Googlebot im Visier von Hackern

Für jedes Unternehmen ist eine hohe Platzierung im Google Ranking entscheidend und geschäftskritisch. Die ersten Einträge erhalten die meisten Klicks, sichern Aufmerksamkeit und Abverkäufe. Nun haben Cyberkriminelle einen Weg gefunden, Googles Sicherheitsmechanismen zu umgehen und mit gefährlichen Links versehene PDF-Dokumente an der Spitze der Suchergebnisse zu platzieren.

Den Googlebot ausgetrickst

Die Technik, mit der Kriminelle die Google Seitenindizierung in die Irre führen, ist keine neue. Beim Cloaking werden Dokumente oder Webseiten so modifiziert, dass sie dem Googlebot,  Googles eigenem Webcrawler, der Inhalte eigenständig herunter lädt und diese der herstellereigenen Suchmaschine zuführt, harmlos vorkommen. Er registriert einen völlig anderen Inhalt, als ein menschlicher Besucher wahrnehmen würde. Dies ist möglich, weil die Suchmaschinen sich bei ihrer Arbeit mit dem Stichwort Googlebot zu erkennen geben.

Die mit Schadsoftware versehenen Webseiten versorgen den Googlebot mit den gewünschten Informationen, die für eine hohe Platzierung innerhalb der Suchmaschine sorgen. Verbrauchern wird hier eine normale Seite angezeigt, die keinen Anlass zu Besorgnis liefert. Im zweiten Schritt werden diese Seiten mit den für Google relevanten Backlinks versorgt. Dies suggeriert, dass die Seiteninhalte nicht nur über die gewünschten Suchbegriffe verfügen, sondern auch im Netz bekannt und beliebt sind.

Seriöse Vermarkter verlassen sich hier auf attraktive Inhalte, Vernetzung, Kooperationen, Promotion oder bezahlte Werbung. Weniger Seriöse spammen ihre Links über Blogs und Foren, posten gefälschte Kommentare und bauen auf diese Art so genannte Link-Farmen, die Google jedoch abstraft.

PDFs bevorzugt

„Die aktuellen Erkenntnisse beruhen auf einem von Sophos Labs entdeckten, schadhaften PDF“, erläutert Sascha Pfeiffer, Principal Security Consultant bei Sophos. „Sophos suchte daraufhin gezielt nach Dokumenten mit ähnlichen Eigenschaften und erhielt innerhalb kürzester Zeit hunderte schadhafter PDF Dokumente, die alle identische Merkmale aufwiesen.“  Ganz offensichtlich reagiert der ansonsten eher empfindliche Google-Algorithmus  weniger empfindlich, wenn Inhalte in Form eines PDF anstelle einer Webseite aufgefunden werden. Ähnlich pauschal vertrauensvoll geht Google mit Links um, die  auf  .gov oder .edu enden.

Bei der Google-Suche nach Stichworten aus den schadhaften PDFs fand Sophos Labs eine große Anzahl ähnlicher Dokumente auf legalen, aber vermutlich kompromittierten Webseiten. Zu der ungewöhnlich hohen Anzahl von Stichworten enthielten die PDFs Links zu Dokumenten auf anderen Webseiten, die gemeinsam ein sogenanntes „Back-Link-Rad“ bildeten. Dieser Trick reichte offenbar aus, um von Google ein hohes Seitenranking zu erhalten.

Schneller reich werden

Diese Technik könnte für eine Vielzahl von kriminellen Aktivitäten eingesetzt werden. Bisher ist sie jedoch nur im Zusammenhang mit einem Handelsangebot für binäre Optionen, einer besonders riskanten Anlageform, entdeckt worden. Jeder Link auf der Seite der Google-Suchresultate gehörte zu dieser Kampagne. Die PDF-Links führten dann zu einer Webseite mit binären Optionen. Einige Zeit später führte der Link jedoch zu einer Seite die eher einem „Wie man schneller reich wird“-Schema entsprach.  Das aktuelle Dokument war nur noch im Cache zu sehen. Die Links verteilten sich gleichmäßig über das, ansonsten aus zusammenhanglosen Suchworten bestehende Dokument und führten zu einer Link-Farm.

Sophos Labs hat Google über die Ergebnisse bereits informiert. Wer den ganze Artikel der SophosLabs lesen will (Englisch) folgt einfach diesem Link.

Quelle: Sophos von Sascha Pfeiffer

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.