91928

Wie Hacker Google für ihre Zwecke missbrauchen

29.01.2008 | 11:43 Uhr |

Im vergangenen November nutzten Internet-Verbrecher die Beliebtheit von Google für einen massiven Malware-Angriff auf ahnungslose Suchmaschinen-Nutzer aus. Die präparierten Sites wurden dabei mittels Suchmaschinenoptimierung in den Ergebnislisten sehr weit oben aufgeführt. Alex Eckelberry, Chef der Sicherheitsfirma Sunbelt Software, erklärt, wie die Gauner vorgegangen sind.

In der westlichen Hemisphäre ist Internet-Suche nahezu gleichbedeutend mit Google. Das Quasi-Monopol in diesem Bereich macht das Unternehmen - analog zu Windows - immer interessanter für Internet-Verbrecher. Alex Eckelberry, CEO von Sunbelt Software, berichtet in einem Beitrag unserer Kollegen der PC World nun über einen massiven Malware-Angriff, bei dem die Betrüger Google für ihre Zwecke missbraucht haben.

Demnach begann der Angriff am 24. November 2007 und dauerte knapp eine Woche. Insgesamt haben die Angreifer laut Eckelberry dabei über 40.000 mit Malware gespickte Sites online gestellt und diese auf unverfängliche Suchbegriffe optimiert. Darunter beispielsweise Suchanfragen wie "Microsoft excel to access" oder "how to teach your dogs to fetch". In einem zweiten Schritt wurden diese Sites über ein Botnet beworben, indem die Zombie-Rechner automatisch in diversen Foren oder Blogs Links auf die verseuchten Sites setzten. Dies trug laut Eckelberry dazu bei, dass die Sites bei Google in den Ergebnislisten häufig auf der ersten Seite auftauchten.

Sobald ein Anwender über die Google-Suche zu einer solchen Site gelangte, wurde die übliche Malware-Maschinerie in Gang gesetzt. Dabei wurde laut Eckelberry versucht, diverse Sicherheitslücken auszunutzen, oder - falls der Rechner ansonsten keinen Angriffspunkt bot - auf Phishing, also das Abfragen persönlicher Informationen, gesetzt. "Es handelte sich um eine gewaltige Welle", sagte Eckelberry. Der Angriff markiere zugleich eine neue Stufe der Entwicklung, bei der verschiedene Techniken genutzt werden, um Malware-verseuchte Sites zu bewerben und Anwender in die Falle zu locken.

Auf den Angriff aufmerksam wurde der Sunbelt-Forscher Adam Thomas, als er auf der Suche nach einer Router-Firmware die Abfrage "netgear ProSafe DD-WRT" eintippte. Ihm kam bei den Ergebnissen der ersten Seite ein Link verdächtig vor. Weitere Nachforschungen ergaben dann, dass bei einer Vielzahl weiterer, unverfänglicher Anfragen, ähnliche Ergebnisse zu Tage traten.

Mittlerweile finden sich keine dieser Sites mehr in den Ergebnislisten von Google, auch wurden verseuchte Websites von Trittbrettfahrern mittlerweile geblockt. Wie Google dabei im Detail vorgegangen ist, ist allerdings nicht bekannt.

0 Kommentare zu diesem Artikel
91928