Hvad er et drive-by download?

Drive-by downloads kan udgøre en stor risiko for din online sikkerhed, så det er vigtigt at være opmærksom på denne type af cyberangreb.

17-08-2022 - 8 minutters læsning. Under kategorien: cybercrime.

Hvad er et drive-by download?

Drive-by downloads kan udgøre en stor risiko for din online sikkerhed, så det er vigtigt at være opmærksom på denne type af cyberangreb.

Definitionen af et drive-by download

Drive-by download-angreb refererer specifikt til et ondsindet program, der installeres på en persons digitale enheder, som computere, tablets eller mobiler, uden deres samtykke eller viden. Dette inkluderer også utilsigtede downloads af filer eller medfølgende software til en computerenhed. Disse slags angreb findes mange steder på nettet, og de kan spredes til legitime hjemmesider, som yderligere spreder dem til brugerne.

Der findes to hovedvarianter af drive-by download-angreb:

  • Potentielt uønskede programmer eller applikationer (PUP'er/PUA'er), som ikke er ondsindede.

  • Download med malware.

Mens førstnævnte typisk er sikker, kan det indeholde adware eller spam e-mails, hvilket kan være meget irriterende for offeret. Cybersikkerhedseksperter bruger typisk sidstnævnte som deres definition af drive-by downloads.

Hvad er formålet med et drive-by download-angreb?

Et drive-by download-angreb refererer til et utilsigtet download af ondsindet kode (malware) til en computer eller mobilenhed, som efterlader offeret sårbar over for cyberangreb. En person behøver ikke at klikke på noget, trykke på "download" eller åbne en ondsindet vedhæftet fil for at blive inficeret med den ondsindede kode, hvilket gør denne type angreb ekstra udbredt.

En drive-by-download kan drage fordel af en app, et operativsystem eller en webbrowser, der indeholder sikkerhedsfejl på grund af mislykkede opdateringer eller mangel på opdateringer. I modsætning til mange andre typer af cyberangreb, er et drive-by download ikke afhængig af, at brugeren gør noget for aktivt at aktivere angrebet.

Drive by-downloads er designet til at inficere din enhed for udføre en eller flere af følgende:

  • Overtage din enhed - for at bygge et botnet, inficere andre enheder eller inficere din enhed yderligere.

  • Overvåge din aktivitet – for at stjæle dine online-legitimationsoplysninger, økonomiske oplysninger eller identitet.

  • Ødelægge data eller deaktivere din enhed - for blot at forårsage problemer eller personligt skade dig.

Uden ordentlig sikkerhedssoftware eller rettelser for at fjerne sårbarheder, kan enhver person blive offer for et drive-by download-angreb.

Hvordan virker et drive-by download-angreb?

De fleste tænker ikke over drive-by downloads og er måske ikke klar, at man kan blive ramt af malware, uden selv aktivt at downloade det. Da angrebene kan inficere "sikre steder" på nettet, har de fleste mennesker ingen anelse om, hvordan eller at de er blevet ramt af et angreb.

Der er to hovedmåder, hvorpå drive-by downloads kommer ind på dine enheder:

  • Godkendt uden at kende de fulde implikationer: Du foretager en handling, der fører til infektion, såsom at klikke på et link på en vildledende falsk sikkerhedsadvarsel eller ved at downloade en trojaner.

  • Fuldstændig uautoriseret uden nogen meddelelse: Du besøger en webside og bliver inficeret uden nogen meddelelser eller yderligere handling. Disse downloads kan være hvor som helst, selv legitime websteder.

At vide nøjagtigt, hvad et drive-by download er, er lige så vigtigt som at vide, hvordan man spotter et potentielt angreb.

Autoriserede downloads med skjulte fortjenester

Autoriserede drive-by downloads er strømlinede og kan nogle gange blive opdaget før angrebet sker. De starter med, at en hacker skaber en vektor til levering af malware - det kan være onlinemeddelelser, annonce eller legitime programdownloads. En bruger interagerer derefter med vektoren ved at klikke på et vildledende link, downloade software osv.

Malware installeres på brugerens enhed, og hvis brugeren ikke har noget antivirussoftware eller lign., så vil vedkommende ikke opdage det. Hackeren kommer derefter ind på brugerens enhed og kan derefter udføre flere skadelige handlinger.

Software eller websteder kan være inficeret med malware uden at det er til at opdage. Derfor kan det være let for hackere at udføre deres drive-by download-angreb, da der kan komme mange brugere ind på de ramte hjemmesider.

Et eksempel på et konkret angreb er, at en bruger får tilsendt et link via e-mail eller et opslag på deres sociale medie-feed. Det er lavet til at se ud, som om det er sendt fra kilder, som brugeren kender og har tillid til. Denne social engineering-taktik bruges til at lokke brugeren til at klikke og åbne e-mailen eller opslaget. Når brugeren kommer ind på hjemmesiden, som linket henviser til, installerer drive-by-downloadet sig selv på brugerens computer eller mobilenhed.

Bundleware er en populær "autoriseret" metode til drive-by download-angreb, der benytter sekundære programmer knyttet til en persons faktiske ønskede programdownload. Disse potentielt uønskede programmer/applikationer (PUP'er/PUA'er) kan skjule malware eller selv være malware. Bundeware findes typisk som et fravalg, når en person downloader gratis software eller shareware.

Phishing kan også bruges til at ramme personer med drive-by downloads. Pop-up-reklamer eller e-mails, angiveligt fra organisationer eller personer, som en person kender, beder dem om at klikke på links eller downloade vedhæftede filer. Typisk er meddelelserne manipulerende og forsøger at vække følelser i folk, som leder dem til at udføre de ønskede handlinger.

Uautoriserede downloads uden din viden

Et uautoriseret drive-by download fungerer på en meget enkel måde. En hacker kompromitterer et websted og tilføjer en ondsindet komponent til en sikkerhedsfejl. En bruger udløser komponenten ved at besøge siden, og den finder enhedens sikkerhedshuller. Ved at udnytte den dårlige sikkerhed downloader komponenten malware til enheden. Derefter kan hackeren udføre de skadelige handlinger, som f.eks. at kontrolle enheden eller stjæle data fra den.

Som nævnt ovenfor distribueres uautoriseret ondsindet kode direkte af de kompromitterede websteder. Koden skal dog først placeres der af hackere.

"Exploit kits" er navnet på den software, der bruges til at kompromittere sårbare webservere og enheder. Disse kits identificerer softwaresårbarheder på maskiner og webbrowsere for at finde ud af, hvilke systemer der er nemme at få fat i. Exploit kits bruger ofte små stykker kode designet til at komme forbi simple cyberforsvar og stort set gå ubemærket hen. Koden holdes enkel for at fokusere på en type af opgave: at kontakte en anden computer for at introducere resten af koden, den skal bruge for at få adgang til en mobilenhed eller computer.

Sikkerhedssårbarheder, som kan opdages af exploit kits, er uundgåelige i den digitale tidsalder. Ingen software eller hardware kan nogensinde gøres perfekt. Ligesom en bygning kan infiltreres med omhyggelig undersøgelse og planlægning, så kan enhver software, netværk eller anden digital infrastruktur også. Sårbarheder findes typisk i disse former:

  • Zero-day exploits: Sikkerhedsfejl uden nogen kendte rettelser eller patches.

  • Velkendte udnyttelser: Sikkerhedsproblemer, der har kendte, men afinstallerede rettelser.

Zero-day exploits er svære at undgå, men velkendte udnyttelser manipuleres udelukkende på grund af dårlig cybersikkerhedspraksis. Hvis slutpunktbrugere og webadministratorer undlader at opdatere al deres software i ordentlig tid, vil de også forsinke vigtige sikkerhedsopdateringer - og det er det, som hackere udnytter.

Drive-by downloads er langt en af de sværere cybertrusler at forhindre. Det kræver ordentlig og konstant opmærksomhed og en stærk sikkerhed ved alle berøringspunkter med internettet.

Sådan undgår du et uønsket drive-by download-angreb

Som med mange aspekter af cybersikkerhed er det bedste forsvar forsigtighed. Du bør aldrig tage din sikkerhed for givet. Her er nogle gode retningslinjer for, hvordan du kan undgå at downloade ondsindet kode gennem internettet.

Hvordan webstedsejere kan forhindre et drive-by download

Som webstedsejer er du den første forsvarslinje mod hackere, der forsøger at ramme hjemmesidens besøgende. For at beskytte din hjemmeside og dine brugere bedst muligt, kan du styrke din infrastruktur på flere måder:

  • Hold alle webstedskomponenter opdateret. Dette inkluderer alle temaer, tilføjelser, plugins eller enhver anden infrastruktur. Hver opdatering har sandsynligvis nye sikkerhedsrettelser for at holde hackere ude.

  • Fjern eventuelle forældede eller ikke-understøttede komponenter på din hjemmeside. Uden almindelige sikkerhedsrettelser er gammel software nemt at udnytte.

  • Brug stærke adgangskoder og brugernavne til dine administratorkonti. Brute force-angreb gør det nemt for hackere at gætte svage adgangskoder. Brug gerne en password manager for at være sikker.

  • Installer beskyttende websikkerhedssoftware på din hjemmeside. Overvågningssoftware hjælper med at holde øje med eventuelle ændringer i dit websteds backend-kode.

Syv råd til slutpunktsbrugere

Som bruger er det vigtigt at anvende de forskellige sikkerhedsfunktioner, der tilbydes til din software. Her er nogle konkrete råd:

  • Brug kun din computers administratorkonto til programinstallationer. Admin-rettigheder er nødvendige for at drive by-downloads kan installeres uden din viden. Da denne indstilling er standard på din hovedkonto, skal du bruge en sekundær ikke-administratorkonto til daglig brug.

  • Hold din webbrowser og operativsystem opdateret. Nye patches hjælper med at fikse sikkerhedshuller, som kan give drive-by-download-kode en vej ind.

  • Vær forsigtig med at have for mange unødvendige programmer og apps. Jo flere plug-ins du har på din enhed, jo mere modtagelig er du over for malware-infektion. Behold kun den software, du stoler på og bruger ofte. Fjern også alle ældre apps, der ikke længere modtager opdateringer.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg