Betrüger hacken Websites für besseres Google-Ranking

Das NCSC hat seinen ersten Wochenrückblick im Jahr 2023 veröffentlicht. Darin warnt das Center vor gehackten Websites, die für die Suchmaschinen-Optimierung missbraucht werden. Damit wollen Hacker das Google-interne Website-Ranking ausnutzen, um bösartige Links dort höher einzuordnen.

Das NCSC habe zunächst eine Meldung über dubiose Ergebnisse einer Google-Suche erhalten. Die Suchmaschine führte wie gewohnt die Titel der gefundenen Websites an, darunter waren statt Website-Ausschnitten jedoch reihenweise Fehlermeldungen zu lesen.

Statt eines Ausschnitts der gefundenen Websites zeigte Google Fehlermeldungen wie "Parse Error; Syntax Error". (Source: Screenshot / NCSC)

Beim Klick auf die betroffene Website erschien laut NCSC dieselbe Meldung. Ein direkter Zustieg über die URL führte hingegen auf die übliche Seite ohne Fehlermeldung.

Das NCSC vermutete daraufhin, dass die Website in Abhängigkeit vom sogenannten "User Agent" unterschiedlich angezeigt werde. Der User Agent wird bei jedem Website-Aufruf mitgesendet und gibt dem Betreiber Informationen über den Besucher oder die Besucherin. Dazu zählen wie das verwendete Betriebssystem oder der Webbrowser. Auch Suchmaschinen wie Google, Bing und Co. weisen sich mit einer speziellen Kennzeichnung aus. Websites können also erkennen, ob jemand über die Google-Ergebnisse oder aber direkt auf die Seite klickt.

Ein Test des NCSC bestätigte die Vermutung. Beim Öffnen der Website mit einem herkömmlichen User Agent wurde die Website korrekt dargestellt. Setzt man als User Agent jedoch “Google” ein, zeigt die Website eine Reihe an Links, die mit Zahlen- und Buchstabenkombinationen maskiert sind.

Es handle sich dabei um einen typischen Versuch, Suchmaschinen-Ergebnisse zu manipulieren, schreibt das NCSC. Im aktuellen Fall nutzen die Angreifer gehackte Websites und schleusen dort Schadcode ein. Dieser prüft den User-Agent und zeigt die dubiose Link-Liste an, wenn ein Aufruf von Google stammt. Google speichert und indexiert die Links daraufhin. Da die Links auf vielen verschiedenen gehackten Websites angezeigt werden, denkt die Suchmaschine, sie seien relevant und ordnet sie in ihren Ergebnissen höher ein.

Da die Website bei einem direkten Öffnen über die URL und auch dem Websitebesitzer "normal" angezeigt wird, falle der Betrug nicht so schnell auf, schreibt das NCSC. 

Häufig seien Internetseiten betroffen, die mit dem CMS-Programm "Kentico" betrieben werden, warnt das Sicherheitszentrum weiter und vermutet im System ungepatchte Schwachstellen. Doch auch andere CMS stünden hinter den gehackten Seiten. Das NCSC rät zum zeitnahen Einspielen von Updates mit wichtigen Sicherheitsaktualisierungen. Weiter empfiehlt das Zentrum zum Einsatz von Zwei-Faktor-Authentifizierung für den Admin-Zugriff auf Websites. Dieser sollte ausserdem auf die von den Administratoren verwendeten IP-Adressen beschränkt werden.

Das NCSC hat im Jahr 2022 über 34'000 Meldungen zu Cybervorfällen erhalten, so viele wie nie zuvor. Die meisten Meldungen betrafen Betrugs- und Phishing-Fälle. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.