Nach Erkenntnissen des "Web Security Trends Reports" von Sicherheitsdienstleister Finjan für das zweite Quartal 2007 (Report ist nach kostenloser Registrierung abrufbar) steigt die Anzahl der auf diese Weise infizierten Internetseiten an. Websites, die von Trojanischen Pferden oder anderen Schädlingen unterwandert wurden, geben die Viren dabei nur noch einmal pro Rechner an die Anwender weiter. Grund: In Datenbanken speichern die Hacker und Phisher die IP-Adressen der angegriffenen Computer und können so bei einem erneuten Besuch – zumindest während der gleichen Online-Sitzung – bereits infizierte Maschinen erkennen. Das macht das unmittelbare Auffinden des Schadcodes sowohl für den Surfer selbst als auch für Anti-Virus-Software schwierig, weil bereits angesteckte Computer unter derselben URL ab dem zweiten Aufruf eine komplett neue und saubere Seite ausgeliefert bekommen. Da das Virus die IP-Adressen erkennt, ist es den Angreifern darüber hinaus sogar möglich, Cyber-Attacken nur in bestimmten Ländern (respektive Adressbereichen) zu starten oder nur Rechner zu infiltrieren, die über bestimmte Suchmaschinen oder andere Seiten auf ihre Angebote gelenkt werden.

Realisiert wird die IP-Erkennungstechnik über die Browser-Skriptsprache JavaScript. Häufigstes Einsatzgebiet seien laut Finjan Online-Banking-Seiten und andere Webseiten, auf denen der Anwender sehr sensitive Daten preisgeben muss. Durch die eingespeiste Schadsoftware können Hacker und Phisher Tastatur-Eingaben aufzeichnen und damit Passwörter und andere Daten stehlen. Nach Angaben von Finjan sei die genaue Anzahl der betroffenen Websites nicht auszumachen. Das Vorgehen zeige aber, dass Hacker und Phisher ihre Attacken zunehmend geschickter tarnten, um nicht zu schnell aufzufallen und deshalb noch mehr arglose Internetnutzer erreichen könnten. (sh)