Gefälschte Zugriffe im Netz [Hintergrund]

Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe

Bei Cross-Site-Request-Forgery-Attacken (XSRF) setzen sich Angreifer über Sicherheitsvorkehrungen des Servers hinweg und schieben die Schuld einem Opfer zu, indem sie sich seine Identität zu eigen machen.

Wenn es nach Hackern ginge, würden sie am liebsten gar keine Spuren hinterlassen. Eine XRSF-Attacke (Cross-Site Request Forgery, XSRF, CSRF) basiert auf gefälschten Anfragen, die ausgeführt werden, weil der Webserver einem vermeintlich authentifizierten Benutzer Vertrauen schenkt. Diese Angriffsmethode ist auch unter den Namen One-Click-Attack, Sitejacking und Session Riding bekannt.

XSRF-Attacken können verheerende Folgen haben. Und da sie meistens keine verwertbaren Spuren hinterlassen, werden sie oft wiederholt ignoriert. Eine koreanische Handelsplattform nahm einen XSRF-Angriff auf ihre Infrastruktur offenbar erst zur Kenntnis, nachdem persönliche Daten von 18 Millionen Kunden in die falschen Hände gerieten.

Bei einem amerikanischen DVD-Verleihdienst konnten Angreifer die Lieferadresse in einem Benutzerkonto ändern und sich die Filme aussuchen. Bei einem niederländischen Onlinebanking-Dienst durften Angreifer aufgrund einer XSRF-Verwundbarkeit des Systems im Auftrag des Betroffenen Überweisungen ausführen und neue Bankkonten in seinem Namen eröffnen.

Kunden einer mexikanischen Bank, die einem HTML-Tag in einer E-Mail zum Opfer fielen, wurden durch ihre gehackten Heim-Router an eine gefälschte Webbanking- Adresse verwiesen. Diese Aufzählung ließe sich lange und mit vielen bekannten Namen fortsetzen.

Alle diese Attacken erfolgten scheinbar im Auftrag der betroffenen Benutzer und mit gültiger Authentifizierung durch die Web-Applikation.

Bilder und Javascript

Im Zentrum einerXSRF-Attacke steht üblicherweise ein HTML-<img>-Tag oder ein JavaScript-Image()-Object, der ganz automatisch den Aufruf einer Adresse des Opfer-Systems nach sich zieht, zum Beispiel:

<img src="http://onlinebanking/ueber
weisungsauftrag.cgi?von=123456741&an=456789123&betrag=8000&datum=20090901" width="0" height="0" />

Bösartiger Code dieser Art taucht in Spam-Nachrichten und im Quelltext von Webseiten auf und kann durch bloßes Lesen der verseuchten Inhalte ausgeführt werden. E-Mail-Clients wie Postbox können das Laden von Bildern in E-Mails aus unbekannten Quellen unterdrücken.

Spammer nutzen jedoch oft als Absenderadresse die E-Mail-Adresse des Empfängers und somit ist der Schutz wirkungslos. Der Code kann sogar auf eine echte Bilddatei verweisen. In diesem Fall wird der Aufruf mithilfe von HTTP-Redirection auf ein Skript umgelenkt und damit auch eine Firewall umgangen.

Sollte der betroffene Benutzer ein eigenes Konto auf dem Zielsystem besitzen und noch eingeloggt sein, wird ihn die Web-Applikation mithilfe der in seinem Webbrowser gespeicherten Cookies leicht wiedererkennen. So wird die gefälschte Anfrage - in unserem Beispiel eine Onlinebanking-Übberweisung - im Auftrag des völlig ahnungslosen Benutzers ausgeführt.Das Opfer wird seine Unschuld nicht beweisen können und muss daher mit hoher Wahrscheinlichkeit die Konsequenzen tragen. Während die XSRF-Attacke zulasten des betroffenen Benutzers fällt, ist dem Betreiber der Webseite die eigentliche Ursache des Problems nicht wirklich bewusst und so wird diese nicht behoben.

Sicherheit: Cross Site Request Forgery

© Archiv

Eine XSRF-Attacke auf den amerikanischen DVD-Verleihdienst Netflix resultierte in umfassenden Manipulationen zahlreicher Benutzeraccounts.

Mehr zum Thema

Youtube Sperre umgehen GEMA
Videos freischalten

So umgehen Sie die GEMA-Sperre bei Youtube. Was Sie dazu brauchen, und wie es am einfachsten geht.
Neue Fritzboxen unterstützen den AC-Standard.
WLAN-Geschwindigkeit verdoppeln

Mehr WLAN-Geschwindigkeit: Mit dem WLAN-Standard 802.11ac und den richtigen Geräten und Einstellungen verdoppeln Sie den Datendurchsatz.
Netflix auf dem TV
Programm in der Übersicht

Welche Filme und Serien gibt es bei Netflix eigentlich zu sehen? Was ist neu im Streaming-Angebot? Diese Antworten helfen weiter.
Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
E.T. – Der Außerirdische
Vorschau auf Film- und Serien-Highlights

Amazon Prime Instant Video lockt im Dezember 2016 mit Film-Highlights wie "E.T.", "Fast & Furious 7" und der Serie "Ku’damm 56​".