Cyber-Kriminelle nutzen eine Schwachstelle im Google-Algorithmus zur Verbreitung von Malware. Sophos Labs fand hunderte verseuchter PDF-Dateien in den höchsten Rankings. Die Technologie ist alt – die Tricks sind neu. [...]
Für jedes Unternehmen ist eine hohe Platzierung im Google Ranking entscheidend und geschäftskritisch. Nun haben Cyberkriminelle einen Weg gefunden, Googles Sicherheitsmechanismen zu umgehen und mit gefährlichen Links versehene PDF-Dokumente an der Spitze der Suchergebnisse zu platzieren.
Die Technik, mit der Kriminelle die Google Seitenindizierung in die Irre führen, ist keine neue. Beim Cloaking werden Dokumente oder Webseiten so modifiziert, dass sie dem Googlebot, Googles eigenem Webcrawler, der Inhalte eigenständig herunter lädt und diese der herstellereigenen Suchmaschine zuführt, harmlos vorkommen. Er registriert einen völlig anderen Inhalt, als ein menschlicher Besucher wahrnehmen würde. Dies ist möglich, weil die Suchmaschinen sich bei ihrer Arbeit mit dem Stichwort Googlebot zu erkennen geben.
Die mit Schadsoftware versehenen Webseiten versorgen den Googlebot mit den gewünschten Informationen, die für eine hohe Platzierung innerhalb der Suchmaschine sorgen. Verbrauchern wird hier eine normale Seite angezeigt, die keinen Anlass zu Besorgnis liefert. Im zweiten Schritt werden diese Seiten mit den für Google relevanten Backlinks versorgt. Dies suggeriert, dass die Seiteninhalte nicht nur über die gewünschten Suchbegriffe verfügen, sondern auch im Netz bekannt und beliebt sind.
Seriöse Vermarkter verlassen sich hier auf attraktive Inhalte, Vernetzung, Kooperationen, Promotion oder bezahlte Werbung. Weniger Seriöse spammen ihre Links über Blogs und Foren, posten gefälschte Kommentare und bauen auf diese Art so genannte Link-Farmen, die Google jedoch abstraft.
PDF BEVORZUGT
„Die aktuellen Erkenntnisse beruhen auf einem von Sophos Labs entdeckten, schadhaften PDF“, erläutert Sascha Pfeiffer, Principal Security Consultant bei Sophos. „Sophos suchte daraufhin gezielt nach Dokumenten mit ähnlichen Eigenschaften und erhielt innerhalb kürzester Zeit hunderte schadhafter PDF Dokumente, die alle identische Merkmale aufwiesen.“
Ganz offensichtlich reagiert der ansonsten eher empfindliche Google-Algorithmus weniger empfindlich, wenn Inhalte in Form eines PDF anstelle einer Webseite aufgefunden werden. Ähnlich pauschal vertrauensvoll geht Google mit Links um, die auf .gov oder .edu enden.
Bei der Google-Suche nach Stichworten aus den schadhaften PDFs fand Sophos Labs eine große Anzahl ähnlicher Dokumente auf legalen, aber vermutlich kompromittierten Webseiten. Zu der ungewöhnlich hohen Anzahl von Stichworten enthielten die PDFs Links zu Dokumenten auf anderen Webseiten, die gemeinsam ein sogenanntes „Back-Link-Rad“ bildeten. Dieser Trick reichte offenbar aus, um von Google ein hohes Seitenranking zu erhalten.
SCHNELLER REICHTUM
Diese Technik könnte für eine Vielzahl von kriminellen Aktivitäten eingesetzt werden. Bisher ist sie jedoch nur im Zusammenhang mit einem Handelsangebot für binäre Optionen, einer besonders riskanten Anlageform, entdeckt worden. Jeder Link auf der Seite der Google-Suchresultate gehörte zu dieser Kampagne. Die PDF-Links führten dann zu einer Webseite mit binären Optionen. Einige Zeit später führte der Link jedoch zu einer Seite die eher einem „Wie man schneller reich wird“-Schema entsprach.
Das aktuelle Dokument war nur noch im Cache zu sehen. Die Links verteilten sich gleichmäßig über das, ansonsten aus zusammenhanglosen Suchworten bestehende Dokument und führten zu einer Link-Farm. Sophos Labs hat Google über die Ergebnisse bereits informiert. (pi)
Be the first to comment