Verseuchte PDF-Dateien in Suchtreffern: Hacker tricksen Google wieder aus
Die Praxis ist nicht neu, war aber von Google vorübergehend eingedämmt worden. Nun scheinen Kriminelle einen Weg gefunden zu haben, Googles Vorkehrungen erneut zu umgehen. Das Sicherheitsunternehmen Sophos fand hunderte präparierte PDF-Dateien an prominenter Stelle in den Trefferlisten.
Der IT-Security-Anbieter Sophos hat bemerkt, dass Hacker offenbar einen neuen Weg gefunden haben, um für kriminelle Zwecke präparierte PDF-Dateien prominente in Googles Suchergebnissen zu platzieren. Das sogenannte PDF-Cloaking ist zwar eine lange bekannte Technik. Google war es in den vergangenen Jahren jedoch gelungen, durch Feintuning seines Algorithmus das Problem einzudämmen. Nach Auffassung von Sophos hat es nun jedoch mindestens eine Hacker-Gruppe geschafft, diesen Schutz zu umgehen.
Um Googles Seitenindizierung zu täuschen, werden Dokumente oder Webseiten so modifiziert, dass sie sich Googles Webcrawler, dem Googlebot, gegenüber der als harmlos präsentieren. Allerdings vermitteln ihm die Kriminellen einen völlig anderen Inhalt, als ein menschlicher Besucher wahrnimmt. Dies ist möglich, weil die Suchmaschine sich bei ihrer Arbeit als Googlebot zu erkennen gibt. Der Webcrawler wird dann mit für ihn passenden Informationen versorgt, die zu einer hohen Platzierung innerhalb der Trefferliste führen.
“Die aktuellen Erkenntnisse beruhen auf einem von Sophos Labs entdeckten, schadhaften PDF”, erläutert Sascha Pfeiffer, Principal Security Consultant bei Sophos. “Sophos suchte daraufhin gezielt nach Dokumenten mit ähnlichen Eigenschaften und erhielt innerhalb kürzester Zeit hunderte schadhafter PDF-Dokumente, die alle identische Merkmale aufwiesen.”
Laut Sophos machen sich die Kriminellen dabei die Tatsache zunutze, dass der Google-Algorithmus offenbar Inhalte in Form eines PDF anstelle einer Webseite per se als seriöser und bedeutsamer einstuft. Außerdem kam Sophos zu der Erkenntnis, dass offenbar URLs mit der Endung.gov oder .edu besser bewertet werden.
Die Experten der Sophos Labs fanden bei der Google-Suche nach Stichworten aus den schadhaften PDFs eine große Anzahl ähnlicher Dokumente auf grundsätzlich legalen, aber vermutlich kompromittierten Webseiten. Zu der ungewöhnlich hohen Anzahl von Stichworten enthielten die PDFs Links zu Dokumenten auf anderen Webseiten, die gemeinsam ein sogenanntes “Back-Link-Rad” bildeten. Dieser Trick reichte offenbar aus, um von Google ein hohes Seitenranking zu erhalten.
Die von Sophos entdeckten Aktivitäten stehen im Zusammenhang mit einem Handelsangebot für binäre Optionen, einer besonders riskanten Anlageform. Jeder Link auf der Seite der Google-Suchresultate gehörte zu dieser Kampagne. Die PDF-Links führten zunächst zu einer Webseite mit binären Optionen. Einige Zeit später führte der Link jedoch zu einer Seite die schnellen Reichtum versprach. Sophos Labs hat Google über die Ergebnisse bereits informiert, bevor sie veröffentlicht wurden. Verbrauchern kann trotzdem geraten werden, sich vor dem Anklicken von PDF-Dokumenten zu überlegen, ob das Thema der Website und der versprochene Inhalt des Dokuments in sinnvollem Zusammenhang stehen.