16. Juli 2009 - Mitarbeitersensibilisierung

SEO-Attacke: Wie man sich über Suchmaschinen Malware einfängt

Die Nutzung von Suchmaschinen ist nicht nur wegen der umstrittenen Speicherpraxis der Suchmaschinenbetreiber ein kritischer Punkt im Datenschutz-Konzept. Auch die Trefferlisten der Suchmaschinen können zum Datenrisiko werden: Internetkriminelle locken zunehmend über beliebte Suchbegriffe auf verseuchte Webseiten. Warnen Sie deshalb vor den so genannten SEO-Attacken, der Suchmaschinenoptimierung der Hacker.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Fast jede Internetsitzung beginnt mit dem Aufruf einer Suchmaschine. Meist ist eine bestimmte Suchmaschine bereits als Startseite im Browser voreingestellt.

Kein Wunder also, dass die Betreiber von Internetangeboten versuchen, möglichst weit oben in den Trefferlisten der führenden Suchmaschinen angezeigt zu werden. Dazu werden die eigenen Webseiten nach bestimmten Regeln optimiert.

Suchmaschine als Tor ins Internet

Eine solche Suchmaschinenoptimierung (SEO, Search Engine Optimization) nutzen inzwischen allerdings nicht nur ehrliche Anbieter, sondern zunehmend auch Internetkriminelle.

Suchmaschine sind auch Tor zu Malware

Hacker nutzen bei dieser neuen Angriffsmethode die Beliebtheit der Suchmaschinen aus, um die Rechner der ahnungslosen Opfer zu verseuchen und dadurch personenbezogene Daten stehlen zu können.

Für das Opfer geschieht dieser Angriff völlig unerwartet: Gibt man einen populären Suchbegriff in die Suchmaschine der Wahl ein, ist es möglich, dass unter den bestplatzierten Treffern in der Ergebnisliste Webseiten vertreten sind, die Malware anstelle der gewünschten Informationen liefern.

Ein Klick auf den manipulierten Link innerhalb der Trefferliste reicht aus, um sich Schadsoftware einzufangen, wenn keine Schutzmaßnahmen ergriffen werden.

Marketing für verseuchte Webseiten

Für diese Angriffsmethode, die auch SEO-Attacke genannt wird, müssen die Hacker nicht etwa in die Systeme des Suchmaschinenbetreibers eindringen.

Vielmehr nutzen sie entweder herkömmliche SEO-Verfahren, um möglichst gut gelistet und gefunden zu werden. Oder sie manipulieren den Browser ihrer Opfer, wie dies kürzlich durch den Trojaner Gumblar passierte.

Nach der Erstinfektion führt dieser Trojaner zu einer Manipulation der Google-Ergebnisse auf dem befallenen Rechner. Der nichts ahnende Nutzer lädt dann über das Anklicken der manipulierten Suchergebnisse weitere Malware auf den Computer.

Wie Hacker die Suchbegriffe finden

Um möglichst viele Opfer zu finden oder aber um eine bestimmte Zielgruppe angreifen zu können, setzen Hacker auf besonders beliebte oder ganz bestimmte Suchbegriffe, für die sie eine Optimierung bei den verseuchten Webseiten vornehmen.

Beliebte Suchbegriffe findet man zum Beispiel über Werkzeuge wie Google Trends, aber auch durch die aktuellen Schlagzeilen der Medien. Ähnlich wie Spam-Mails aktuelle Ereignisse ausnutzen wie ein schlimmes Unglück oder den Tod von berühmten Personen, ist auch die SEO-Attacke mit entsprechenden Suchbegriffen besonders erfolgreich.

Auch dienstliche Recherchen sind betroffen

Die bei Internetkriminellen besonders beliebten Suchbegriffe und damit die besonders riskanten Suchbegriffe in Deutschland waren laut einer Studie von McAfee (The Web’s Most Dangerous Search Terms, Ende Mai 2009) Begriffe wie „dsds“, „kunstdruck“, „peking“, „berlin“ oder „olympia“.

Dies macht den Anschein, dass nur die private Internetnutzung am Arbeitsplatz gefährdet sei. Trotzdem sind auch betrieblich motivierte Recherchen am Arbeitsplatz nicht ungefährlich. Die Angreifer können ohne weiteres ihre Zielgruppen ändern, neue Suchbegriffe als Ziele verwenden und spezielle Branchen angehen.

Internetadressen vor dem Besuch prüfen

Ein komplettes Verbot der Suchmaschinen-Nutzung ist natürlich keine geeignete Abwehrstrategie, dazu sind Suchmaschinen ein zu wichtiges Instrument für die Online-Recherche.

Eine Methode, die einen gewissen Schutz gegen das Aufrufen von manipulierten Webseiten bietet, sind die sogenannten Black Lists. Diese Schwarzen Listen enthalten bekannte verseuchte Webadressen und blockieren den Aufruf, aber die Listen hinken naturgemäß der schnellen Entwicklung der Web-Verseuchung hinterher. Noch unbekannte Verseuchungen kann man dort nicht finden.

Um sich vor den verseuchten Webauftritten besser schützen zu können, sollten Sie den Internetnutzern in Ihrem Unternehmen raten, Webadressen vor dem Besuch auf Schadcode zu untersuchen lassen.

Das funktioniert mit Hilfe spezieller Browser-Erweiterungen (Plugins) wie Finjan Secure Browsing oder McAfee SiteAdvisor. Diese Tools überprüfen die Hyperlinks in den Trefferlisten führender Suchmaschinen noch vor dem Anklicken und warnen vor möglicherweise verseuchten Webadressen.

Zusätzlich sollten Sie jedoch zu den folgenden Maßnahmen raten:

Prüfansatz Ja Nein
Werden Web-Filter und Browsererweiterungen genutzt, die vor verseuchten Webadressen noch vor Aufruf im Browser schützen sollen?
Bietet die Anti-Malware-Software einen aktiven Online-Schutz und scannt nicht nur die Festplatten?
Wird der http- und https-Datenverkehr auf Malware gescannt?
Werden Internetrechner nicht mit Administrationsrechten betrieben, sondern mit beschränkten Nutzerrechten?
Wird nach Möglichkeit auf die Anzeige aktiver Inhalte im Browser verzichtet?
Werden Firewalls und Personal Firewalls eingesetzt?
Werden Anti-Viren-Software, Betriebssysteme, Browser und Anwendungen aktuell gehalten?
Werden Anwendungen ohne verfügbaren Update-Service nicht mehr genutzt?
Kennen die Internetnutzer im Unternehmen die Gefahren durch SEO-Attacken und manipulierte Trefferlisten in Suchmaschinen?

Eine Checkliste „Maßnahmen gegen Suchmaschinen-Angriffe“ finden Sie unten.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln