Home / News / Sicherheitsexperten: Hacker tricksen Googlebot aus

Sicherheitsexperten: Hacker tricksen Googlebot aus

hack-813290_1280

Foto: Pixabay/JavadR

Für jedes Unternehmen ist eine hohe Platzierung im Google Ranking entscheidend und geschäftskritisch. Die ersten Einträge erhalten die meisten Klicks, sichern Aufmerksamkeit und Abverkäufe. Laut Sophos Labs könnten jedoch auch Hacker die Sicherheitsmechanismen umgehen und mit gefährlichen Links versehene PDF-Dokumente an der Spitze der Suchergebnisse platzieren.

Dazu verwenden sie eine bekannte Technik: das PDF-Cloaking. Das mit Malware versehene PDF wird so positioniert, dass es im oberen Bereich der Suchergebnisse angezeigt wird. Verbraucher müssen das Dokument dann nur noch anklicken, um sich zu infizieren.

Was ist Cloaking?

Beim Cloaking werden Dokumente oder Webseiten so modifiziert, dass sie Googles eigenem Webcrawler, der Inhalte eigenständig herunter lädt und diese der herstellereigenen Suchmaschine zuführt, harmlos vorkommen. Dies ist möglich, weil die Suchmaschinen sich bei ihrer Arbeit mit dem Stichwort Googlebot zu erkennen geben.

Die mit Schadsoftware versehenen Webseiten versorgen den Googlebot mit den gewünschten Informationen, die für eine hohe Platzierung innerhalb der Suchmaschine sorgen.  Im zweiten Schritt werden diese Seiten mit den für Google relevanten Backlinks versorgt. Dies suggeriert, dass die Seiteninhalte nicht nur über die gewünschten Suchbegriffe verfügen, sondern auch im Netz bekannt und beliebt sind.

Seriöse Vermarkter verlassen sich hier auf attraktive Inhalte, Vernetzung, Kooperationen, Promotion oder bezahlte Werbung. Weniger Seriöse spammen ihre Links über Blogs und Foren, posten gefälschte Kommentare und bauen auf diese Art so genannte Link-Farmen, die Google jedoch abstraft.

PDFs bevorzugt

„Die aktuellen Erkenntnisse beruhen auf einem von Sophos Labs entdeckten, schadhaften PDF“, erläutert Sascha Pfeiffer, Principal Security Consultant bei Sophos. „Sophos suchte daraufhin gezielt nach Dokumenten mit ähnlichen Eigenschaften und erhielt innerhalb kürzester Zeit hunderte schadhafter PDF Dokumente, die alle identische Merkmale aufwiesen.“

Ganz offensichtlich reagiert der ansonsten eher empfindliche Google-Algorithmus  weniger empfindlich, wenn Inhalte in Form eines PDF anstelle einer Webseite aufgefunden werden. Ähnlich pauschal vertrauensvoll geht Google mit Links um, die  auf  .gov oder .edu enden.

Bei der Google-Suche nach Stichworten aus den schadhaften PDFs fand Sophos Labs eine große Anzahl ähnlicher Dokumente auf legalen, aber vermutlich kompromittierten Webseiten. Zu der ungewöhnlich hohen Anzahl von Stichworten enthielten die PDFs Links zu Dokumenten auf anderen Webseiten, die gemeinsam ein sogenanntes „Back-Link-Rad“ bildeten. Dieser Trick reichte offenbar aus, um von Google ein hohes Seitenranking zu erhalten.

„Schneller reich werden“

Diese Technik könnte laut Sophos für eine Vielzahl von kriminellen Aktivitäten eingesetzt werden. Bisher sei sie jedoch nur im Zusammenhang mit einem Handelsangebot für binäre Optionen, einer besonders riskanten Anlageform, entdeckt worden. Jeder Link auf der Seite der Google-Suchresultate habe zu dieser Kampagne gehört. Die PDF-Links führten dann zu einer Webseite mit binären Optionen. Einige Zeit später führte der Link jedoch zu einer Seite, die eher einem „Wie man schneller reich wird“-Schema entsprochen hätte.

Das aktuelle Dokument war nur noch im Cache zu sehen. Die Links verteilten sich gleichmäßig über das, ansonsten aus zusammenhanglosen Suchworten bestehende Dokument und führten zu einer Link-Farm.
Mehr zu den Tricks gibt es hier.
Sophos Labs hat eigenen Angaben zufolge Google über die Ergebnisse bereits informiert.

 

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

*