Suchmaschinen-Optimierung

Googlebot mit Backlink Wheel getäuscht

| Redakteur: Stephan Augsten

Googles Webcrawler Googlebot lässt sich mithilfe eines Backlink-Kreislaufs manipulieren.
Googles Webcrawler Googlebot lässt sich mithilfe eines Backlink-Kreislaufs manipulieren. (Bild: Google)

Malware-Entwickler versuchen seit jeher, die Google-Suchmaschine zu manipulieren. Aktuell ist die Positionierung infizierter PDF-Dokumente, kurz PDF-Cloaking, wieder angesagt. Ziel ist es, die Inhalte in den Suchergebnissen möglichst weit vorne zu platzieren, um den Schadcode zu streuen.

Offenbar setzen Cyber-Kriminelle wieder vermehrt auf PDF-Cloaking. Dabei werden Dokumente oder Webseiten so modifiziert, so dass sie Googles Webcrawler, dem Googlebot, harmlos vorkommen. Diese Manipulationsversuche konnten durch den Page Rank und andere Bewertungsmechanismen bislang gut abgefedert werden.

Forscher der Sophos Labs haben nun aber Hinweise darauf, dass es mindestens einer Hacker-Gruppierung gelungen ist, die Sicherheitsmechanismen zu umgehen. Scheinbar reagiere der ansonsten eher sensible Google-Algorithmus weniger empfindlich, wenn Inhalte in Form eines PDF anstelle einer Webseite aufgefunden werden. Ähnlich vertrauensvoll gehe die Suchmaschine mit Links um, die auf .gov oder .edu enden.

Laut Sascha Pfeiffer, Principal Security Consultant bei Sophos, beruhen die aktuellen Erkenntnisse auf einem entdeckten, schadhaften PDF: „Sophos suchte daraufhin gezielt nach Dokumenten mit ähnlichen Eigenschaften und erhielt innerhalb kürzester Zeit hunderte schadhafter PDF-Dokumente, die alle identische Merkmale aufwiesen.“

Einfache Google-Suche liefert weitreichende Erkenntnisse

Die Forscher bemühten einfach eine Google-Suche nach Stichworten aus dem schädlichen PDF. Die infizierten Dokumente fanden sich fast durchweg auf legalen, aber vermutlich kompromittierten Webseiten. In die PDFs waren Links zu Dokumenten auf anderen Webseiten eingebunden, die gemeinsam ein sogenanntes „Backlink Wheel“ bildeten.

Mit diesem Trick ist es letztlich gelungen, hohe Page Ranks zu erzielen. Die Technik ließe sich letztlich für alle möglichen bösartigen Aktivitäten einsetzen. Momentan wurde sie jedoch nur in Verbindung mit einem Angebot für binäre Optionen, einer riskanten Anlageform, entdeckt.

Die PDF-Links führten zunächst zu einer Webseite mit binären Optionen, später verwiesen sie dann auf eine Seite, die einem „Wie man schneller reich wird“-Schema entsprach. Das Dokument war nur noch im Cache zu sehen. Die Links verteilten sich gleichmäßig über das ansonsten aus zusammenhanglosen Suchworten bestehende Dokument und führten zu einer Link-Farm. Sophos Labs hat Google über die Ergebnisse bereits informiert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43498985 / Malware)