Betrugsmasche Cryptojacking Wenn Sie surfen - und Kriminelle schürfen

Ihr Computer oder Smartphone wird plötzlich heiß? Vielleicht schürft das Gerät heimlich Kryptogeld für Kriminelle. Auf dem Hackerkongress 35C3 erklärt ein Forscher, was es mit dem "Cryptojacking" auf sich hat.

REUTERS

Von


Was haben die Netzauftritte von Fußballstar Cristiano Ronaldo und der gemeinnützigen Organisation Make-a-Wish mit indischen Behörden-Websites gemeinsam? Sie alle wurden schon einmal von Kriminellen so manipuliert, dass sie die Rechenleistung der Computer und Smartphones ihrer Besucher kaperten. Bis die Betreiber der Angebote merkten, was los war, schürften die Geräte der Website-Besucher nach der Digitalwährung Monero - immer solange, wie die Seiten im Browser geöffnet waren.

Internetsurfer werden ohne ihr Wissen Krypto-Schürfer: Diese Betrugsmasche, die auch mit anderen Digitalwährungen funktioniert, heißt Cryptojacking - kombiniert aus "Cryptocurrency" (Kryptowährung) und "Hijacking" (Entführung). Der Angriff über den Browser schadet dem Gerät in der Regel nicht unmittelbar, davon abgesehen, dass es wegen der Rechenvorgänge oft heiß oder lauter wird. Er ist aber doch ärgerlich, weil Dritte hier quasi Akkuleistung oder Strom sowie Bandbreite von ihren Opfern abgreifen.

Seit Beginn des Bitcoin-Hypes 2017 hat Cryptojacking viele Schlagzeilen gemacht, auch im Kontext von Krypto-Trojanern, die sich als Spiel oder App tarnen, nach dem Download aufs Gerät aber ebenfalls heimlich Kryptowährungen errechnen. Wissenschaftlich untersucht wurde das Phänomen indes kaum.

Es kann fast jeden treffen

Marius Musch, 27 Jahre alt und Doktorand im Bereich IT-Sicherheit, motivierte das, sich mit der browserbasierten Variante zu beschäftigen, die Nutzer aller großen Browser mit aktiviertem JavaScript treffen kann. Mit seinen Kollegen Christian Wressnegger, Martin Johns und Konrad Rieck hat Musch an der TU Braunschweig die Forschungsarbeit "Web-based Cryptojacking in the Wild" geschrieben, die er am Samstagabend auf dem Hackerkongress 35C3 des Chaos Computer Clubs (CCC) in Leipzig vorstellen wird (hier finden Sie eine Videoaufnahme).

Muschs Untersuchung kommt zu dem Ergebnis, dass im Mai 2018 im Schnitt eine von 500 der laut Alexa eine Million populärsten Websites Cryptojacking-Code an Bord hatte. "Cryptojacking wird wohl umso attraktiver, je höher der Monero-Kurs ist", sagt der Forscher dem SPIEGEL.

Marius Musch

Marius Musch

In manchen Fällen könnten Kriminelle den sogenannten Miner, einen kurzen JavaScript-Code, der das Monero-Schürfen auslöst, ohne Wissen der Websitebetreiber in deren Angebote eingeschleust haben, glaubt Musch, etwa durchs Ausnutzen einer Sicherheitslücke. Ebenso liegt es aber nahe, dass Seitenbetreiber selbst versuchen, von ihren Besuchern ein wenig mehr als nur ihre Aufmerksamkeit zu bekommen.

Schwer zu entdecken

Dass beim Cryptojacking oft unklar ist, wer Täter und wer Opfer ist, hat Gründe: So sind etwa die Profiteure kaum zu identifizieren, weil Monero eine Digitalwährung mit vergleichsweise starken Sicherheitsmechanismen ist. Hinzu kommt, dass viele Nutzer es wohl gar nicht mitbekommen, wenn sie in eine Cryptojacking-Falle tappen. Meistens werden betroffene Geräte einfach nur warm - und sobald man weitersurft, ist wieder Schluss mit der Monero-Berechnung.

"Es ist von außen extrem schwer, zu erkennen, ob irgendwo ein Miner läuft", sagt Marius Musch. "Am ehesten fällt es wohl noch bei Smartphones oder Laptops auf, bei denen man auf den Batteriestand achtet und die man in der Hand oder auf dem Schoß hat."

Doch nicht mal das Warmwerden ist ein klares Indiz. Websites können auch einfach schlecht programmiert sein und einem Rechner viel Arbeit abverlangen. Hinzu kommt: Beim Cryptojacking lässt sich festlegen, wie viel Prozent der Rechenleistung fürs Monero-Schürfen zum Einsatz kommen soll. "Je weniger Leistung abgerufen wird, umso schwerer sind Attacken zu bemerken", sagt Musch, dessen Erfahrung nach auch viele Adblocker-Listen und ähnliche Programme beim Erkennen von Cryptojacking-Code versagen.

Es gab lukrativere Zeiten

Zu Muschs interessantesten Erkenntnissen zählt die, was Cryptojacking überhaupt einbringt: Die Durchschnittseinnahmen, die sich je Miner pro Website und Tag erzielen lassen, werden in der Braunschweiger Studie auf 5,8 Dollar pro Tag geschätzt. Beliebte Seiten würden wohl dreistellige Dollar-Einnahmen erzielen, heißt es.

In der Studie wurde allerdings noch mit einem Monero-Kurs von 225 Dollar gerechnet - im Dezember ist der Kurs bei deutlich unter 50 Dollar angekommen, die Einnahmen pro eingesetztem Miner dürften also mittlerweile deutlich niedriger ausfallen.

"Cryptojacking kann sich trotzdem noch lohnen", sagt Marius Musch - etwa, wenn man über einen langen Zeitraum Einnahmen generiert oder wenn man durch einen Hack zeitweise eine sehr große Website unter seine Kontrolle bringt: "Man hat ja keine Unkosten, für den Strom zahlen die Seitenbesucher."

Allgemein ergebe Cryptojacking vor allem auf Websites Sinn, die Nutzer länger geöffnet lassen, sagt der Forscher. Miner entdeckte er vergleichsweise oft auf Entertainment- und Pornografie-Seiten. Auf Videoseiten habe der Einsatz zwei Vorteile, sagt Musch: "Zum einen schauen Nutzer dort vielleicht einen kompletten Film, zum anderen sind sie vermutlich abgelenkt. Wer etwas mit Ton schaut, kriegt nicht mehr so gut mit, was sein Gerät macht."

Der wahre Profiteur

Bei seinen Untersuchungen ist Musch auch noch aufgefallen, dass viele Kriminelle keinen selbst geschriebenen Code auf fremden Websites unterbringen, sondern gewissermaßen Vorlagen verwenden. Die am weitesten verbreitete ist als Coinhive-Miner bekannt und seit September 2017 verfügbar.

Dieser Miner macht die Cryptojacking-Attacke leicht, hat aber den Nebeneffekt, dass 30 Prozent der Monero-Einnahmen direkt bei den bislang unbekannten Coinhive-Hintermännern bleiben. "Die haben das eigentlich lukrative Geschäft", sagt Musch. "Sie stellen die Infrastruktur und kriegen ihren Anteil, ohne sich selbst um ein Einbau des Miners kümmern zu müssen. Den Ärger haben die anderen."

Dass es bald technische Lösungen gibt, die Cryptojacking effektiv unterbinden, glaubt Musch nicht. Seiner Einschätzung nach hat das Thema bei den Browser-Anbietern derzeit keine Priorität. "Denkbar wäre ja zum Beispiel ein Warnsymbol im Stile des Audiosymbols, das etwa der Chrome-Browser anzeigt, wenn in einem Tab etwas mit Ton läuft", sagt Musch.

Bis auf Weiteres müssen Nutzer also selbst darauf achten, ob ihr Gerät plötzlich lauter oder wärmer ist, oder man deaktiviert JavaScript sicherheitshalber gänzlich (mit dem Nachteil, dass manche Seiten nicht mehr wie gewohnt funktionieren). Oder man hofft einfach, dass es mit dem Monero-Kurs weiter abwärts geht.


Video-Tipp: Hier Sie finden ein Video des Vortrags.



insgesamt 26 Beiträge
Alle Kommentare öffnen
Seite 1
JürgenHammerbeck 29.12.2018
1. crypto mining blocker add-ons?
Gibt es irgend welche Erfahrungen mit crypto mining blocker add-ons?
LauraD 29.12.2018
2. Browser Security
Jeder(!) sollte seine (stets aktualisierten) Browser einerseits mit 'HTTPs Everywhere', andererseits mit 'NoScript' oder mindestens 'UMatrix' absichern, auch wenn das in den beiden letztgenannten Fällen mit etwas Zusatzarbeit verbunden sein mag. Wie im Artikel beschrieben, den meisten Schadcode holt man sich über Werbung. Sichere Browser sind zB Firefox oder Brave (gerade auf Smartphones extrem performant). Vor Browsern von MS oder Google muß aus anderen Gründen gewarnt werden, wobei Chrome nicht dasselbe wie Chromium (Open Source Unterbau für viele Drittbrowser) ist. Dann noch etwas Augen auf beim Surfen, dann klappts auch mit der Sicherheit :) Wobei man sich davon frei machen sollte, daß es 100%igen Schutz gibt, da ist das Web auch nicht anders als das (echte) Leben ;)
Referendumm 29.12.2018
3.
So ganz verstehen tue ich es nicht – vielleicht kann mir einer weiter helfen: 1.) Im Beitrag wird mir zu viel und undifferenziert zwischen den Betreibern bzw. der Software einer Webseite sowie den Endusern, die diese Webseite betrachten, hin- und hergeswitcht. Fragen dazu wären z.B.: Wenn ich eine Webseite betrachte, wird dann welche Software auf meinen Enduser-Computer (Notebook und Smartphone) in der Regel geladen? Und wieso bekomme ich als Enduser das nicht mit? Sollte eine Schad-Software (für welches Betriebssystem eigentlich?) von der besuchten Internet-Webseite auf meinen Rechner gelangen, warum merkt es dann keine Anti-Virus-Software? 2.) Bin ich selber Betreiber einer Webseite und habe ich die Software für diese Webseite mittels eines HTML-Editors selbst erstellt, bekomme ich das Cryptojacking nicht mit, weil? Warum bekommt der Provider, auf dessen Server ich meine HTML- Software hochlade, gar nichts mit, weil? 3.) ″Wissenschaftlich untersucht wurde das Phänomen indes kaum.″ Warum nicht bzw. warum interessiert es die Anbieter von Antivirus-SW nicht? 4.) Sind bei allen modernen und voll aktuellen Browsern die Nutzung von JavaScript immer noch stets voll aktiviert? Ist das wirklich immer noch so, oder? Bei welchen Betriebssystem? Oder bei allen, also inkl. Wondows, Linux und iOS? 5.) Warum ist der Miner, die Cryptojacking-SW so schwer zu entdecken? Was macht ihn besonders vs. andere Virus, Maleware etc. Software, die ebenso JavaScript nutzt? JavaScript ist ja nicht erst seit gestern als Einfallstor für ne Vielzahl an Viren, Maleware etc. bekannt. 6.) "Es ist von außen extrem schwer, zu erkennen, ob irgendwo ein Miner läuft" – aha, aber Viren, Würmer und andere Maleware sind von außen leichter zu erkennen? Falls ja, warum, wieso, weshalb? 7.) "Man hat ja keine Unkosten, für den Strom zahlen die Seitenbesucher." Seit wann zahlen die Seitenbesucher für die Leistung der Server der Webseitenbetreiber? Wie geht das? Zahle ich etwa Stromkosten für alle Server von amazon, google, twitter etc.? Wie geht das?
Referendumm 29.12.2018
4.
8.) ″Allgemein ergebe Cryptojacking vor allem auf Websites Sinn, die Nutzer länger geöffnet lassen, sagt der Forscher. Miner entdeckte er vergleichsweise oft auf Entertainment- und Pornografie-Seiten.″ Häh? Welcher Nutzer lässt Pornoseiten lange geöffnet? Welcher Nutzer lässt Entertainment-Seiten lange geöffnet? Gut, letzteres schon eher als Pornoseiten. 9.) Zum Coinhive-Miner: ″dass 30 Prozent der Monero-Einnahmen direkt bei den bislang unbekannten Coinhive-Hintermännern bleiben″ - danke, eins meiner Lieblingsthemen. Merkwürdig immer, dass wenn die Polizei etwas wirklich herausbekommen will, sich das ach so anonyme Internet und selbst das Darknet als noch nicht mal halbwegs anonym herausstellt. Aber, weils keinen juckt und nur der doofe Bürger mal wieder betroffen ist, kümmert sich keiner unserer ach so tollen Sicherheitskräfte darum. Danke, schon seit Jahrzehnten so verstanden. Dazu ganz passend: ″Dass es bald technische Lösungen gibt, die Cryptojacking effektiv unterbinden, glaubt Musch nicht.″ 10.) "Denkbar wäre ja zum Beispiel ein Warnsymbol im Stile des Audiosymbols, das etwa der Chrome-Browser anzeigt, wenn in einem Tab etwas mit Ton läuft", sagt Musch. Häh? Spielt der Miner etwa ″God save the queen″, ″The Star-Spangled Banner″oder ″Gimn Rossijskoi Federazii″? 11.) ″man deaktiviert JavaScript sicherheitshalber gänzlich (mit dem Nachteil, dass manche Seiten nicht mehr wie gewohnt funktionieren)″ - Webseiten, die aktuell immer noch das Viren-Einfallstor JavaScript nutzen, sollte man gleich komplett ignorieren – das ärgert mich übrigens auch massiv an den SPON-Seiten. Und warum man hier Werbung für Alexa.com, eines amazon-Ablegers macht, entzieht sich auch einer fundierten Analyse. Frechheit! Aber danke für den Beitrag. Kaufe mir jetzt einen Thermofühler für meinen Hauptrechner und Smartphone.
www-professor 29.12.2018
5. Niedlich, nicht wahr?
Zitat von Referendumm8.) ″Allgemein ergebe Cryptojacking vor allem auf Websites Sinn, die Nutzer länger geöffnet lassen, sagt der Forscher. Miner entdeckte er vergleichsweise oft auf Entertainment- und Pornografie-Seiten.″ Häh? Welcher Nutzer lässt Pornoseiten lange geöffnet? Welcher Nutzer lässt Entertainment-Seiten lange geöffnet? Gut, letzteres schon eher als Pornoseiten. 9.) Zum Coinhive-Miner: ″dass 30 Prozent der Monero-Einnahmen direkt bei den bislang unbekannten Coinhive-Hintermännern bleiben″ - danke, eins meiner Lieblingsthemen. Merkwürdig immer, dass wenn die Polizei etwas wirklich herausbekommen will, sich das ach so anonyme Internet und selbst das Darknet als noch nicht mal halbwegs anonym herausstellt. Aber, weils keinen juckt und nur der doofe Bürger mal wieder betroffen ist, kümmert sich keiner unserer ach so tollen Sicherheitskräfte darum. Danke, schon seit Jahrzehnten so verstanden. Dazu ganz passend: ″Dass es bald technische Lösungen gibt, die Cryptojacking effektiv unterbinden, glaubt Musch nicht.″ 10.) "Denkbar wäre ja zum Beispiel ein Warnsymbol im Stile des Audiosymbols, das etwa der Chrome-Browser anzeigt, wenn in einem Tab etwas mit Ton läuft", sagt Musch. Häh? Spielt der Miner etwa ″God save the queen″, ″The Star-Spangled Banner″oder ″Gimn Rossijskoi Federazii″? 11.) ″man deaktiviert JavaScript sicherheitshalber gänzlich (mit dem Nachteil, dass manche Seiten nicht mehr wie gewohnt funktionieren)″ - Webseiten, die aktuell immer noch das Viren-Einfallstor JavaScript nutzen, sollte man gleich komplett ignorieren – das ärgert mich übrigens auch massiv an den SPON-Seiten. Und warum man hier Werbung für Alexa.com, eines amazon-Ablegers macht, entzieht sich auch einer fundierten Analyse. Frechheit! Aber danke für den Beitrag. Kaufe mir jetzt einen Thermofühler für meinen Hauptrechner und Smartphone.
Man kann nur amüsiert sein. Da hat der Hauptnervtöter im Netz, die SPON, auch noch den Tipp parat, Javascript abzuschalten. Wer schon mal den Adblocker versucht hat, weiß dass SPON dann (wie viele andere auch) sofort die Klappe zu macht. Es besteht also Krieg zwischen Usern, die sich nicht belästigen lassen wollen und Anbietern, die auf Teufel komm raus Einkünfte erzielen wollen. Nehmen wir es so: die SPON-Redakteure sind für Werbeblocker, nur die Finanzabteilung hat die besseren Trümpfe. Dann also weiter Gute-Nacht, lieber SPON.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.