Sicherheitsanalyse zu Clickadpays – Ein Paradies für Hacker?

Sicherheitsanalyse zu Clickadpays – Ein Paradies für Hacker?

Wie man sich vor Hackern und Malware schützt.

Click ad pays erfreuen sich zunehmender Beliebtheit. Sie versprechen meist Unternehmern kostengünstige Werbung und Privatpersonen passives Einkommen von zuhause aus. Das Prinzip ist einfach und immer recht ähnlich: Die Benutzer, egal ob Privatperson oder Unternehmer, müssen sich täglich Werbungen ansehen und bekommen im Gegenzug eine kleine Aufwandsentschädigung, Werbepakete, Gewinnausschüttungen oder Ähnliches.

In einigen Fällen sieht man auf einer Übersichtsseite viele kleine Banner und Werbetexte. Diese Banner verlinken wiederum auf die Webseiten der Werbenden (bzw. auf eine andere Seite in der dann die Webseite des Werbenden per iFrame eingebunden ist). Hat man die Webseite des Werbenden dann eine bestimmte Zeit lang angesehen, so darf man sie verlassen und auf die nächste Werbung klicken. Je nach Plattform variiert die Anzahl der zu besuchenden Werbungen und die Art und Höhe der Belohnung dafür. Die meisten Benutzer sehen vor allem die Möglichkeit Geld mit den Netzwerken zu verdienen, die Gefahren werden dabei leider häufig außer Acht gelassen.

Tipp: Du kannst die Erläuterungen gerne überspringen und zum Abschnitt “Wie schütze ich mich” gehen um zu sehen wie du dich schützen kannst!

 

Die Gefahr dabei

Der Benutzer wird, auf eine ihm unbekannte Seite, weitergeleitet. Diese kann vom Inhalt her dem Werbebanner entsprechen, muss es aber nicht. Ebenso kann sie zwar legitime Inhalte enthalten, im Hintergrund aber versuchen den Besucher der Webseite mit Malware zu infizieren. Das Ganze könnte folgen ablaufen:

  1. Der Benutzer eines Click ad pays klickt auf einen Banner so wie jeden Tag um sich 10 Webseiten anzusehen und dafür durchs Werbenetzwerk belohnt zu werden
  2. Nachdem der Benutzer weitergeleitet wird, werden diesem legitime Inhalte angezeigt. Zum Beispiel: Werbung für Produkte, Informationen zu passiven Einkommensmöglichkeiten, Rezepte, usw.
  3. Unbemerkt im Hintergrund wird jedoch im Browser des Benutzer eine bösartige Software ausgeführt. Diese hat der Betreiber der Webseite platziert um die Besucher zu infizieren und Vollzugriff auf deren Computer und ihre Daten zu bekommen. Die Schadsoftware scannt den Browser des Benutzer im ersten Schritt nach Schwachstellen ab, wie zum Beispiel ein veraltetes Flash – Plugin. Wird eine Schwachstelle gefunden, so wird diese im nächsten Schritt ausgenutzt um ohne Kenntnis des Benutzer eine Schadsoftware auf dem PC zu installieren. Mit Hilfe dieser Software kann der Angreifer dann weitere Programme, wie zum Beispiel einen Keylogger oder eine Ransomware nachinstallieren. Was dann folgt sind meistens Datendiebstahl, Erpressung oder ähnliches.

Wie ist das Ganze möglich?

Möglich werden solche Angriffe durch einen Code der im Browser des Benutzers ausgeführt wird. Dieser Code ist in der “Programmiersprache des Webs”, also in JavaScript geschrieben. An sich ist JavaScript nichts schlechtes und ermöglicht erst die Vielzahl an modernen Webseiten und Webanwendungen. So können mit Hilfe von JavaScript zum Beispiel Daten im Hintergrund von einem Server nachgeladen werden ohne die Webseite neu laden zu müssen. Ein Beispiel dafür sind die Statusmeldungen von Facebook, die immer automatisch nachgeladen werden sobald der Benutzer zum Ende der Seite scrollt.

Prinzipiell wird der JavaScript-Code in einer sogenannten Sandbox ausgeführt. Diese soll verhindern, dass der Code einer Webseite unbefugte Dinge macht und Schaden anrichten kann. Häufig kommt es aber (so wie überall) zu Fehlern im Browser oder in Plugins (zb. Flash, PDF-Viewer, …), die es möglich machen aus dieser Sandbox auszubrechen. Und genau, solche Möglichkeiten nutzt bösartige Software um dich zu infizieren.

Im Normalfall kommt der 0815-Internetbenutzer eher selten auf Seiten, die versuchen ihm mit bösartiger Software zu infizieren. Das kommt daher, dass der Benutzer nur Seiten ansurft welche er kennt und denen er vertraut. Durch das Klicken auf Werbung in Werbeplattformen kommst du aber auf viele verschiedene Seiten ohne vorher zu wissen wer oder was dahinter steckt. Und genau da liegt auch die Gefahr.

Wie schütze ich mich?

Zum Glück gibt es einfache Möglichkeiten um sich zu schützen:

Zuerst die Basics, die du ohnehin immer beachten solltest:

  • Verwende einen aktuellen Browser, der automatisch Sicherheitsupdates durchführt. Mozilla Firefox und Google Chrome sind Beispiele für solche Browser.
  • Verwende einen Virenschutz der automatisch Sicherheitsupdates durchführt, wie zum Beispiel Avira, Kasperky oder Avast.
  • Halte dein Betriebssystem up to date. Automatische Betriebssystem-Updates sind Pflicht!
  • Aktiviere die Firewall deines Virenschutzes oder die deines Betriebssystems.
  • Deaktiviere und deinstalliere den Flash Player und Java, sofern du diese Programme installiert hast. Beide Programme haben sich in der Vergangenheit als sehr unsicher und anfällig für Viren herausgestellt. Inzwischen haben die Browser schon standardmäßig einen Videoplayer eingebaut – das heißt du benötigst den Flashplayer nicht mehr.

Nun zu den speziellen Tipps für die Verwendung von Click ad pays:

  1. Verwende einen Browser den du ansonsten nicht verwendest. Das heißt, wenn du normal mit dem Google Chrome im Internet surfst, dann verwende Mozilla Firefox.
  2. Installiere ein Browser Plugin, welches dir erlaubt JavaScript auf Webseiten gezielt zu deaktivieren. Beispiele: NoScript für Firefox oder ScriptSafe für Chrome.
  3. Deaktiviere JavaScript mit diesen Plugins standardmäßig und aktiviere es nur für die Werbenetzwerk Seite.

Sobald du nun Werbung auf der Click ad pay -Seite ansiehst, so siehst du nur den bloßen formatierten Inhalt (HTML + CSS) der Seite. Skripte können nicht ausgeführt werden. Dadurch kannst du dir sicher die Werbeseiten ansehen.

Wenn du diese Sicherheitsmechanismen verwendest, dann bist du einigermaßen gewappnet und kannst per Klick auf den Button unterhalb kostenlos anmelden.

 

Erweiterter Schutz fürs surfen im Internet

Es gibt eine weitere Methode, die einen hohen Sicherheitsgrad verspricht. Diese ist nicht nur Werbeplattform-Benutzer ein äußerst wirksamer Schutz, sondern für jeden der sich häufig auf unsicheren & unbekannten Webseiten aufhält. Das wäre unter anderem Webseiten auf denen man sich urheberrechtlich geschützte Inhalte ansehen und downloaden kann (Serien und Filme Streaming, Plattformen auf denen gecrackte Programme heruntergeladen werden können) oder aber auch Pornoseiten.

Wer sich hier schützen möchte geht wie folgt vor:

  1. Installieren einer Software mit der man virtuelle Maschinen betreiben kann. Beispiele dafür sind VMware Player und Virtual Box.
  2. Erstellen oder herunterladen einer virtuellen Maschine. (Eine virtuelle Maschine ist ein virtueller Computer, der auf deinem Betriebssystem simuliert wird. Mehr dazu im Link.). Gratis VMs zum Herunterladen findest du zum Beispiel hier oder hier.
  3. Wenn du ab jetzt auf unsicheren Webseiten  unterwegs bist, dann verwendust du dazu nur mehr deine neue virtuelle Maschine. Solltest du dich nämlich wirklich mit einer Malware oder Virus infizieren, so ist davon nur die virtuelle Maschine betroffen – nicht dein tatsächliches Betriebssystem. Das heißt, dass alle deine Daten auf dem PC sicher sind. Der Hacker kommt nur an die in der virtuelle Maschine. Zu beachten: In der virtuellen Maschine darfst du dann natürlich nicht auf Seiten wie Facebook gehen oder gar Online Banking machen. Damit würdest du nämlich wieder Benutzernamen und Passwörter in die VM bringen. Ist diese infiziert, so hätte wiederum der Angreifer deine Daten.

 

Das wars mit der Click ad pay Sicherheitsanalyse.

Noch Fragen? Die Beantworte ich gerne. Hinterlasse einfach ein Kommentar

 

Efficiently writing a master thesis

Efficiently writing a master thesis

This blog post shows a methodical approach for writing a master thesis and how the Lean Startup Security Website has been created. I have used the following approach to plan and schedule all tasks which were necessary for writing my master thesis.

Overview

The activity diagram on this page shows all the different activities I had to do for writing my master thesis and their relation and dependencies to each other. I have categorized all the different activities into three “Activity stages”:

  • Getting Information,
  • Implementation and
  • Writing & Documenting

to highlight the type of a certain activity. Furthermore I’ve colored the activities with different background colors to emphasize the 6 major tasks. Those main tasks are explained in more detail in the following paragraphs.

 

Steps for writing a master thesis

Strategy & Literature research

Strategy

At first I created a mind-map (knowledge map) as you can see in the first figure. In this mind map I wrote down all the different stakeholders and topics which are related to “IT Security in Startups”. Based on this extensive mind-map I defined the procedure which resulted in the activity diagram shown on this page.

Writing a master thesis - mind map
Mind map

The abstract, research question, demarcation and objectives are also based on the initial mind map.

Literature research

The next obvious step had been an exhaustive research on all topics which I identified on the initial mind map. All of them can be assigned to the main topics Startups, IT Security and Privacy. A majority of used references are papers, white papers, industry standards, laws and IT Security and Startup books and blogs.

Writing a master thesis
Activity diagram

Master thesis (document)

The master thesis arose in parallel to the information procurement and implementation and had been adapted and redesigned if any of the two other activity stages brought new understandings. For structuring the chapters of this thesis I compared the structure of various other master theses with each other to find an easy to read construction and to ensure that a golden thread is running through my paper.

 

Questionnaire and Interviews

I have interviewed stakeholders from the Startup scene (CEOs, CTOs and employees) and conducted an online survey to get answers to the 2 research questions.

Because IT Security is a delicate subject to many companies I have ensured absolute non-disclosure to each interviewed person. Otherwise I would have doubt the uprightness especially of CEOs and CTOs. Therefore there will be no publication of company or person names or of single questionaries’. Instead I will publish aggregated and anonymized information.

 

Lean Security Methods

I have defined lean security methods in parallel to the questionnaire and surveys and the methods are also part of the master thesis. The different methods, practices and recommendations are mainly based on:

  • My experience as Startup CTO and IT Security master student
  • Common industry standards like ISO/IEC 27001, ISO/IEC 20000, ISO/IEC 22301, “BSI Grundschutz” and the BSI 100-x standards
  • EU privacy regulations and Austrian privacy law (DSG2000)
  • The “IT Sicherheitshandbuch” and “IT Risikoanalyse” documents from the Austrian Federal Economic Chamber (WKO)
  • Papers from the SANS Institute concerning Security

My goal has been to find light-weight mechanisms and methods which can be easily implemented by companies before, during and after foundation. So the methods can be used from 1-person company’s until a company size of around 20 people.

 

Practical Implementation

To verify the practicability and duration of the “Lean Security Methods” I’ve implemented all the measures into the Startup I work at: Rentog (https://rentog.com).

I’ve used all the findings, issues and obscurities which occured during implementation to update and enhance the Lean Security Methods. Additionally I created several templates during the implementation. These templates are available in the “Template” section.

 

Publication

All the defined lean security methods and recommendations and the corresponding templates are published on http://leanstartupsecurity.com. With the publication of the methods the objective “…improve the overall security level of Startups in the IT and Internet field…” is targeted. It is also possible for visitors to post comments so that I can learn from the users and that I can further improve the methods.

 

Summary

Writing a master thesis is not an easy tasks and takes some time. Especially research can be exhausting and sometimes you don’t even notice that you are heading in the wrong direction. For those reasons it is very helpful to have a clear plan and strategy on how to write your master thesis. I have used a simple mind-map and an activity diagram to visualize and organize everything. These techniques will allow you to stay focused during your research and will help you to better plan your tasks.