Vad är en drive-by attack?
En drive-by attack innebär att någon lurar användare att besöka en viss hemsida där det finns skadlig kod. Det händer även att upphovsmännen infekterar välbesökta hemsidor med skadlig kod med avsikt att infektera besökarnas datorer.

Ofta laddas den skadliga koden ned till datorn utan att användaren vet om det. Det vanligaste är att lura användaren att ladda ner ett plugin, till exempel en ActiveX-controller eller Java-applet. Ett annat sätt är att den skadliga koden utnyttjar en sårbarhet i exempelvis webbläsaren, e-postklienten eller ett tredjepartsprogram som Acrobat Reader vilket gör att den skadliga koden laddas ner bara genom att användaren besöker en hemsida eller läser ett mail.

Den skadliga kod som laddas ned är av olika sorter. I de fall som rapporterats har det handlat om kod som stjäl information från användaren, till exempel användarnamn, lösenord och kreditkortsinformation. Det förekommer även skadlig kod som gör att den infekterade datorn blir en del av ett större nätverk som används för bland annat distribuerade belastningsattacker eller distribution av spam.

Den nya vågen
Kaspersky Labs har sett tecken på nya drive-by attacker mot svenska webbsidor. Angriparna har skickat ut mail där det står att mottagaren har blivit svartlistad på ett forum som försöker förebygga bedrägerier på välkända webbsidor som till exempel Tradera (se bild ovan). Det har även skickats ut inlägg till olika forum, bland annat Min Hembio, som uppmanar användarna att besöka en viss hemsida för att antingen delta i en tävling eller häva den påhittade svartlistningen. På hemsidan lurar en skadlig Java-applet som laddar ned en fil till besökarens dator. Denna fil stjäl sedan information som användarnamn och lösenord.

Attacker som Kaspersky Lab har analyserat har visat sig använda sig av flera domäner med olika uppgifter. Under analystillfället identifierades fyra olika domäner. Exempelvis har det visat sig att en av domänerna har som uppgift att visa hur många datorer som hittills blivit infekterade.

De andra domänerna används för att sprida den skadliga koden. Den skadliga koden ligger inte på hemsidan som användaren besöker, utan på en annan server. Det innebär att om en sida stängs ner så försvinner inte den skadliga koden. Bedragarna behöver bara registrera en ny domän och inkludera servern som erbjuder den skadliga koden för att vara uppe på fötterna igen.

Hur skyddar jag mig?
Eftersom dessa angrepp inte alltid använder exempelvis en sårbarhet för att sprida sig, utan försöker lura användaren att besöka en hemsida är det svårt att automatisera ett skydd för det. Det man måste tänka på om man får ett liknande mail är att granska innehållet, om det inte verkar trovärdigt bör man undvika det. Om mailet, som i ovan nämnda fall, påstår att ditt konto har blivit blockat från en viss hemsida är det bra att kontakta ansvariga för hemsidan för att ta reda på om det faktiskt stämmer.

De flesta av dessa attacker använder någon form av skadlig kod. Det är vanligt att bedragarna återanvänder både funktioner och kod vilket gör att bedrägeriförsöken enkelt kan upptäckas och förhindras av ett antivirusprogram.