Wat is een drive-by download-aanval en hoe werkt het?
De informatiebeveiligingsindustrie kan soms een nogal vreemde plek zijn, vooral als het gaat om termen en definities. Er is veel verwarring en debat, zelfs over onderwerpen die we nu heel goed zouden moeten kennen. De zogenaamde 'drive-by download'-aanvallen zijn geen uitzondering.
Table of Contents
De verwarring over wat wel en niet een drive-by download-aanval is
Iedereen is het eens over wat een drive-by download eigenlijk doet. Het installeert een ongewenste of regelrechte schadelijke toepassing op uw computer zonder uw medeweten of toestemming. Van irritante browserkapers tot informatie die malware en keyloggers steelt - vrijwel elk stukje schaduwrijke software past bij de rekening.
Het argument lijkt te draaien rond of het proces al dan niet geautomatiseerd is. Sommige mensen denken dat een aanval alleen kan worden geclassificeerd als een drive-by-download als er absoluut geen gebruikersinteractie nodig is. Anderen zeggen dat schaduwrijke software die naast andere applicaties wordt geïnstalleerd of via verdachte advertenties wordt afgeleverd, ook als een drive-by-download geldt.
Het is redelijk om te zeggen dat beveiligingsexperts waarschijnlijk niet snel tot een consensus zullen komen. Daarom zullen we proberen u alle verschillende scenario's te laten zien waarin de term "drive-by download" kan worden gebruikt.
Verdachte apps op uw computer smokkelen
Je hebt waarschijnlijk gehoord over de gevaren van het downloaden en gebruiken van illegale software en kraakprogramma's. Dit is illegaal, maar zelfs als u bereid bent dit feit te negeren, moet u iets anders overwegen.
Wanneer u een toepassing downloadt van de officiële website, verklaart u feitelijk dat u de ontwikkelaar vertrouwt, die in de meeste gevallen een gevestigde onderneming is die een reputatie heeft en zich zorgen maakt. Wanneer je software downloadt van een torrent-tracker, vertrouw je op iemand die een bijnaam, een avatar en slechte grammatica gebruikt.
Maar illegale software is niet het enige dat stilletjes iets smerigs naar je computer kan downloaden. Soms kan een app er legitiem uitzien en toch een onverwachte infectie opleveren. Sommige ontwikkelaars proberen de extra nuttige lading met wisselend succes te verbergen. Het installatieprogramma kan u vertellen over de werkbalk van de browser en mogelijk krijgt u zelfs een selectievakje waarmee u zich kunt afmelden. In andere gevallen wordt u echter niet op de hoogte gebracht als er extra software op uw computer wordt geïnstalleerd.
Een klik, een knal en een dreun
Nee, jij bent niet de 10.000ste bezoeker op deze website. Je hebt geen $ 1.000.000 gewonnen en als je op die pop-up klikt die lijkt te zijn ontworpen met de Windows 98-versie van Microsoft Paint, dan claim je eigenlijk geen prijzen. Hoogstwaarschijnlijk zult u iets downloaden en installeren dat u niet op uw pc wilt.
Het bovenstaande scenario is nu tamelijk oud en zeer weinig mensen zullen er waarschijnlijk voor vallen. Het is echter eerlijk om te zeggen dat de schaduwrijke advertenties van vandaag veel geavanceerder en geloofwaardiger zijn. Het zijn ook niet alleen advertenties.
Het is 2019 en veilig voor een paar uitzonderingen, je hoeft Adobe Flash niet te installeren om op internet te surfen. Als een pop-up u anders vertelt, overweeg dan of u echt op de website moet zijn die u probeert te bekijken. Veel mensen zijn ervaren genoeg om dat te weten, maar zelfs zij kunnen vallen voor het iets meer legitiem klinkende scenario dat hen vertelt dat ze bijvoorbeeld een nieuw lettertypepakket nodig hebben.
Zoals u ziet, evolueert het online landschap en hebben de boeven geen andere keuze dan de tijd bij te houden. We hebben al vastgesteld dat social engineering een van hun krachtigste wapens is en het is duidelijk dat ze het niet zullen schuwen om het te gebruiken tijdens een drive-by download-aanval.
Klikken is niet altijd nodig
De scenario's die we tot nu toe hebben besproken, vereisen enige vorm van actie namens het slachtoffer. Hoe slim ze ook zijn, ze zijn allemaal afhankelijk van ten minste één muisklik. Bij sommige drive-by download-aanvallen is dit echter eenvoudigweg niet nodig.
De geautomatiseerde drive-by download is de meest verwoestende aanval in zijn soort. Daarmee vereist een succesvolle infectie niets meer dan een slachtoffer dat een gecompromitteerde website bezoekt waar een kwaadaardig script is ingesteld om de download automatisch te activeren. Het is zo gevaarlijk omdat slachtoffers niet hoeven te klikken of iets goed te keuren en ze meestal geen idee hebben wat er aan de hand is tot het te laat is. Maar zelfs het is afhankelijk van een of twee dingen.
Dit type drive-by downloads omvat meestal de zogenaamde exploitkits. Een exploitkit is een verzameling computercode die kan profiteren van verschillende beveiligingstekorten in populaire toepassingen. Verschillende exploitkits richten zich op verschillende kwetsbaarheden in verschillende apps. Wanneer een slachtoffer op een gecompromitteerde website terechtkomt, controleert de kwaadaardige code meestal welke soort software op de pc van de bezoeker is geïnstalleerd en als het een product vindt dat het kan exploiteren, wordt de download gestart. Het gebeurt allemaal snel en stil. Maar is het moeilijk om te starten?
Het verkrijgen van de exploitkit is het makkelijke gedeelte. Sommigen van hen zijn gratis beschikbaar, en sommige kunnen op hackforums worden gekocht in ruil voor een paar cryptomunten. Het is duidelijk dat hackers een website moeten compromitteren om de exploitkit te installeren, maar omdat beheerders het beveiligingsprobleem niet altijd erg serieus nemen, is het vereiste computervaardigheden niet altijd zo hoog als je zou kunnen denken.
Het vinden van slachtoffers die kwetsbaar zijn voor een drive-by download-aanval via een exploitkit is ook niet zo moeilijk. Mensen hebben de neiging om dezelfde browser, plug-ins en apps te gebruiken, en cruciaal is dat velen van hen denken dat het up-to-date houden van al die software een last is die niet echt waarneembare voordelen oplevert.
De populariteit van drive-by downloads en hoe u veilig kunt blijven
Het moet gezegd worden dat de meeste grootschalige cyberaanvallen die we tegenwoordig lezen, afhankelijk zijn van spam-e-mails in plaats van drive-by downloads. Om de een of andere reden zijn exploitkits niet zo populair als vroeger en lijken gebruikers zich veel bewuster te zijn van de advertenties waarop ze klikken en de apps die ze installeren. Niettemin bestaan drive-by downloadaanvallen, en je moet weten wat je kunt doen om jezelf te beschermen.
Laten we beginnen met de software op uw computer. Het spreekt voor zich dat u geen applicaties moet installeren die u niet nodig heeft. Naast de bescherming tegen een redelijk grote verscheidenheid aan aanvallen (inclusief drive-by downloads), zullen minder ongebruikte programma's op uw pc de prestaties ten goede komen. Wanneer u software installeert, moet u deze downloaden van de officiële leverancier en proberen te voorkomen dat u misleidt dat het installeren van toepassingen op uw pc niets meer inhoudt dan meerdere keren klikken op "Volgende".
Vervolgens hebt u de advertenties die u elke dag ziet. Het internet zoals we dat kennen, zou niet hetzelfde zijn zonder advertenties. Ze helpen veel van de diensten die we dagelijks gebruiken gratis te houden. Tegelijkertijd zorgen kwaadwillende advertenties voor heel wat online fraude, en zoals we al hebben vastgesteld, kunnen ze leiden tot malware-infecties. Denk twee keer na voordat u op een advertentie klikt, hoe verleidelijk deze er ook uitziet.
Last but not least, blader zorgvuldig. Geen enkele website is bestand tegen hackers, maar vasthouden aan de meer gevestigde online portals en communities geeft u een betere kans om veilig te blijven.
