quelle: magnus.de
Online-Kriminelle nutzen die Bildersuchfunktion von Google, um potenzielle Opfer auf präparierte Scareware- und Malware-Seiten zu locken. Der neueste Köder sind vorgebliche Bilder der Tötung Osama Bin Ladens. Doch die Masche wird schon länger genutzt, inzwischen auch gegen Mac-Nutzer.
Während Google Links, die zu Malware-Seiten führen, relativ zügig aus seiner normalen Web-Suche entfernt, tut sich der Suchmaschinenriese damit bei seiner Bildersuche weitaus schwerer. Online-Kriminelle nutzen das eifrig aus, um vor allem Scareware zu verbreiten. Seit Beginn dieser Woche sind Bilder Osama Bin Ladens der wichtigste Köder, in der Vorwoche waren es noch solche der britischen Prinzenhochzeit.
Bojan Zdrnja beschreibt im Tagebuch des Internet Storm Center, wie die Täter dabei vorgehen. Sie hacken legitime Websites, laden ihre PHP-Script-Sammlung auf den Server und lassen sie Web-Seiten erzeugen, die für Google relevant erscheinen. Die generierten Seiten bestehen aus kopierten Inhalten, Texten und Bildern, von diversen anderen Websites. Die Inhalte werden automatisch mit Hilfe verschiedener Suchmaschinen aufgespürt. So entstehen sehr schnell Seiten mit Inhalten zu gerade aktuellen Themen.
Kommt der Google-Bot vorbei, um die neuen Seiten zu erkunden, wird er erkannt und auf speziell vorbereitete Seiten umgelenkt, die er in den Index aufnimmt. Klickt ein Suchender auf einen entsprechenden Bild-Link in Googles Bildersuche, wertet der manipulierte Web-Server die Anfrage aus. Zunächst prüft er, ob der Besucher über einen Google-Link kommt. Außerdem wertet er die IP-Adresse des Besuchers aus, um dessen Herkunft zu erfahren.
Aus den Informationen, die der Browser übermittelt, kann ein Script zudem feststellen, welche Browser-Version mit welchen Plug-ins und welches Betriebssystem vorhanden ist. Abhängig davon wird der Seiten-Abruf des Besuchers beantwortet. Windows- wie Mac-Benutzer bekommen jeweils passende Scareware-Seiten zu Gesicht, vor allem wenn das Server-Script eine US-IP-Adresse erkennt.
Da die derart präparierten Seiten stark auf verschachtelte und verschleierte Javascript-Konstrukte setzen, schützt das Deaktivieren von Javascript im Browser vor Infektionen. Firefox-Benutzer haben es bequemer, denn sie können mit der Erweiterung Noscript Javascript generell aus- und für vertrauenswürdige Seiten gezielt einschalten. Denn ganz ohne Javascript sind viele populäre Websites kaum nutzbar.
Eine andere Möglichkeit besteht darin, dem Browser zu verbieten den so genannten "Referer" zu übermitteln. Das ist die Web-Adresse derjenige Seite, auf der man den Link zur gerade aufgerufenen Seite angeklickt hat. Erkennt das Script auf dem Scareware-Server nicht, dass man von Google kommt, landet man meist auch nicht auf einer Scareware-Seite. Beide Maßnahmen bieten allerdings keine völlige Sicherheit vor Web-Schädlingen.
Online-Kriminelle nutzen die Bildersuchfunktion von Google, um potenzielle Opfer auf präparierte Scareware- und Malware-Seiten zu locken. Der neueste Köder sind vorgebliche Bilder der Tötung Osama Bin Ladens. Doch die Masche wird schon länger genutzt, inzwischen auch gegen Mac-Nutzer.
Während Google Links, die zu Malware-Seiten führen, relativ zügig aus seiner normalen Web-Suche entfernt, tut sich der Suchmaschinenriese damit bei seiner Bildersuche weitaus schwerer. Online-Kriminelle nutzen das eifrig aus, um vor allem Scareware zu verbreiten. Seit Beginn dieser Woche sind Bilder Osama Bin Ladens der wichtigste Köder, in der Vorwoche waren es noch solche der britischen Prinzenhochzeit.
Bojan Zdrnja beschreibt im Tagebuch des Internet Storm Center, wie die Täter dabei vorgehen. Sie hacken legitime Websites, laden ihre PHP-Script-Sammlung auf den Server und lassen sie Web-Seiten erzeugen, die für Google relevant erscheinen. Die generierten Seiten bestehen aus kopierten Inhalten, Texten und Bildern, von diversen anderen Websites. Die Inhalte werden automatisch mit Hilfe verschiedener Suchmaschinen aufgespürt. So entstehen sehr schnell Seiten mit Inhalten zu gerade aktuellen Themen.
Kommt der Google-Bot vorbei, um die neuen Seiten zu erkunden, wird er erkannt und auf speziell vorbereitete Seiten umgelenkt, die er in den Index aufnimmt. Klickt ein Suchender auf einen entsprechenden Bild-Link in Googles Bildersuche, wertet der manipulierte Web-Server die Anfrage aus. Zunächst prüft er, ob der Besucher über einen Google-Link kommt. Außerdem wertet er die IP-Adresse des Besuchers aus, um dessen Herkunft zu erfahren.
Aus den Informationen, die der Browser übermittelt, kann ein Script zudem feststellen, welche Browser-Version mit welchen Plug-ins und welches Betriebssystem vorhanden ist. Abhängig davon wird der Seiten-Abruf des Besuchers beantwortet. Windows- wie Mac-Benutzer bekommen jeweils passende Scareware-Seiten zu Gesicht, vor allem wenn das Server-Script eine US-IP-Adresse erkennt.
Da die derart präparierten Seiten stark auf verschachtelte und verschleierte Javascript-Konstrukte setzen, schützt das Deaktivieren von Javascript im Browser vor Infektionen. Firefox-Benutzer haben es bequemer, denn sie können mit der Erweiterung Noscript Javascript generell aus- und für vertrauenswürdige Seiten gezielt einschalten. Denn ganz ohne Javascript sind viele populäre Websites kaum nutzbar.
Eine andere Möglichkeit besteht darin, dem Browser zu verbieten den so genannten "Referer" zu übermitteln. Das ist die Web-Adresse derjenige Seite, auf der man den Link zur gerade aufgerufenen Seite angeklickt hat. Erkennt das Script auf dem Scareware-Server nicht, dass man von Google kommt, landet man meist auch nicht auf einer Scareware-Seite. Beide Maßnahmen bieten allerdings keine völlige Sicherheit vor Web-Schädlingen.
mfg a.nili
Fragen gehören in den Themenbereich und nicht in die News oder in den Vorstellungsbereich!
Kein Support per PN!
Kein Internet Cardsharing (Board Regel 13)!
Kein Support per PN!
Kein Internet Cardsharing (Board Regel 13)!
... falls du das Zeug dazu hast und einen Bereich betreuen möchtest
Werde Teil des Teams! ... und bewirb dich als Moderator
Werde Teil des Teams! ... und bewirb dich als Moderator