwa an Betreiber von Malicious-Web-Sites, liegt im Dunkeln.

Unseriöse Betreiber von Web-Seiten könnten sich diese Lücken zunutze machen, indem sie Drive-by-Downloads starten, sprich die Rechner der Besucher auf Malware-verseuchte Web-Sites umlenken und auf diese Weise infizieren.

Das Fazit der Forscher: »Viele Anbieter der Online-Porno-Industrie setzen höchst fragwürdige Praktiken ein, die sich auch für Cybercrime-Zwecke einsetzen lassen. Wir haben Belege dafür, dass diese Art von Missbrauch bereits Realität ist.«

Hier der Link zur Studie: Is the Internet for Porn? An Insight into the Online Adult Industry [2].

[1] http://iseclab.org/
[2] http://iseclab.org/papers/adult.pdf

Verwandte Artikel