185447

Online-Kriminelle verbergen schädlichen Code vor Suchmaschinen

26.04.2010 | 15:44 Uhr |

Suchmaschinen sind für Online-Kriminelle wichtiges Hilfsmittel und Gegenspieler zugleich. Sie sollen potenzielle Opfer auf die präparierten Web-Seiten bringen, jedoch den Angriffs-Code nicht entdecken.

Online-Kriminelle haben es nicht leicht. Sie verwenden viel Mühe darauf potenzielle Opfer mit Hilfe von Suchmaschinen auf ihre Web-Seiten zu locken. Doch wenn etwa der Google-Bot schädlichen Code auf den Seiten entdeckt, werden die Besucher gewarnt und die erhofften Profite bleiben aus. Das gilt es zu verhindern ohne die Suchmaschinen als unfreiwillige Mithelfer zu verlieren.

Die Web-Crawler von Suchmaschinen wie Google und Yahoo sind mit Browser-Kennungen im Web unterwegs, die es einem Web-Server ermöglichen, sie von einem normalen Browser zu unterscheiden. So sind Googles Suchagenten als " Googlebot " erkennbar. Mit Hilfe der IP-Adresse des Besuchers kann eine Website verifizieren, ob es sich tatsächlich um einen Google-Agenten oder um einen normalen Browser mit gefälschter Kennung handelt.

Online-Kriminelle präparieren Web-Seiten mit kopierten Inhalten anderer Seiten, um bei tagesaktuellen Themen weit vorne in den Trefferlisten der Suchmaschinen zu landen. Die präparierten Seiten enthalten meist Code zur Weiterleitung von Besuchern auf andere Web-Seiten, die Angriffs-Code und Malware enthalten. Damit dieser schädliche Code nicht von den Suchagenten entdeckten wird, bauen die Angreifer eine so genannte Browser-Weiche ein.

Der Google-Bot und seine Verwandten bekommen also letztlich andere Seiten zu sehen als der normale Web-Nutzer. Der könnte sonst von seinem Browser, etwa mit Hilfe der Google Safe Browsing API , vor möglichen Gefahren gewarnt werden. Googles Safe Browsing API wird von Firefox und Chrome abgefragt, um Benutzer vor dem Besuch potenziell schädlicher Web-Seiten zu warnen.

Die Angreifer gehen oft sogar noch einen Schritt weiter und liefern den schädlichen Code nur dann an den Browser aus, wenn dieser einem Link in den Trefferlisten einer Suchmaschine gefolgt ist. Dies ist am beim Abruf einer Web-Seite standardmäßig mit übertragenen "Referrer" erkennbar, der URL der verlinkenden Seite. Suchmaschinennutzer laufen so in die Malware-Falle. Ruft ein Benutzer (zum Beispiel ein Malware-Forscher) die Seite ohne den Umweg über Google auf, bekommt er nur eine schadstofffreie Seite zu sehen.

0 Kommentare zu diesem Artikel
185447