Website-Hacks als SEO-Maßnahme


Die amerikanische Firma Imperva, ein Anbieter von Security-Produkten, weist in einem kürzlich veröffentlichten Report auf eine neue, kriminelle Hacker-Strategie hin: Anstatt Computer und Firmennetzwerke zu infizieren und interne, vertrauliche Daten auszuspähen, werden verstärkt Websites mit Links zu pornographischen Angeboten und Online-Apotheken versehen. Gleichzeitig platzieren die Angreifer auf Hunderten von Sites automatisch erzeugte Blog-Kommentare, die Links zu den gleichen Adressen enthalten. Ziel ist es ganz offensichtlich, die Reihenfolge der Treffer in den großen Suchmaschinen zu beeinflussen und möglichst viele Besucher auf die Seiten zu locken.

Um sich Zugriff auf den Quelltext der Websites zu verschaffen, verwenden die Hacker SQL-Injections, sie nutzen also Sicherheitslücken in SQL-Datenbanken aus. Auf diese Weise schleusen sie ihren HTML-Code in dynamisch erzeugte Seiten ein, und zwar in jede Spalte eines jeden Datensatzes einer Web-Applikation. Sobald eine Suchmaschine die Website erneut indexiert, werden die eingebetteten Links erkannt und die Zieladressen steigen in den Rankings nach oben.

Der eingeschleuste HTML-Code verweist jedoch nicht nur direkt auf die oben erwähnten Angebote, sondern vielfach auch auf Textschnipsel, die in den Kommentar-Sektionen von Blogs erzeugt wurden. Erst diese enthalten dann die Links auf die beworbenen Seiten.

Wie die Sicherheitsexperten von Imperva ausführen, richtet der eingebettete HTML-Code in den Websites keinen nennenswerten Schaden an. Er ist für die Besucher noch nicht einmal sichtbar, da er mit der CSS-Regel div style="display:none" versteckt wird. Tatsächlich sind diese Code-Schnipsel eher mit Parasiten vergleichbar, die von einer gut funktionierenden und häufig frequentierten Website profitieren.

Zum Infizieren der Websites verwenden die Angreifer ein Botnetz. Es handelt sich um ein eher kleines Netz, denn zwischen November 2015 und März 2016 wurden gerade einmal 650 Hosts identifiziert, von denen die meisten zudem nach wenigen Tagen nicht mehr existierten. Sie erzeugten zwischen 500 und 1.000 HTTP-Requests pro Stunde, auch das ist nicht besonders viel. Doch es genügte, um mehrere Tausend Seiten zu infizieren. Wie stark sich diese kriminellen SEO-Maßnahmen auf das Ranking der Zieladressen ausgewirkt haben, lässt sich hingegen nicht exakt bestimmen, da hier mehrere, unterschiedlich stark gewichtete Faktoren eine Rolle spielen.

Zwar ist der Code, der die oftmals dubiosen Seiten im Suchmaschinenranking nach vorn schiebt, selbst nicht gefährlich. Den Betreibern der Seiten beziehungsweise Kriminellen, die diese Seiten kontrollieren, ist es aber ein leichtes, aus den Webservern Malware-Schleudern zu machen, die per Exploit Kit nach Schwachstellen auf den Rechnern der Besucher suchen und diese im Zweifel infizieren.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (1)

  1. Ardekay sagt:

    Oha, da muss man wirklich immer die Augen offen halten!

Skip to main content