Nieuws

Fraude via 'malvertising'

15 oktober 2019

Bij malvertising wordt kwaadaardige software (Engels: malware ) verspreid via valse advertenties die vertoond worden op de websites die jij bezoekt. Wat gebeurt er eigenlijk, en hoe kan je je beschermen?

Nieuwe vorm van fraude gesignaleerd: malvertising of nepadvertenties

Cybercriminelen worden steeds slimmer, en vinden telkens nieuwe manieren uit om hun fraude te plegen. De nieuwste aanvalsmethode is 'malvertising': de criminelen gebruiken online advertenties met een schadelijke inhoud om malware te verspreiden of systemen te besmetten.

Een recent voorbeeld: wanneer je een populaire website zoals tweedehands.be of buienradar.be bezocht, kreeg je plots een advertentie voor een bekende telecomoperator te zien, verpakt in een pop-up. Klikte je op de pop-up, dan werd je naar een perfect geïmiteerde website van die operator gevoerd, waar je dan onder het mom van een enquête gevraagd werd om je gebruikersgegevens in te vullen.

De operator in kwestie had echter niets met deze advertenties te maken - die waren door cybercriminelen via een advertentienetwerk verspreid. De advertenties bevatten het logo en de huisstijl van de operator, perfect geïmiteerd, om jou gemakkelijker om de tuin te leiden.

De websites waar de advertenties verschenen waren evenmin op de hoogte. Net als zovele andere websites werken zij met een advertentienetwerk. Daarbij stellen zij bepaalde ruimten op hun website ter beschikking van dat netwerk. Bezoek jij de website, dan zal het netwerk automatisch een advertentie vertonen uit een reeks die zij in portefeuille heeft, en die aangepast is aan jouw profiel.

Hoe werkt malvertising?

Malvertising wordt ingezet om malware te verspreiden, of persoonlijke gegevens buit te maken. Bij de recente golf van malvertising, waarbij de naam en het logo van operator Telenet misbruikt werden, was dat laatste het geval. Veel vaker echter wordt via malvertising echte malware verspreid.

Dat gebeurt zo: de cybercriminelen verbergen een stukje code in een advertentie die er onschuldig uitziet, vaak via een iFrame, een onzichtbaar frame of kader dat je stiekem naar andere pagina's voert.  Klik je op zo'n advertentie, dan word je naar een server gevoerd die in handen is van de criminelen.

Vaak wordt er dan een 'exploit kit' ten uitvoer gebracht. Dat is malware die je computer gaat evalueren, en nagaat of er zwakke plekken zijn in je besturingssysteem of programma's. En dan wordt die zwakke plek misbruikt om malware te installeren op je computer, om financiële of andere gevoelige informatie op je systeem te stelen, of je computer te versleutelen (ransomware).

Of je computer wordt als 'zombie-computer' ingezet in een 'botnet' - grote aantallen gecompromitteerde machines die door cybercriminelen gebruikt worden bij grootschalige DDoS-aanvallen. Die bestoken bekende websites met valse verzoeken om webpagina's te serveren - zoveel verzoeken dat het legitieme verkeer erin verdrinkt, de website dus onbereikbaar wordt en de server zelfs kan crashen.

Dit alles gebeurt geruisloos op de achtergrond, zonder dat jij er iets van merkt of er iets voor moet doen.

Waarom is malvertising zo hardnekkig?

Zoals je hierboven lezen kon, werken de meeste (grote) websites tegenwoordig met een advertentienetwerk, dat de advertenties plaatst.

Vaak zijn het zelfs wereldwijde netwerken die met enorme aantallen websites, adverteerders en advertenties werken.

Voor de advertentienetwerken is het dan ook heel moeilijk om elke advertentie grondig te analyseren vooraleer die in het netwerk opgenomen wordt. Zij reageren meestal enkel wanneer er een klacht ingediend wordt tegen een advertentie van een bepaalde groep of bedrijf. Pas dan wordt de advertentie of de adverteerder doorgelicht.

De verregaande automatisering van de advertenties zoals real time bidding heeft nog een bijkomend effect: voor cybersecurity experts is het heel moeilijk om vast te stellen welke advertenties malware bevatten. Want de netwerken plaatsen voortdurend andere advertenties, gepersonaliseerd per bezoeker. Wanneer twee bezoekers dezelfde website bezoeken, kan de ene besmet worden, en de ander niet…

Zo bescherm je je tegen malvertising

Volg deze tips:

  • Controleer welke plug-ins, add-ons en extensies actief zijn in je browser . Bij Firefox: klik op het hamburger-menu rechts boven, en kies add-ons
    • Heb je de Flash plug-in? Dan raden wij je uit om die uit te zetten. Deze technologie werd in het verleden vaak gebruikt voor animaties op websites, maar is een erg gemakkelijk doelwit voor hackers om malware te verpakken. Deactiveer Flash in je browser - kom je op een site die niet werkt zonder Flash, dan kan je de plug-in alsnog tijdelijk activeren, voor die site. Je zal trouwens merken dat Flash steeds minder gebruikt wordt.
    • Zie je daar ook de Java plug-in? Wij raden aan om die te verwijderen. Deze technologie werd in het verleden vaak gebruikt voor corporate sites, bijvoorbeeld bij internetbankieren. Maar ook deze technologie vertoont vaak lekken, en wordt daarom nog heel zelden gebruikt op websites. Is er toch een website die je nodig hebt en die Java vereist, dan raden wij je de 2-browsers methode aan: bezoek die bepaalde website met een browser waarin je Java activeert, en bezoek alle andere websites met een andere browser.
  • Verwijder extensies, add-ons en plug-ins die wel aanwezig zijn, maar die je niet gebruikt.
  • Houd je browser zelf up-to-date. Installeer de update zodra je de melding krijgt dat er een nieuwe versie beschikbaar is. Dat geldt ook voor alle software op je machine en voor het besturingssysteem (Windows, Chrome, iOS, …) zelf. Zo vermijd je 'zero-day exploits' waarbij de hacker meteen misbruik maakt van een lek in een software, nog voor er een patch beschikbaar is.
  • Bij het surfen: sluit tabblaadjes die je niet gebruikt. Zo draaien er minder advertenties op de achtergrond, en verminder je ook het risico.
  • Bekijk altijd eerst het achterliggende adres van een weblink, vooraleer je er op klikt. Beweeg je cursor over de link om het webadres te zien.
  • Analyseer goed de domeinnaam: bankieren.kbc.be.xyz is geen webadres van kbc.be, maar wel van be.xyz!
  • Ben je zelf domeinhouder, maar heb je je zaak stopgezet? Hou de domeinnaam aan. Zo voorkom je dat hij door derden misbruikt wordt in een malware campagne. De kleine som die registratie jaarlijks kost, kan heel wat ellende besparen!

Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.