Die Analyse illegaler SEO-Kampagnen, die auf kriminelle Webseiten für Medikamente und Inhalte für Erwachsene lenken, stehen im Mittelpunkt der Betrachtung.
Der Hacker-Intelligence-Initiative-Report mit dem Titel »Black Hat SEO: Eine detaillierte Analyse illegaler SEO-Strategien« zeigt auf, wie Forscher des Imperva Defense Center (IDC) einen lang andauernden und immer noch aktiven, illegalen Angriff entdeckten, der Sicherheitslücken auf Tausenden von rechtmäßigen Webseiten nutzt und so deren SEO-Ergebnisse für unerlaubte Weiterleitung auf illegale Webseiten mit kriminellen Webshops verbessert [1].
Einer der größten Einflussfaktoren auf das SEO-Seitenranking ist, wie viele andere Seiten Links zurück zur Seite enthalten und wie hoch die entsprechenden Seiten selbst platziert sind. Es ist sowohl aus finanzieller Sicht als auch in Bezug auf den Markenwert wichtig, so viele seriöse und beliebte Webseiten wie möglich zur geförderten Seite zu verlinken.
In der im HII-Report untersuchten Kampagnen gefährden die Angreifer Webseiten oder übernehmen den hostenden Server, um nicht autorisierte Verbindungen zu erstellen, die zurück auf die Webseite ihrer Kunden verweisen. IDC-Forscher fanden heraus, dass die Angreifer die Content-Management-Systeme von kompromittierten Websites nutzen, um Fake-Blogs mit Links zu Online-Apotheken zu erstellen, um deren SEO-Rankings zu erhöhen. Die illegale SEO-Angriffskampagne, die von Imperva identifiziert wurde, ist hartnäckig, zieht sich über mehrere Monate hin und fördert Dutzende von Webseiten – vermutlich die der zahlenden Kunden des Angreifers – von denen die meisten Online-Pharmazie-Einzelhändler oder Webseiten für Erwachsene sind.
Die Angreifer nutzen Botnets, um die Anzahl der kompromittierten Webseiten zu erweitern.
Botnets sind Netzwerke von ferngesteuerten Computern und Geräten oder »Bots«, die mit Schadprogrammen infiziert sind. Die Angreifer können ihre eigenen Botnets erstellen oder sogar Botnets als Dienste mieten oder vermieten. Cyberkriminelle steuern die Botnets für ihre eigenen Zwecke und ohne das Wissen des Gerätebesitzers. Die Botnets starten SQL-Injection (SQLI), HTML-Link-Injection und Kommentar-Spam-Attacken, die Sicherheitslücken auf angesehenen Webseiten und in Content-Management-Systemen ausnutzen. Genutzt werden diese Schwachstellen von den Angreifern, um Links von der kompromittierten Seite zurück zur geförderten illegalen Seite zu erstellen. Dieses Vorgehen verbessert die Suchmaschinen-Rankings der illegalen Seiten. Über 700 Hosts (IP-Adressen) wurden vom Botnet im vom HII-Report untersuchten Zeitraum verwendet, um die SQLI und HTML-Link-Injection-Angriffe zu starten.
»Automatische Angriffs-Tools, auch als Malicious Bots bekannt, werden jederzeit eingesetzt, um weit verbreitete Angriffe auf Websites zu erzielen. Dazu nutzen erfahrenere Angreifer ein verbreitetes Netzwerk von Bots, um diese Angriffe zu starten«, erklärt Amichai Shulman, Mitgründer und CTO von Imperva. Während es üblich ist, dass viele Variationen im gleichen Angriffsvektor diese Kampagnen umfassen – so wie Kommentarspam immer die Rankings der geförderten Seite verbesserte – ist es ungewöhnlich, eine facettenreiche, langfristige Kampagne mit der Koordination von gleichen Botnets im Umlauf zu identifizieren.
»Diese Art von Angriff hat das Potenzial, das Kundenerlebnis und den Markenwert einer rechtmäßigen Webseite zu beeinflussen und es könnte sogar die Funktionalität einiger Seitenanwendungen zerstören«, erklärt Shulman. Diese SQLI Angriffe werden in der Regel als »Gateway”-Angriffe bezeichnet und können als Sondierung des Terrains für kommende ernstzunehmende Angriffe dienen. Webseiten können quasi als Schnellstraße zu unternehmenskritischen Daten gesehen werden, so dass betroffene Besitzer besonders besorgt sein müssen, solange mittels SQLI-Attacken Daten gestohlen werden. Dies dient defintiv als Erinnerung daran, wie erbarmungslos Cyber-Kriminelle sind und dass es notwendig ist, die Sicherheit von Webseiten zu stärken.
[1] Der komplette Bericht steht hier zum Download bereit. https://www.imperva.com/docs/Imperva_HII_Black_Hat_SEO.pdf
SSL-Zertifikate: Wert des Sicherheitskennzeichens hängt vom Vertrauen in Zertifizierer ab