Wenn Sie surfen – und Kriminelle schürfen

Ihr Computer oder Smartphone wird plötzlich heiß? Vielleicht schürft das Gerät heimlich Kryptogeld für Kriminelle. Auf dem Hackerkongress 35C3 erklärt ein Forscher, was es mit dem „Cryptojacking“ auf sich hat.

REUTERS

Was haben die Netzauftritte von Fußballstar Cristiano Ronaldo und der gemeinnützigen Organisation Make-a-Wish mit indischen Behörden-Websites gemeinsam? Sie alle wurden schon einmal von Kriminellen so manipuliert, dass sie die Rechenleistung der Computer und Smartphones ihrer Besucher kaperten. Bis die Betreiber der Angebote merkten, was los war, schürften die Geräte der Website-Besucher nach der Digitalwährung Monero – immer solange, wie die Seiten im Browser geöffnet waren.

Internetsurfer werden ohne ihr Wissen Krypto-Schürfer: Diese Betrugsmasche, die auch mit anderen Digitalwährungen funktioniert, heißt Cryptojacking – kombiniert aus „Cryptocurrency“ (Kryptowährung) und „Hijacking“ (Entführung). Der Angriff über den Browser schadet dem Gerät in der Regel nicht unmittelbar, davon abgesehen, dass es wegen der Rechenvorgänge oft heiß oder lauter wird. Er ist aber doch ärgerlich, weil Dritte hier quasi Akkuleistung oder Strom sowie Bandbreite von ihren Opfern abgreifen.

Seit Beginn des Bitcoin-Hypes 2017 hat Cryptojacking viele Schlagzeilen gemacht, auch im Kontext von Krypto-Trojanern, die sich als Spiel oder App tarnen, nach dem Download aufs Gerät aber ebenfalls heimlich Kryptowährungen errechnen. Wissenschaftlich untersucht wurde das Phänomen indes kaum.

Es kann fast jeden treffen

Marius Musch, 27 Jahre alt und Doktorand im Bereich IT-Sicherheit, motivierte das, sich mit der browserbasierten Variante zu beschäftigen, die Nutzer aller großen Browser mit aktiviertem JavaScript treffen kann. Mit seinen Kollegen Christian Wressnegger, Martin Johns und Konrad Rieck hat Musch an der TU Braunschweig die Forschungsarbeit „Web-based Cryptojacking in the Wild“ geschrieben, die er am Samstagabend auf dem Hackerkongress 35C3 des Chaos Computer Clubs (CCC) in Leipzig vorstellen wird (hier finden Sie eine Videoaufnahme).

Muschs Untersuchung kommt zu dem Ergebnis, dass im Mai 2018 im Schnitt eine von 500 der laut Alexa eine Million populärsten Websites Cryptojacking-Code an Bord hatte. „Cryptojacking wird wohl umso attraktiver, je höher der Monero-Kurs ist“, sagt der Forscher dem SPIEGEL.

Marius Musch

In manchen Fällen könnten Kriminelle den sogenannten Miner, einen kurzen JavaScript-Code, der das Monero-Schürfen auslöst, ohne Wissen der Websitebetreiber in deren Angebote eingeschleust haben, glaubt Musch, etwa durchs Ausnutzen einer Sicherheitslücke. Ebenso liegt es aber nahe, dass Seitenbetreiber selbst versuchen, von ihren Besuchern ein wenig mehr als nur ihre Aufmerksamkeit zu bekommen.

Schwer zu entdecken

Dass beim Cryptojacking oft unklar ist, wer Täter und wer Opfer ist, hat Gründe: So sind etwa die Profiteure kaum zu identifizieren, weil Monero eine Digitalwährung mit vergleichsweise starken Sicherheitsmechanismen ist. Hinzu kommt, dass viele Nutzer es wohl gar nicht mitbekommen, wenn sie in eine Cryptojacking-Falle tappen. Meistens werden betroffene Geräte einfach nur warm – und sobald man weitersurft, ist wieder Schluss mit der Monero-Berechnung.

„Es ist von außen extrem schwer, zu erkennen, ob irgendwo ein Miner läuft“, sagt Marius Musch. „Am ehesten fällt es wohl noch bei Smartphones oder Laptops auf, bei denen man auf den Batteriestand achtet und die man in der Hand oder auf dem Schoß hat.“

Doch nicht mal das Warmwerden ist ein klares Indiz. Websites können auch einfach schlecht programmiert sein und einem Rechner viel Arbeit abverlangen. Hinzu kommt: Beim Cryptojacking lässt sich festlegen, wie viel Prozent der Rechenleistung fürs Monero-Schürfen zum Einsatz kommen soll. „Je weniger Leistung abgerufen wird, umso schwerer sind Attacken zu bemerken“, sagt Musch, dessen Erfahrung nach auch viele Adblocker-Listen und ähnliche Programme beim Erkennen von Cryptojacking-Code versagen.

WERBUNG

Beteiligung im Projekt „Betreutes Wohnen“ mit realistischer Rendite

Es gab lukrativere Zeiten

Zu Muschs interessantesten Erkenntnissen zählt die, was Cryptojacking überhaupt einbringt: Die Durchschnittseinnahmen, die sich je Miner pro Website und Tag erzielen lassen, werden in der Braunschweiger Studie auf 5,8 Dollar pro Tag geschätzt. Beliebte Seiten würden wohl dreistellige Dollar-Einnahmen erzielen, heißt es.

In der Studie wurde allerdings noch mit einem Monero-Kurs von 225 Dollar gerechnet – im Dezember ist der Kurs bei deutlich unter 50 Dollar angekommen, die Einnahmen pro eingesetztem Miner dürften also mittlerweile deutlich niedriger ausfallen.

„Cryptojacking kann sich trotzdem noch lohnen“, sagt Marius Musch – etwa, wenn man über einen langen Zeitraum Einnahmen generiert oder wenn man durch einen Hack zeitweise eine sehr große Website unter seine Kontrolle bringt: „Man hat ja keine Unkosten, für den Strom zahlen die Seitenbesucher.“

Allgemein ergebe Cryptojacking vor allem auf Websites Sinn, die Nutzer länger geöffnet lassen, sagt der Forscher. Miner entdeckte er vergleichsweise oft auf Entertainment- und Pornografie-Seiten. Auf Videoseiten habe der Einsatz zwei Vorteile, sagt Musch: „Zum einen schauen Nutzer dort vielleicht einen kompletten Film, zum anderen sind sie vermutlich abgelenkt. Wer etwas mit Ton schaut, kriegt nicht mehr so gut mit, was sein Gerät macht.“

Der wahre Profiteur

Bei seinen Untersuchungen ist Musch auch noch aufgefallen, dass viele Kriminelle keinen selbst geschriebenen Code auf fremden Websites unterbringen, sondern gewissermaßen Vorlagen verwenden. Die am weitesten verbreitete ist als Coinhive-Miner bekannt und seit September 2017 verfügbar.

Dieser Miner macht die Cryptojacking-Attacke leicht, hat aber den Nebeneffekt, dass 30 Prozent der Monero-Einnahmen direkt bei den bislang unbekannten Coinhive-Hintermännern bleiben. „Die haben das eigentlich lukrative Geschäft“, sagt Musch. „Sie stellen die Infrastruktur und kriegen ihren Anteil, ohne sich selbst um ein Einbau des Miners kümmern zu müssen. Den Ärger haben die anderen.“

Dass es bald technische Lösungen gibt, die Cryptojacking effektiv unterbinden, glaubt Musch nicht. Seiner Einschätzung nach hat das Thema bei den Browser-Anbietern derzeit keine Priorität. „Denkbar wäre ja zum Beispiel ein Warnsymbol im Stile des Audiosymbols, das etwa der Chrome-Browser anzeigt, wenn in einem Tab etwas mit Ton läuft“, sagt Musch.

Bis auf Weiteres müssen Nutzer also selbst darauf achten, ob ihr Gerät plötzlich lauter oder wärmer ist, oder man deaktiviert JavaScript sicherheitshalber gänzlich (mit dem Nachteil, dass manche Seiten nicht mehr wie gewohnt funktionieren). Oder man hofft einfach, dass es mit dem Monero-Kurs weiter abwärts geht.

%d Bloggern gefällt das: