Suchmaschinen-Optimierung für kriminelle Zwecke Search Engine Poisoning – wohin geht die Reise?

Autor / Redakteur: Ralph Dombach / Stephan Augsten

Im heutigen Internet mit seinen Abermillionen Webseiten ist es unmöglich, den Überblick zu behalten. Gut, dass es Suchmaschinen wie Google, Bing und Co. gibt, die einem bei der Orientierung helfen. Doch wie sicher sind die Suchergebnisse angesichts der Gefahr des Search Engine Poisoning wirklich?

Firma zum Thema

Search Engine Poisoning hilft Cyberkriminellen dabei, Opfer auf ihre (Web)Seite zu locken.
Search Engine Poisoning hilft Cyberkriminellen dabei, Opfer auf ihre (Web)Seite zu locken.
(Bild: Archiv)

Search Engine Poisoning, kurz SEP, ist eine Strategie, mit der Cyberkriminelle ihr Geschäft anzukurbeln. Für den Täter ist es erforderlich, den Anwender in sein Netz zu locken um dessen Computer oder den Nutzer selbst zu missbrauchen.

Die Frage ist nur, wie man den Anwender dazu bringt, diese „Geschäftsbeziehung“ einzugehen? In den vergangenen Jahren wurde dies oft über Spam erreicht – also mithilfe E-Mails, die den Anwender mit kruden Versprechungen dazu bringen sollten, eine Webseite zu besuchen oder ein Programm zu starten.

Durch ausgereifte Spam-Schutztechniken und Anwender, die dazu gelernt haben, ist die Erfolgsquote von Massenmails jedoch rückläufig. Mehr Geschäft verspricht SEP, denn die Attacke für den Anwender schwerer zu erkennen.

Ablauf einer Attacke

Eine erfolgreiche SEP-Attacke läuft recht unspektakulär ab. Der Anwender sucht eine themenorientierte Webseite bzw. eine spezielle Information und erhält von einer Suchmaschine entsprechende Empfehlungen. Beim Klick auf einen der vorgeschlagenen Links landet er auf einer infizierten Webseite.

Die Schwierigkeit bei einer SEP-Attacke liegt weniger in der Verbreitung von Malware sondern darin, die infizierte Webseite in den Top Ten der Suchergebnisse zu platzieren. Analysen zeigen, dass auf die ersten zehn Empfehlungen etwa 80 Prozent aller Klicks der Websurfer entfallen – die Suchergebnisse der Folgeseiten betrachten die wenigsten Websurfer.

Dementsprechend versuchen die Cyberkriminellen, ihre infizierte Webseite auf der ersten Empfehlungsseite platziert sein. Basis für alle Aktivitäten ist Search Engine Optimization (SEO), also die Optimierung von Webseiten nach Kriterien der Suchmaschinen. SEO gibt Rahmenbedingungen vor, wie dies zu erreichen ist.

Beim Search Engine Poisoning nutzen kriminelle Website-Designer mitunter Methoden, die dem sogenannten Blackhat-SEO entnommen sind. Von den Anbietern der Suchmaschinen sind diese entweder nicht gewünscht oder gar verboten. Dazu zählt beispielsweise auch das automatische Generieren von Backlinks.

Je häufiger eine Webseite verlinkt wird, umso besser wird der Inhalt sein. Blackhats machen sich dies zunutze und generieren automatische Verlinkungen. Diese werden häufig mit finanziellen Mitteln erworben (Linkkauf, Linktausch) und sind nicht erwünscht, da sie keinen reellen, fachlichen Hintergrund haben. Die Unterscheidung der Techniken von Blackhat-SEO zu SEP ist fließend. Blackhats haben im Allgemeinen aber keine kriminelle Ausrichtung und wollen „nur“ ihre Webseite vorne platzieren.

Technische Tricks zur Täuschung

SEP versucht, die Bewertungskriterien der Suchmaschinen bestmöglich zu bedienen. Bekannt ist beispielsweise, dass Google um die 200 unterschiedliche Parameter verwendet, um die Position einer Webseite im Suchergebnis zu bestimmen. Welche Parameter dies sind und wie diese gewichtet werden, ist Firmengeheimnis.

SEO-Experten bemühen sich aber seit Jahren, die wahrscheinlichen Kriterien zu ermitteln. Diese Ergebnisse stellen die Basis für SEP-Aktivitäten dar und werden entsprechend umgesetzt.

Multimedia-Inhalte

Eine ausschließlich aus Textbausteinen bestehende Webseite ist nicht so attraktiv wie eine, auf der Bilder, Videos und PDF-Dateien zu finden sind. Multimedia-Inhalte machen die Webseite für den Surfer und damit auch für die Suchmaschine attraktiver.

Content-Diebstahl

Über spezielle Analysetechniken erkennen Suchmaschinen, ob der angebotene Text eine gewisse Qualität besitzt oder einfach eine Aneinanderreihung zusammenhangloser Wörter ist. Die einfachste Art an guten Text zu kommen besteht aber darin, ihn von anderen Webseiten zu stehlen und auf der SEP-Webseite zu verwenden.

Unsichtbarer Text

Webseiten mit längeren Texten sind in der Regel interessant für den Nutzer. Daher wird oft viel Text auf einer Webseite hinterlegt, aber dem Anwender nie gezeigt. Dazu verwendet man für den Text und den Webseitenhintergrund die gleiche Farbe – einfach aber effektiv. Ebenso kann Text auch in Form von Kommentaren versteckt werden oder in Bereichen, die nur bei veralteten Browser-Versionen angezeigt werden.

Beliebt ist es auch, Text in Abhängigkeit des genutzten Browsers bzw. des User Agent anzuzeigen. Der User sieht nie den Text, der z.B. dem automatischen Erfassungsprogramm der Suchmaschine präsentiert wird. Diese Methode läuft unter dem Begriff „Cloaking“.

Keyword-Stuffing

Ein Suchbegriff wird sehr häufig im Text verwendet. Je häufiger ein Begriff im Text der Webseite verwendet wird, umso genauer behandelt der Text das Thema. Normal sind dabei Werte zwischen drei bis fünf Prozent des gesamten Textes – geht die Keyword-Dichte darüber hinaus, ist das schon „verdächtig“.

Link Spamming

Blogs und Webseiten, auf denen man Kommentare hinterlassen kann werden dazu missbraucht, massenhaft Links auf SEP-Webseite zu erzeugen. Technisch kann dies zwar durch die Betreiber von Blogs und Webseiten unterbunden werden, wird aber nicht von allen Verantwortlichen genutzt.

Werden diese und andere SEP-Tricks in Summe angewendet, kann man das Ranking durchaus beeinflussen. Je besser Schlüsselworte gewählt werden und je aktueller ein Thema sind, umso besser die erzielten Ergebnisse. Katastrophen, Meldungen über VIPs oder Gerüchte bieten sich bevorzug an, um manipulierte Webseiten dem Websurfern unterzuschieben.

Schlagen Bing, Google & Co. zurück?

Die Aufgabe von Suchmaschinen ist es, die Webseiten ausfindig zu machen, die den größten Nutzen bieten. Schadsoftware auf den Webseiten zu entdecken ist nicht die eigentliche Aufgabe der Suchdienste. Man hat zwar das Problem erkannt und leistet auch seinen Beitrag, um die Verbreitung von Schadsoftware einzudämmen und keine virulenten SEP-Webseiten zu empfehlen, doch es ist ein nie endender Kampf.

Eine Webseite, die es in den Index der Suchmaschinen schafft, kann heute ohne Schadsoftware sein, doch morgen wird sie ggf. durch den Betreiber entsprechend modifiziert und ist nun gefährlich. Suchmaschinen können nicht jede indizierte Seite tagtäglich (oder gar stündlich) auf Malware überprüfen – denn die dafür benötigten Ressourcen (Rechenzeit, Malware-Erkennung) sind nicht oder nicht in der erforderlichen Quantität vorhanden.

Wie schützt man sich vor SEP?

Da Suchmaschinen-Anbieter keinen umfassenden Schutz bieten (können), liegt es am Anwender selbst, sich vor bösartigen Webseiten zu schützen, die durch SEP in den Top 10 der Suchergebnisse lauern. Ein bewährtes Mittel ist dabei ein Browser-Plug-in, wie es von den meisten der Antivirus-Hersteller angeboten wird.

Dabei wird eine Security-Schicht eingeführt, die Links zu den Suchergebnissen bewertet. Ein solches Reputationssystem bietet einen guten Basisschutz, aber keine 100% Sicherheit. Der Grund dafür liegt in der Arbeitsweise der Tools. Die Bewertung einer Webseite stammt aus einer Reputationsbasis bzw. einer Datenbank und diese wurde zu einem unbekannten Zeitpunkt erstellt bzw. aktualisiert

Unter Umständen wurde die Schadfunktion der SEP-Webseite erst nach der letzten Reputations-Überprüfung eingebaut, so dass nun eine veränderte Webseite vorliegt und die Reputation nicht mehr valide ist. Man könnte zwar eine Live-Erkennung der Validität einbauen (und sofort eine ggf. erforderliche Re-Evaluierung durchführen), aber dies würde den Zeitbedarf für die Überprüfung der Suchresultate erhöhen und damit die User-Akzeptanz dieser Schutzfunktion deutlich verringern.

Einen zusätzlichen Schutz vor SEP-Webseiten bietet aber ein gepflegter Web-Browser, der alle bekannten Security-Patches beinhaltet und ein guter Antivirus-Scanner, der Web-Attacken abfängt und den User vor bösartigen Webseiten bewahrt.

Ausblick

SEP wird sich als Standard-Strategie der Cyberkriminellen etablieren. Der Anwender muss damit rechnen, dass auch schwarze Schafe unter den Top 10 der empfohlenen Webseiten zu finden sind, denn Webseiten sind ein ideales Werkzeug zur Anbahnung von „Geschäftskontakten“ durch Cyberkriminelle.

Im Zweifelsfall sollte man eher auf bekannte Webseiten ausweichen als auf eine unbekannte Webseite – denn die Gefahr dort auf Malware zu treffen ist erhöht, auch wenn dies die Vielfalt der Informationen leider einschränkt.

(ID:39185410)