Das Handy wird ein bisschen wärmer als normal, der Computer läuft ein wenig langsamer. Das ist alles, was die Besucher von www.reinach.ag hätten bemerken können, als ihre Rechner von Kriminellen zum Schürfen der digitalen Währung Monero missbraucht wurden.
Cryptocoin-Mining ohne Zusage
Wie die «Aargauer Zeitung» am Dienstag berichtete, konnten die Hacker eine Software namens Coinhive auf die Webseite einschleusen. Das Programm kapert die Rechenleistung von Computern oder Handys und generiert damit Einheiten von Monero. Das macht es zu einem beliebten Werkzeug für Cyberkriminelle, aber auch für Betreiber von Webseiten, denen es schwerfällt, genug Geld mit Werbeanzeigen zu verdienen.
Fies ist, dass sich das Programm versteckt und von den Nutzern keine Erlaubnis zur Nutzung der Ressourcen angefordert wird. Einzig daran, dass das Gerät plötzlich sehr heiss oder sehr langsam wird, lässt sich erkennen, ob die Software aktiviert ist.
Angriff über beliebtes Hilfsprogramm
Der Angriff erfolgte über eine Lücke in einem von der Webseite benutzten Programm namens Browsealoud. Es soll eigentlich Menschen mit beeinträchtigtem Sehvermögen den Besuch der Seite erleichtern, indem beispielsweise ein Text laut vorgelesen wird.
Das Programm gilt als vertrauenswürdig und wird weltweit von rund 5000 Webseiten eingesetzt, darunter auch von bis zu zehn in der Schweiz. Alle diese Seiten waren potenziell von der Attacke betroffen.
Schutz ist schwierig
Die Nutzer konnten sich nicht gegen diese Attacke wehren. «Wenn das Skript aktiviert ist, kann der User kaum mehr etwas dagegen tun», so Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherheit (Melani) zu BLICK.
Beliebte Browsererweiterungen wie NoCoin für Firefox und Chrome können zwar bekannte Schadprogramme blockieren – wenn aber eine ansonsten unverdächtige Erweiterung infiziert wird, sind sie machtlos.
Mehr Rechenpower bedeutet mehr Coins
Bei digitalen Währungen wie Monero oder Bitcoin funktioniert die Geldschöpfung so: Ein spezielles Programm weist den Computern hochkomplexe Rechenoperationen zu und belohnt deren Lösung mit einer neuen Einheit der Währung. Je mehr Rechner zusammenarbeiten, desto schneller können neue Coins geschaffen werden.
Wenn Hacker nun bei allen Nutzern von Tausenden von Seiten ein paar Minuten Rechenleistung abzweigen können, kommen sie praktisch gratis zu einem gewaltigen Rechenzentrum. Gepaart mit dem enormen Gewinnpotenzial von digitalen Währungen – der Kurs von Monero stieg seit Anfang 2017 auf das 25-Fache an –, ergibt sich ein äusserst lukratives Geschäftsfeld für die Hacker. Und wenn die Beute grösser wird, werden auch mehr Gauner angelockt. «In letzter Zeit hat die Zahl solcher Attacken zugenommen», so Pascal Lamia von Melani.
Es hätte auch schlimmer kommen können
Dass die Hacker nur auf digitale Währungen aus waren, ist gemäss dem Sicherheitsexperten Scott Helme ein grosses Glück. Mit derselben Methode hätte beispielsweise auch ein Keylogger, der alle Tastaturanschläge der Nutzer aufzeichnet und den Angreifern sendet, auf die Seiten geladen werden können.
Die Firma Texthelp, Vertreiber von Browsealoud, hat mittlerweile mitgeteilt, dass die Sicherheitslücke geschlossen sei und die Erweiterung ab dem 15. Februar wieder wie gewohnt funktionieren soll. Für die Hacker lohnte sich die Attacke nicht: Sie erbeuteten nur 0,1 Monero-Coins oder umgerechnet rund 20 Franken.