Search Engine Poisoning: eine unterschätzte Gefahr
Manipulierte Suchmaschinenergebnisse machen derzeit bereits gut 40 Prozent der Malware-Angriffe aus. Im Vergleich dazu liegen mit Malware verseuchte E-Mails abgeschlagen an zweiter Stelle – mit lediglich 11,6 Prozent. Das fanden die Blue Coat Security Labs heraus. Manipulierte Suchmaschinenergebnisse versuchen, ahnungslose Nutzer auf eine mit Malware infizierte Seite zu locken. Ziel ist es, die infizierte Website möglichst weit oben im Such-Ranking zu platzieren und dem Nutzer vorzugaukeln, interessante Inhalte zu seinem Suchbegriff zu enthalten.
Natürlich surft niemand freiwillig nach Malware. Vielmehr ist die Nutzung der gängigen Suchmaschinen wie Google oder Bing aus unserem Alltag heute gar nicht mehr wegzudenken. Anwender vertrauen den Ergebnissen, die Suchmaschinen liefern. Zudem sind sie bei deren Nutzung mit der normalen Suche nach bestimmten Informationen beschäftigt. Und sie klicken in der Regel auf einen oder mehrere die zehn obersten Links, die von der Suchmaschine als Ergebnis geliefert werden.
Beim Search Engine Poisoning (SEP) suchen Cyberkriminelle in erster Linie nach Wegen, eine große Nutzerzahl auf möglichst einfache Art zu attackieren. Was liegt da heutzutage näher, als die Manipulation von Suchmaschinen, die wir alle täglich nutzen. Die Ergebnisse einer solchen Suchmaschine zu manipulieren, ist freilich nicht ganz so einfach wie das Aufsetzen eines Angriffs via E-Mail.
Doch einerseits wissen die Anwender inzwischen über die Gefahren infizierter E-Mails sehr gut Bescheid und andererseits haben es die Suchmaschinen-Anbieter selbst den Angreifern durch Funktionen wie Suchmaschinenoptimierung auch etwas leichter gemacht, eine Attacke zu planen. Und so nutzen auch die “Bösen” Methoden für Suchmaschinenoptimierung, um ihre Köder-Website möglichst hoch im Suchmaschinen-Ranking zu platzieren.
Saisonale Suchbegriffe nicht das größte Problem
In der Branche kursiert das Gerücht, dass die verseuchten Ergebnisse vorwiegend Neuigkeiten über Großereignisse, etwa die Olympischen Spiele, Nachrichten über das aktuelle Tagesgeschehen oder Prominente betreffen. Doch dem ist gar nicht so. Vielmehr verstecken die Angreifer ihre Schadsoftware hinter ganz alltäglichen Begriffen, beispielsweise der Suche nach Kochrezepten.
Das bedeutet, dass die Nutzer bei Suchen nach Großevents eigentlich sicherer sind, als bei der Suche nach alltäglichen Themen. Denn über Großevents berichten zahlreiche namhafte und im Ranking weit oben vertretene Portale. Entsprechend schwierig ist es daher, zu diesen Themen einen SEP-Angriff aufzusetzen. Denn die Wahrscheinlichkeit, mit der Köder-Website unter die Top-Ten-Suchergebnisse zu kommen, ist relativ gering.
Auswertung 2300 verseuchter Suchbegriffe |
|
| Suchbegriff | Prozent der Klicks |
|---|---|
| Proxy/Unblocker | 2,0 |
| Pornografie | 11,2 |
| Nicht-englischsprachiger Inhalt | 18,1 |
| Prominente | 2,7 |
| Video/Stream | 3,5 |
| Spezielle Site | 9,5 |
| App/Software | 5,8 |
| Urlaub | 5,3 |
| Sonstiges | 42 |
Und natürlich sind auch Google und Bing nicht untätig. Schließlich haben sie selbst großes Interesse daran, dass die Anwender ihre Suchmaschinen nutzen. Doch die Cyberkriminellen finden immer neue Wege, um Websites zu manipulieren und zwingen die Suchmaschinenbetreiber so dazu, immer bessere Mechanismen zu finden, um Schadsoftware sowie manipulierte Inhalte zu entdecken und abzuwehren.
Ergebnisse aus den Security Labs
Die Blue Coat Security Labs haben gezielt die Kategorien von 2300 Suchbegriffen analysiert, die Nutzer tatsächlich zu Malware geführt haben. Dabei machte die Suche nach Promi-News zum Beispiel nur 2,7 Prozent aller mit Malware infizierten Suchbegriffe aus. Mit 42 Prozent hingegen führten “Sonstige”-Suchanfragen am häufigsten zu infizierten Links. In diese Kategorie “Sonstiges” fallen genau die alltäglichen Begriffe, nach denen Anwender am häufigsten suchen und die nicht leicht zu kategorisieren sind.
Gerade bei solchen Suchen haben die Cyberkriminellen aber die besten Chancen, im Ranking der Suchmaschine weit oben zu landen und damit die Rechner der Nutzer erfolgreich mit Malware zu infizieren. Kürzlich haben die Blue Coat Security Labs beispielsweise einen erfolgreichen Angriff entdeckt, der auf die Suche nach “Lebenslauf” (“sample resume letters”) abzielte. Das zeigt, dass Suchen nach Nischenthemen, die nicht von den großen Nachrichtenlieferanten abgedeckt werden, aktuell die besten Möglichkeiten bieten, Suchmaschinenergebnisse zu infizieren.
Fünf Tipps für Anwender
Wachsamkeit: Die meisten Anwender haben inzwischen gelernt, bei Links in E-Mails Vorsicht walten zu lassen – insbesondere dann, wenn sie den Absender der E-Mail nicht persönlich kennen. Dieselbe Vorsicht sollten sie auch bei den Ergebnissen von Suchmaschinen walten lassen.
Webfilter: Der Einsatz eines Webfilters ist eine gute Ergänzung zur lokalen Antivirensoftware. Die Software hilft Ihnen, Malware-Angriffe wie manipulierte Suchmaschinenergebnisse wirkungsvoll von Ihrem Rechner fernzuhalten. Unternehmen können ihren Webfilter auch zentral auf dem Internet-Gateway betreiben. Für mobile und stationäre Nutzer kann ein Mischbetrieb aus zentralem Gateway, Client-Lösung und Cloud-Dienst sinnvoll sein.
Vorschautexte: Achten Sie auf die Vorschautexte, welche die Suchergebnisse liefern. Wenn Sie nach einem deutschen Suchbegriff suchen, sollte es Ihnen suspekt vorkommen, wenn die Vorschau auf eine Trefferseite auf Englisch oder Russisch ist.
Domain-Endung beachten: Eine Internetadresse mit der Endung .de, .com oder .net ist natürlich keine Garantie für eine Malware-freie Website. Doch gerade bei Endungen wie .ru oder .cn sollte man besonders vorsichtig sein.
Im Zweifelsfall einfach nicht klicken: Erscheint ein Suchergebnis suspekt zu sein, sollte man einfach nicht darauf klicken. Suchmaschinen liefern zu den meisten Suchanfragen mindestens tausende Ergebnisse. Es gibt also genügend Alternativen.
Der Autor:
Dietmar Schnabel, der Autor dieses Expertenbeitrags für ITespresso, ist Geschäftsführer DACH & Osteuropa bei Blue Coat Systems. Das Unternehmen ist einer der Technologieführer bei Lösungen für Websicherheit und WAN-Optimierung (Bild: Blue Coat).