7Jul
In einer perfekten Welt gäbe es für Ihren Computer keine Möglichkeit, sich über Ihren Browser zu infizieren. Browser sollen Webseiten in einer nicht vertrauenswürdigen Sandbox ausführen und sie vom Rest Ihres Computers isolieren. Leider passiert das nicht immer.
-Websites können Sicherheitslöcher in Browsern oder Browser-Plugins verwenden, um diese Sandboxes zu umgehen. Böswillige Websites versuchen auch, Social-Engineering-Taktiken zu verwenden, um Sie auszutricksen.
Unsichere Browser-Plugins
Die meisten Leute, die durch Browser kompromittiert werden, werden durch die Plugins ihres Browsers kompromittiert. Oracles Java ist der schlimmste und gefährlichste Täter. Apple und Facebook haben kürzlich interne Computer kompromittiert, weil sie auf Websites mit schädlichen Java-Applets zugegriffen haben. Ihre Java-Plugins könnten komplett auf dem neuesten Stand sein - das wäre unwichtig, denn die neuesten Versionen von Java enthalten immer noch nicht gepatchte Sicherheitslücken.
Um sich zu schützen, sollten Sie Java vollständig deinstallieren. Wenn Sie das nicht können, weil Sie Java für eine Desktop-Anwendung wie Minecraft benötigen, sollten Sie das Java-Browser-Plugin zumindest deaktivieren, um sich selbst zu schützen.
Andere Browser-Plugins, insbesondere Adobe Flash Player und PDF-Reader-Plugins, müssen regelmäßig Sicherheitslücken schließen. Adobe ist besser als Oracle in der Lage, auf diese Probleme zu reagieren und ihre Plugins zu patchen, aber es ist immer noch normal, dass eine neue Flash-Schwachstelle ausgenutzt wird.
Plugins sind saftige Ziele. Sicherheitslücken in Plugins können mit allen Plugins auf allen verschiedenen Betriebssystemen ausgenutzt werden. Eine Flash-Plugin-Schwachstelle könnte verwendet werden, um Chrome, Firefox oder Internet Explorer unter Windows, Linux oder Mac zu nutzen.
Gehen Sie folgendermaßen vor, um sich vor Plugin-Sicherheitslücken zu schützen:
- Verwenden Sie eine Website wie die Plugin-Überprüfung von Firefox, um zu sehen, ob Sie veraltete Plugins haben.(Diese Website wurde von Mozilla erstellt, funktioniert aber auch mit Chrome und anderen Browsern.)
- Aktualisieren Sie alle veralteten Plugins sofort. Halten Sie sie auf dem neuesten Stand, indem Sie sicherstellen, dass für jedes von Ihnen installierte Plugin automatische Updates aktiviert sind.
- Deinstallieren Sie Plugins, die Sie nicht verwenden. Wenn Sie das Java-Plugin nicht verwenden, sollten Sie es nicht installiert haben. Dadurch wird die "Angriffsfläche" reduziert - die Menge an Software, die Ihr Computer zur Verfügung hat.
- Ziehen Sie in Betracht, die Plug-in-Funktion für Plug-ins in Chrome oder Firefox zu verwenden, die verhindert, dass Plugins ausgeführt werden, außer wenn Sie sie ausdrücklich anfordern.
- Stellen Sie sicher, dass Sie ein Antivirenprogramm auf Ihrem Computer verwenden. Dies ist die letzte Verteidigungslinie gegen eine "Zero-Day" Schwachstelle( eine neue, ungepatchte Schwachstelle) in einem Plugin, mit der ein Angreifer Schadsoftware auf Ihrem Rechner installieren kann.
Browser-Sicherheitslücken
Sicherheitslücken in Web-Browsern selbst können auch die Gefährdung Ihres Computers durch bösartige Websites ermöglichen. Web-Browser haben ihre Handlungen weitgehend bereinigt und Sicherheitslücken in Plugins sind derzeit die Hauptquelle für Kompromisse.
Sie sollten Ihren Browser trotzdem auf dem neuesten Stand halten. Wenn Sie eine alte, nicht gepatchte Version von Internet Explorer 6 verwenden und eine weniger seriöse Website besuchen, kann die Website Sicherheitslücken in Ihrem Browser ausnutzen, um Schadsoftware ohne Ihre Erlaubnis zu installieren.
Sich vor den Sicherheitslücken des Browsers zu schützen, ist einfach:
- Halten Sie Ihren Webbrowser auf dem neuesten Stand. Alle gängigen Browser suchen nun automatisch nach Updates. Lassen Sie die automatische Aktualisierungsfunktion aktiviert, um geschützt zu bleiben.(Internet Explorer aktualisiert sich selbst über Windows Update. Wenn Sie Internet Explorer verwenden, ist die Aktualisierung von Updates für Windows besonders wichtig.)
- Stellen Sie sicher, dass auf Ihrem Computer ein Virenschutzprogramm ausgeführt wird. Wie bei Plugins ist dies die letzte Verteidigungslinie gegen eine Zero-Day-Schwachstelle in einem Browser, durch die Malware auf Ihren Computer gelangen kann.
Social-Engineering-Tricks
Schädliche Webseiten versuchen, Sie zum Herunterladen und Ausführen von Malware zu verleiten. Sie tun dies oft unter Verwendung von "Social Engineering" - mit anderen Worten, sie versuchen, Ihr System zu kompromittieren, indem Sie Sie dazu verleiten, sie unter falschen Vorwänden einzulassen, nicht indem Sie Ihren Browser oder Plugins selbst kompromittieren.
Diese Art von Kompromittierung ist nicht nur auf Ihren Webbrowser beschränkt - bösartige E-Mail-Nachrichten können Sie auch dazu verleiten, unsichere Anhänge zu öffnen oder unsichere Dateien herunterzuladen. Jedoch sind viele Menschen mit allem, von Adware und anstößigen Browser-Symbolleisten bis hin zu Viren und Trojanern, über Social-Engineering-Tricks infiziert, die in ihren Browsern stattfinden.
- ActiveX-Steuerelemente : Internet Explorer verwendet ActiveX-Steuerelemente für seine Browser-Plugins. Jede Website kann Sie auffordern, ein ActiveX-Steuerelement herunterzuladen. Dies kann legitim sein - zum Beispiel müssen Sie möglicherweise das Flash Player ActiveX-Steuerelement herunterladen, wenn Sie ein Flash-Video zum ersten Mal online abspielen. ActiveX-Steuerelemente sind jedoch wie jede andere Software auf Ihrem System und haben die Erlaubnis, den Webbrowser zu verlassen und auf den Rest Ihres Systems zuzugreifen. Eine bösartige Website, die ein gefährliches ActiveX-Steuerelement anstößt, könnte sagen, dass das Steuerelement für den Zugriff auf bestimmte Inhalte erforderlich ist, aber möglicherweise existiert es, um Ihren Computer zu infizieren. Im Zweifelsfall sind Sie nicht bereit, ein ActiveX-Steuerelement auszuführen.
- Automatisches Herunterladen von Dateien : Eine bösartige Website versucht möglicherweise, eine EXE-Datei oder eine andere Art gefährlicher Datei automatisch auf Ihren Computer herunterzuladen, in der Hoffnung, dass Sie sie ausführen. Wenn Sie nicht ausdrücklich einen Download angefordert haben und nicht wissen, was das ist, laden Sie keine Datei herunter, die automatisch erscheint, und fragt Sie, wo sie gespeichert werden soll.
- Fake Download Links : Auf Websites mit schlechten Werbenetzwerken - oder Websites, auf denen Raubkopien gefunden werden - sehen Sie oft Werbung, die Download-Buttons imitiert. Diese Anzeigen versuchen, Leute dazu zu bringen, etwas herunterzuladen, nach dem sie nicht suchen, indem sie sich als echten Download-Link tarnen. Es besteht eine gute Chance, dass Links wie diese Malware enthalten.
- "Sie brauchen ein Plugin, um dieses Video anzuschauen" : Wenn Sie auf einer Website stolpern, die besagt, dass Sie ein neues Browser-Plug-in oder einen Codec installieren müssen, um ein Video abzuspielen, sollten Sie sich in Acht nehmen. Sie benötigen möglicherweise ein neues Browser-Plugin für einige Dinge - zum Beispiel benötigen Sie Microsofts Silverlight-Plugin, um Videos auf Netflix abzuspielen - aber wenn Sie auf einer weniger seriösen Website sind, möchten Sie, dass Sie eine EXE-Datei herunterladen und ausführenIn ihren Videos besteht eine gute Chance, dass sie versuchen, Ihren Computer mit bösartiger Software zu infizieren.
- "Ihr Computer ist infiziert" : Möglicherweise sehen Sie in Werbungen, dass Ihr Computer infiziert ist, und darauf, dass Sie eine EXE-Datei herunterladen müssen, um Dinge zu bereinigen. Wenn Sie diese EXE-Datei herunterladen und ausführen, wird Ihr Computer wahrscheinlich infiziert.
Dies ist keine erschöpfende Liste. Böswillige Menschen sind ständig auf der Suche nach neuen Wegen, um Menschen auszutricksen.
Wie immer können Sie mit einem Antivirenprogramm geschützt werden, wenn Sie versehentlich ein schädliches Programm herunterladen.
Dies sind die Möglichkeiten, wie der durchschnittliche Computerbenutzer( und sogar die Mitarbeiter von Facebook und Apple) ihre Computer über ihre Browser "hacken" lassen. Wissen ist Macht und diese Informationen sollten dir helfen, dich online zu schützen.
