INSPECTION beim Sicherheitspreis Baden-Württemberg ausgezeichnet

Dr. Nicole Hoffmeister-Kraut, Ministerin für Wirtschaft, Arbeit und Tourismus des Landes Baden-Württemberg, und Thomas Strobl, Minister des Inneren, für Digitalisierung und Kommunen des Landes Baden-Württemberg überreichten den Sicherheitspreis Baden-Württemberg im Rahmen des Cybersicherheitsforums in Stuttgart.

Mit dem Projekt INSPECTION wurde ein hochinnovatives Verfahren auf Basis von Künstlicher Intelligenz entwickelt, um illegal manipulierte Webseiten (Hackings) zu finden und die betroffenen Unternehmen proaktiv zu informieren. Dadurch werden diese in die Lage versetzt, etwaige Sicherheitslücken zeitnah zu schließen und daraus resultierenden Missbrauch zu verhindern.

Das Projekt INSPECTION konnte die Jury beeindrucken, da die Hackings den betroffenen Unternehmen häufig Monate oder sogar Jahre verborgen blieben. Grund dafür ist, dass die originalen Webseiten intakt waren, es wurden jedoch im großen Umfang missbräuchliche Inhalte eingeschleust. Neben dem Aspekt, die betriebliche Sicherheit von Unternehmen zu stärken, wird auch Verbrauchern ein sicheres Internet ermöglicht. Die Hackings der Webseiten zielen darauf ab, Verbraucher mit den manipulierten Webseiten auf missbräuchliche Angebote wie Fake-Shops oder Ransomware-Downloads zu leiten.

Besonderer Pluspunkt: Das Projekt INSPECTION schafft ein branchenübergreifendes Bewusstsein für IT-Sicherheit. Dies geschieht unter anderem durch die Präsentation realer Hackerangriffe auf Veranstaltungen, um die Sicherheitsproblematik eindrücklich zu illustrieren. Außerdem entstanden innerhalb des Projekts zwei Erklärvideos, die sowohl konkrete Schritte zur Behebung von Sicherheitsvorfällen als auch präventive Maßnahmen aufzeigen.

„Wir sind sehr stolz auf diese Auszeichnung, die eine Anerkennung für die harte Arbeit unseres Teams und aller Partner ist“, sagt der Geschäftsführer Joachim Feist, der zusammen mit Geschäftsführer Ralf Walther in Stuttgart den Preis entgegennahm. „Wir hoffen, dass dieser Preis uns dabei hilft, weitere Partner und finanzielle Mittel für den Ausbau und Erhalt des Projektes zu finden.“

Das preisgekrönte Projekt INSPECTION (www.web-inspection.de) startete als BMBF Forschungsprojekt und unter Beteiligung der Forschungsgruppe SECUSO des KIT in Karlsruhe und den Forensikexperten der BDO AG Wirtschaftsprüfungsgesellschaft. Es wird nun von der mindUp Web + Intelligence GmbH fortgeführt.

Bild: (c) Steffen Schmid

CybersicherheitsForum

Beim 6. CyberSicherheitsForum standen Künstliche Intelligenz (KI) und Cybersicherheit im Fokus. Denn auch bei KI gilt: Nur wer die Risiken kennt, kann sich gut schützen.

Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), führte in Ihrer Keynote aus, dass KI und Cybersicherheit sich doppelt ergänzen: „Künstliche Intelligenz wirkt sich mehrdimensional auf die Bedrohungslage im Cyberraum aus. Cyberangriffe erfolgen mit Hilfe von KI-Tools schneller und professioneller; staatlich gelenkte Angreifer missbrauchen KI zum Beispiel für Desinformationskampagnen. KI birgt aber auch Chancen für die Cyberabwehr. Klar ist: Als Verteidiger müssen wir mit den Angreifenden Schritt halten, auch mit KI. Dabei kommt es erstens auf Geschwindigkeit an. Eine neue Schwachstelle zum Beispiel kann mit Hilfe von KI in kürzester Zeit ausgenutzt werden. Für uns heißt das: Wir müssen ebenso schnell und effizient verteidigen! Und dabei hilft wiederum KI. Zweitens müssen wir uns um den Zugang zu und den Umgang mit Informationen kümmern: KI-Systeme können leicht missbräuchlich genutzt werden – zum Beispiel in dem Sinne, dass sie sensible, schützenswerte Informationen preisgeben oder mit ihrer Hilfe falsche Informationen verbreitet werden. Um das zu verhindern, brauchen wir auch die technische Möglichkeit, Absender und Material als authentisch zu identifizieren. Drittens geht es bei KI immer um Technologiekompetenz: Im Bund und in den Ländern müssen wir sicherstellen, dass wir genügend Fachleute auf unserer Seite haben, die KI verstehen. Das ist Stand heute noch nicht der Fall. Die Expertise, die wir heute schon im Land haben, müssen wir so effizient wie möglich einsetzen. Doppel- bzw. Mehrfachstrukturen können wir uns dabei nicht leisten.“

Prof. Dr. Christian Dörr vom Hasso-Plattner-Institut in Potsdam erklärte: „KI bietet zahlreich Chancen und Herausforderungen für Cybersicherheit. Aber das eigentliche disruptive Potential haben wir als Gesellschaft noch nicht ausreichend im Blick.“. In Bezug auf Hackings sprach er an: „Erfahrungen sind Erinnerungen, die teuer bezahlt wurden“. Auch heute noch dauert die Behebung von Cybersicherheitsvorfällen viel zu lange wie aktuelle Auswertungen zeigen. Dies ist ein Aspekt der auch im Projekt INSPECTION festgestellt wurde, so dass dort nach 30 Tagen eine erneute Erinnerung erfolgt, falls ein Hacking immer noch sichtbar bleibt.

Dr. Nicole Hoffmeister-Kraut, Ministerin für Wirtschaft, Arbeit und Tourismus, betonte: „Alle Unternehmen können heute zum Ziel analoger und digitaler Attacken werden. Der Schutz davor ist daher für unsere Unternehmen wichtiger denn je. Gerade beim Thema Sicherheit gilt: Sparen Sie nicht an der falschen Stelle. Auch wenn Unternehmenssicherheit zuallererst in der Verantwortung jedes Unternehmens selbst liegt, bin ich froh, dass den Unternehmen im Land Akteure wie das Sicherheitsforum Baden-Württemberg unterstützend zur Seite stehen. Die von ihm verliehene Auszeichnung innovativer Sicherheitsprojekte trägt dazu bei, Themen der unternehmerischen Sicherheit in den Fokus zu rücken.

Im Rahmen des Cybersicherheitsforums wurde dieses Jahr auch der Sicherheitspreis Baden-Württemberg vergeben. Beim im zweijährigen Turnus verliehenen Preis wurde dabei auch das Projekt INSPECTION mit einem zweite Preis ausgezeichnet.

In einem ersten Schritt („Finden“) werden Webseiten mit akuten Sicherheitsproblemen identifiziert. Dies kann von außen erfolgen, da die Webseite des Unternehmens von Dritten böswillig manipuliert wurde. In einem zweiten Schritt („Behandeln“) werden die betroffenen Unternehmen informiert und in die Lage versetzt, die akuten Sicherheitslücken zu schließen und weitergehenden Missbrauch zu verhindern. Die Lösungsidee von INSPECTION, Angriffe von außen zu erkennen, stellt einen innovativen Ansatz dar und ermöglicht, eine Vielzahl von Sicherheitsvorfällen in unterschiedlichen Branchen zu erfassen und diese für Sensibilisierung der Unternehmen zu nutzen.

In seiner Laudation hob dabei Thomas Strobl, stellvertretender Ministerpräsident und Digitalisierungsminister Baden-Württembergs hervor, dass das Projekt herausragend sowohl die Unternehmenssicherheit als auch die Verbrauchersicherheit stärkt.

Den ersten Platz des Sicherheitspreises erhielt dabei die humorvolle Awareness-Kampagne der vier Universitätskliniken Baden-Württembergs – Dr. Nope. Neben INSPECTION wurde mit einem zweiten Preis die Mercedes-AMG für ihre IT-Governance Pipeline ausgezeichnet. Ein Sonderpreis erhielt das Startup Whitemacs GmbH für eine Phishing-Simulation in Unternehmen.

Bilder: (c) Steffen Schmid

Gezieltes Finden gehackter Webseiten

Erschienen in der Zeitschrift ptv 06/2023 November / Dezember

Webseitenhackings werden im Projekt INSPECTION automatisiert von außen erkannt.
Dadurch können die Verursacher gezielter identifiziert, die Betroffenen zielgerichtet
informiert und Prävention entlang von Beispielen plastisch gemacht werden.

Gehackte Webseiten von außen erkennen

Das Projekt INSPECTION (www.web-inspection.de) verfolgt das Ziel, gehackte Webseiten durch das maschinelle Durchsuchen des deutschsprachigen Internets von außen zu identifizieren. Die Straftat des Hackings wird demnach nicht vom Betroffenen erkannt, sondern im größeren Kontext mit Hilfe lernender Verfahren automatisiert ermittelt und weitergemeldet. Auf diese Weise konnten bereits 10 000 Hackingfälle über die verschiedensten Branchen hinweg automatisiert gefunden werden. Dies erlaubt zum einen, Spuren zu den Straftätern besser zu ermitteln, zum anderen liefern die Fälle wertvolles Anschauungsmaterial für die Prävention. Lokale Beispiele oder Beispiele bestimmter Branchen können für Veranstaltungen und Informationsmaterial herangezogen werden, um Zuhörer zum Handeln zu motivieren.
Die Erkennung des Webseiten-Hackings von außen ist möglich, weil die Betrüger die gute Positionierung bestehender Seiten nutzen, um mit manipulierten Inhalten auf missbräuchliche Angebote wie Fake-Shops, Ransomware-Downloads, Bitcoin-Portale, Phishing, Pornographie und Casino-Seiten weiterzuleiten. Der Webauftritt bleibt dabei aus Nutzersicht unauffällig, d.h. die normale Verwendbarkeit der Webseite bleibt erhalten. Deshalb fallen die Hackings den Betroffenen über Monate, häufig sogar Jahre, nicht auf.

Eine gehackte Webseite weist neben regulären Einträgen manipulierte Seiten auf

Abbildung 1 – Eine gehackte Webseite bleibt in Teilen intakt und weist neben regulären Einträgen (erstes Resultat) manipulierte Einträge auf (zweites Resultat), die bei Klick zu einem Fake-Shop führen.

Den Mechanismus kann man nachvollziehen, wenn man in der Suchmaschine mit dem Parameter site: sämtliche von der Suchmaschine indexierten Seiten einer betroffenen Domain auflisten lässt. Im Beispiel der Suche „site:domaenenname.de“ (Abbildung 1) erscheinen neben den regulären Einträgen zu Energiesystemen manipulierte Einträge der Hacker zu Arzneimitteln. Diese sind für die Suchmaschine optimiert und zeigen sogar positive Bewertungen an. Ein Klick auf einen solchen Eintrag führt Verbraucher, die das Abnehm-Medikament suchen, über eine Weiterleitung in einen Fake-Shop.
Bestehenden Webseiten mit Sicherheitslücken sind das Ziel der Hacker. Die thematische Nähe zu den Themen der Zielseiten spielen dabei eine untergeordnete Rolle. Die Hacker belassen die originalen Inhalte der Webseite und ergänzen Ihre Themen zusätzlich als neue Seiten der Domain. Sie erreichen damit eine sehr schnelle und gute Suchmaschinenplatzierung. In Einzelfällen gelingt es den Angreifern eine sechsstellige Zahl zusätzlicher Unterseiten in einen bestehenden Webauftritt einzuhängen. Damit wird die manipulierte Webseite Suchmaschinen in guten Positionen zu den verschiedensten Themen der Zielseiten der Hacker gefunden.
Sollte der Fake-Shop durch Markeninhaber oder polizeiliche Ermittlungen geschlossen werden, wird einfach eine neue Internet-Domäne angemeldet und die Phalanx manipulierter Webseiten entsprechend aktualisiert, um direkt vom ersten Tag an, Besucher auf die neue missbräuchliche Ziele zu lenken. Die Hacker haben Vollzugriff auf die Internet-Domänen und können dadurch weitere betrügerische Nutzungsformen wie Spam-Versand oder Angriffe auf andere Rechner implementieren.

Permanente Überwachung neuer Sucheinträge mit KI

Die mindUp Web + Intelligence GmbH ist im Forschungsprojekt INSPECTION zuständig für das Finden der gehackten Webseiten. Die Analysemethoden von mindUp basieren auf der permanenten Auswertung von sehr großen Mengen von Suchergebnissen der Suchmaschinen. Gesucht wird in der ganzen begrifflichen Breite des Online-Shoppings und zusätzlich mit Begrifflichkeiten häufiger Missbrauchsthemen wie Kryptowährungen, Casinos und Erotik. Mit Techniken der künstlichen Intelligenz bezüglich verschiedener Auffälligkeiten werden die betrügerischen Inhalte erkannt und von normalen Ergebnissen unterschieden.
Zusätzlich zur permanenten Suche in den Suchmaschinen werden proaktiv Webseiten der im Projekt beteiligten Handwerkskammern und Fachverbände gecrawlt, um in der regionalen und thematischen Struktur „anlasslos“ Problemfälle zu finden und über die direkten Beziehungen der Verbände anzusprechen.

Fallbündelung für die Strafverfolgung

Bei den entdeckten Straftaten handelt es sich bei den Webseitenhackings um „Cybercrime im engeren Sinne“, bei den Zielseiten um Betrug, in Teilbereichen um Verstöße gegen das Arzneimittelrecht, da rezeptpflichtige Arzneimittel ohne Verschreibung angeboten werden. Für die Strafverfolgung sind diese Straftaten in der Regel schwer zu ahnden, da sie verteilt auf sechzehn Bundesländer bei den ZACs oder Polizeidienststellen gemeldet werden. Häufig bleibt die Anzeige der Betroffenen auch aus, da diese den Vorfall nicht bemerken oder nicht nach außen dringen lassen möchten.

Abbildung 2 – Die Analyse erlaubt die Bündelung von Fällen aufgrund des gleichen Verursachers.

Die Erkennung von außen im großen Stil und die Bündelung über das gleichartige Hackingziel, bieten die Möglichkeit, Ermittlungen der Straftäter zusammenzulegen und aus der Summe der Spuren eine bessere Sicht auf die Täterschaft zu gewinnen. So wurden die Universitäten München und Kiel vom gleichen Verursacher gehackt (siehe Abbildung 2).

Webseitenhacking als Zulieferer zu Fake Shops, Scareware und Ransomware

Zu Projektbeginn lag der Fokus darauf, gehackte Webseiten zu finden, die auf Fake-Online Shops verlinken. Im Verlauf des Projektes wurde klar, dass diese Form des Hackings auch für andere Missbrauchsformen wie Pornographie, Ransomware Downloads, illegales Glückspiel, Bitcoin-Betrug oder zur Promotion von Hacker-Tools genutzt wird.
Es wird als Technik auch nicht immer Hacking eingesetzt. Stattdessen werden auch in extrem großem Umfang Webseiten angemietet (sog. Satelliten-Seiten), um dann mit den gleichen Techniken wie beim Hacking, Weiterleitungen einzurichten (siehe Abbildung 3).

Abbildung 3 –  Das Webseitenhacking wird für Fake-Shops und viele andere Missbrauchsformen angewandt und taucht in verschiedenen Varianten auf.

Logfiles von Hackings legen nahe, dass arbeitsteilig gearbeitet wird. Ein Hacker übernimmt Internet-Domänen, ein SEO-Experte präpariert die Inhalte so, dass Sie von den Suchmaschinen ideal aufgenommen werden. Der dritte Akteur dürfte der Auftraggeber sein, der den Fake-Shop oder das missbräuchliche Portal betreibt. Teilweise sind Strukturen zu entdecken, die ähnlich zu Adservern in der Online-Werbebranche arbeiten, d.h. wirtschaftlich getrennte Zubringerdienste leiten dem Höchstbietenden gewinnmaximiert die Besucher zu.

Wie können Betroffene gezielt informiert werden?

Neben dem Finden stellt auch das Behandeln eine Herausforderung dar. Zu den Betroffenen zählen Vereine, Blogbetreiber, Handwerker, große Firmen und auch Universitäten.

Fallmeldungen wurden anfangs über die Zentralen Ansprechstellen Cybercrime (ZAC) der Bundesländer geleitet. Dort wurden sie je nach Vorgehen im jeweiligen Bundesland meist dezentral bearbeitet. Als schwierig erwies sich dabei, dass häufig keine Rückmeldung zum INSPECTION-Projekt vorgesehen oder rechtlich zulässig ist. Es blieb dadurch unklar, ob der Fall bearbeitet wurde. In manchen Bundesländern wurde die meldende Person der Firmen im INSPECTION Projekt in der Anzeige geführt, wodurch dann teilweise mehr als zwölf Monate später Informationen über eingestellte Ermittlungsverfahren eingingen.

Diese Herausforderungen im Bearbeitungs-Workflow fielen bereits früh im Projekt auf und wurden daraufhin auch von Studenten der sächsischen Polizeihochschule untersucht, um für eine solche automatisierte Form der Anzeige passende Vorgehensweisen zu erarbeiten. Im Rahmen der Projektlaufzeit konnten allerdings keine neuen Abläufe etabliert werden.

In einem Experiment zur effektiven Ansprache Betroffener wurde daraufhin durch die Forschungsgruppe SECUSO des KIT (Karlsruher Institut für Technologie) untersucht, welcher Absender der Botschaft und welche Inhalte der Botschaften von Organisationen außerhalb der Polizeiorganisation am geeignetsten erscheinen, um die Betroffenen zu einer Behebung der Problematik zu bewegen (Abbildung 4). In Österreich werden die Fälle durch die Watchlist Internet bearbeitet, in der Schweiz zunächst von der SWITCH, zukünftig vom Nationalen Zentrum für Cybersicherheit. In Deutschland nehmen am Ansprachexperiment zwei Webhoster, das BSI und das KIT selbst teil.

Es konnte dabei ermittelt werden, dass die Information der Betroffenen mit zielgerichteten Informationen wesentlich erfolgreicher ist, als die gehackten Webseitenbetreiber sich selbst zu überlassen. Die höchste Erfolgsquote in der Ansprache weisen zum derzeitigen Auswertungsstand das BSI und ein Webhoster auf, wobei eine technische Botschaft beim Absender BSI am besten wirkt. Eine Botschaft zu drohenden Reputationsschäden ist beim Webhoster am nachhaltigsten bzgl. einer zeitnahen Problembehandlung durch die Betroffenen.

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Abbildung-4-Ein-Anspracheexperiment-ermittelt-effektive-Kommunikationswege-zu-den-Betroffenen-1024x464.png

Abbildung 4 – Die Information der Betroffenen kann über verschiedene Absender und Kanäle erfolgen. Ein Ansprache-Experiment sucht den effektivsten Weg

Prävention durch Beispiele

Im Projekt werden auch Präventions-Materialien erstellt. Das erste Video erläutert die generelle Problematik. Ein zweites Video gibt konkrete Hilfestellungen für die Behebung dieser Form des Hackings, welches inhaltlich durch die forensischen Analysen der BDO AG Wirtschaftsprüfungsgesellschaft ermöglich wurde. Diese Unterlagen können nun für Präventionsarbeit von Polizei und Verbänden genutzt werden, um Webseitenbetreiber zu sensibilisieren. Sehr wertvoll ist darüber hinaus der große Schatz an Beispielen Betroffener. Dadurch wird es möglich, mit einer Fülle von regionalen oder branchenbezogenen Beispielen das Thema IT-Sicherheit in konkrete Betroffenheit in der Zielgruppe umzuwandeln.

Mithilfe gesucht

Offen ist noch, wie nach Ende des Forschungsprojekts das Finden und das Benachrichtigen am effizientesten fortgeführt werden kann. Weitergehende Ansatzpunkte der aktuellen Arbeit wurden identifiziert und können in zukünftigen Schritten ergründet werden. So könnten das schnelle Erkennen der von den Kriminellen selbst angemieteten Webseiten eine lohnende Zielrichtung sein, indem diese direkt bei Neuanmeldungen von Internet-Domänen durch ein Screening entdeckt werden. Hier gibt es von der EU und ICANN eine Initiative unter dem Namen „DNS Abuse“, um solche Machenschaften einzugrenzen.

Da viele Zielseiten Fake-Online-Shops sind, die Vorkasse verlangen, ist als weiterer Aspekt einer Zusammenarbeit zwischen Polizei und INSPECTION zukünftig auch der Bezahlweg zu berücksichtigen. Mit Crawling-Techniken können die Vorkasse-Zielkonten ermittelt werden. Damit lässt sich der Weg des Geldes verfolgen oder frühzeitig blockieren – bevor große Summen über die Konten der häufig ahnungslosen „Money Mules“ geschleust werden.

Das INSPECTION Projekt endet in 2023 – Ideen zur Fortführung gerade zusammen mit den Strafverfolgungsbehörden stehen am Anfang künftiger Aktivitäten – sprechen Sie uns gerne direkt an.

Beteiligte

Das Projekt INSPECTION (web-inspection.de) ist gefördert im Programm „KMU Innovativ“ des Bundesministerium für Bildung und Forschung. Initiator ist die mindUp Web + Intelligence GmbH aus Konstanz, weitere Projektträger sind das Karlsruher Institut für Technologie – Forschungsgruppe SECUSO und die Forensikexperten der BDO AG Wirtschaftsprüfungsgesellschaft. Das Projekt läuft seit Juni 2020 unter internationaler Beteiligung durch die Swiss Internet Security Alliance (SWITCH, Nationales Zentrum für Cybersicherheit) und der Watchlist Internet aus Österreich. Das Projekt wird von Webhostern und Verbänden unterstützt (Abbildung 5)

Beitrag als PDF

Interview anlässlich der Internet Security Days 2023

zum Forschungsprojekt INSPECTION zur Identifizierung gehackter Webseiten

Anne Hennig ist wissenschaftliche Mitarbeiterin beim Karlsruher Institut für Technologie (KIT) und betreut das Forschungsprojekt INSPECTION seitens des KIT. Bei den diesjährigen Internet Security Days (ISD) am 21. und 22. September wird sie einen Vortrag über das Projekt halten. Gemeinsam mit ihrem Kollegen Dr. Peter Mayer erklärt sie im eco Interview, was INSEPCTION ist und warum es eine wirkungsvolle Ergänzung zu bereits bestehenden IT-Sicherheitsansätzen sein kann. 

Sie wirken bei dem Forschungsprojekt INSPECTION mit. Können Sie uns erklären, was Sie bei dem Projekt untersuchen und auf welchen Bereich der Cybersicherheit Sie sich konzentrieren?

Im Forschungsprojekt INSPECTION arbeiten drei Konsortialpartner daran, eine bestimmte Art des SEO-Spam in Form von Weiterleitungen auf Fake Shops näher zu untersuchen. D.h., im wesentlichen beschäftigt sich das INSPECTION Projekt mit Web-Sicherheit, wobei wir uns hier konkret eine bestimmte Angriffsart auf Websites genauer anschauen. Dabei ist die mindUp Web + Intelligence GmbH für den Bereich des Findens der gehackten Websites zuständig, die BDO Wirtschaftsprüfungsgesellschaft AG beschäftigt sich mit der forensischen Analyse der gehackten Websites. Wir von der Forschungsgruppe Security – Usability – Society (SECUSO) am Karlsruher Institut für Technologie (KIT) befassen uns mit der Benachrichtigung der betroffenen Website-Besitzer:innen.

Wie funktioniert INSPECTION? Und wie unterscheidet sich INSPECTION von anderen Sicherheitssystemen?

INSPECTION per se ist kein „Sicherheitssystem“. Wie oben schon beschrieben, geht es uns in dem Projekt darum, eine bestimmte Form von Angriffen auf Websites genauer zu beschreiben. Das Schwierige hier ist, dass diese Form des Website-Hackings a) noch sehr wenig bekannt ist und daher die wenigsten Website-Besitzer:innen wissen, wie man diesem Angriff begegnet, und b) die Angreifer:innen sich sehr gut im System verstecken und damit das Hacking lange Zeit unentdeckt bleiben kann. Es ist nicht selten, dass Websites über mehrere Jahre gehackt sind.

Unser Ansatz ist daher ganzheitlicher zu verstehen: Zunächst geht es uns darum, gehackte Websites zu identifizieren (Bereich „Finden“). Dieser Mechanismus wurde in den vergangenen drei Jahren von der mindUp Web + Intelligence GmbH immer weiter verfeinert, sodass in den kommenden Monaten ein Tool zur Einzelfallprüfung auf unserer Projektwebsite (web-inspection.de) zur Verfügung stehen wird, mit dem Website-Besitzer:innen selbst testen können, ob sie betroffen sind. Dieses Tool untersucht natürlich nur die von uns untersuchte Art des Website-Hackings und ist keine Garantie, dass die Website an sich frei von Malware ist. Aber das Tool ist eine sehr gute Ergänzung zu bestehenden Malware-Scannern, die wiederum nicht in der Lage sind, die von uns untersuchte Art des Website Hackings zu erkennen.

Weiterhin ist es uns wichtig, diese Art des Website-Hackings genau zu analysieren, Gemeinsamkeiten zwischen den betroffenen Systemen herzustellen und somit konkrete Lösungsvorschläge für Betroffene bereitzustellen (Bereich „Behandeln“). Die BDO Wirtschaftsprüfungsgesellschaft AG ist aktuell noch dabei, diese Analysen durch mehr Daten zu komplementieren. Die Analyse erfolgt über Logfiles kompromittierter Systeme. Hier sind wir stark auf die Zusammenarbeit mit den Betroffenen angewiesen und können Logfiles zum Beispiel nur sinnvoll auswerten, wenn uns diese auch zur Verfügung gestellt werden.

Hier spielt auch die Benachrichtigung von Betroffenen und damit die Entwicklung eines effektiven Benachrichtigungsverfahrens eine große Rolle. Wie bereits erwähnt, bleibt diese Art des Hackings oft lange unentdeckt. Wir von der Forschungsgruppe SECUSO am KIT erforschen, über welche Kommunikationswege und mit welchen Informationen wir am besten an Betroffene herantreten müssen, damit das Problem wahrgenommen und verstanden wird und daraus entsprechende Handlungen abgeleitet werden können. Dies ist nicht ganz so trivial, wie es klingt, da solche Benachrichtigungen oftmals im täglichen Spam untergehen und unsere Informationen die Betroffenen damit gar nicht erreichen.

Diese beiden Bereiche stellen die Basis für den Bereich „Verhindern“. Gerade sind wir noch dabei, Awareness-Materialien zu entwickeln, um Website-Besitzer:innen schon im Vorfeld auf die mögliche Gefahr aufmerksam zu machen. Der Fokus liegt dabei aktuell auf zwei Awareness-Videos, die ebenfalls zum Projektende zur Verfügung gestellt werden, sowie dem Tool zur Einzelfallprüfung.

Wie können die Forschungsergebnisse von INSPECTION zukünftig weiter genutzt werden? Was erhoffen Sie sich für Erkenntnisse für zukünftige Projekte und Forschungsansätze? 

Wie bereits beschrieben, sollen alle Erkenntnisse aus dem Projekt öffentlich verfügbar sein. Der Schwerpunkt wird dabei auf dem Tool zur Einzelfallprüfung sowie den beiden Awareness-Videos liegen. Alle Informationen sollen auch Dritten zur Verfügung gestellt werden, so sind wir zum Beispiel mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland sicher im Netz, einigen IHKs, Handwerkskammern und Fachverbänden, der Verbraucherschutzzentrale NRW, der Allianz für Sicherheit in der Wirtschaft (ASW), der Polizeilichen Kriminalprävention der Länder und des Bundes und natürlich dem ECO Verband in Kontakt.

Neben diesem konkreten Output interessiert uns als Universität natürlich vor allem auch die Übertragbarkeit unserer Ergebnisse auf andere, ggf. ähnlich gelagerte Probleme. Also zum Beispiel die Frage, wie man denn mit sogenannten vulnerability notifications („Benachrichtigungen zu Sicherheitslücken“) nun effektiv aus dem „täglichen Spam“ herausstechen kann. Hier haben wir im Rahmen des INSPECTION Projekts einige wertvolle Hinweise gewinnen können, die wir uns auch über das Projektende hinaus genauer anschauen wollen.

Auch beschäftigt uns die Frage, wie zielgruppenspezifisch denn Awareness-Materialien sein müssen. Da unsere Zielgruppe als „Website-Besitzer:innen und Stakeholder rund um Websites“ sehr, sehr divers, das eigentliche Problem aber teilweise sehr individuell ist, mussten wir sehr genau darauf achten, dass wir in unseren Materialien ausreichend allgemein und gleichzeitig spezifisch genug sind. Ich denke, wir haben hier einen guten Mittelweg gefunden. Aber das generelle Problem ist ja, wie mit solchen knowledge gaps („Wissensklüften“) zwischen verschiedenen Personengruppen umgegangen werden kann – das ist ja auch über den Cybersecurity-Bereich hinaus ein spannender Forschungsbereich.

Der Vortrag von Frau Hennig im Rahmen der Internet Security Days liefert vertiefte Einblicke in das Projekt. Zeit und Ort: Brühl, Phantasia-Land, ISD 2023 am 21.9.2023 um 15:30 Uhr

INSPECTION finds Open Redirect Fraud on Google Pages

The INSPECTION research project aims to find hacked and manipulated web pages by scanning search engines. The manipulated web pages redirect to fake shops, adware, scareware, ransomware downloads and other fraudulent pages.

Today URLs from Google have been found following such a fraudulent pattern. In this case the google webpage has not been hacked but a redirect mechanism has been misused (Open Redirect Vulnerabilty).

The manipulation can be seen in the search engine itself:

A search with site:https://adservice.google.de inurl:ddm/clk/408533097;208818505;l;u=ds

reveals many listings with Heading „Ohne Titel“. The code site: restricts the search to the domain adservice.google.de the code inurl: restricts it to the manipulated entries

The entries cover a range of languages and topics. So these listings will popup on various searches as the target pages have been stuffed with keywords.

The following search reveals an entry a German shopper for light bulbs might come over:

A click on this entry leads via many redirections to a fraudulent target page trying to install adware in the browser.

The link looks like this, the fraudulent target url is visible at the end:

adservice.google.de/ddm/clk/466651624;272226156;i;u=ds&sv1=53318795316&sv2=3240612057770812&sv3=7062085925274305193&gclid=EAIaIQobChMImv_IzI218AIVt4BQBh3qwwtKEAAYASAAEgKV3PD_BwE;%3F//pliczamarindice.tk/8ixtdad13adservicegoogledego4

The redirection chain across four countries can be inspected here:

urlscan.io/result/9da68671-b218-4f7c-bc46-684f5edb0e81

Redirects are often used to count outgoing links e.g. to monitor a newsletter. In this case counting is important because the redirect usually is used in the adserver. But this allows attackers to add their own links to the service, so the following example will lead to the page www.test.de:

http://adservice.google.de/ddm/clk/466651624;272226156;i;u=ds&sv1=53318795316&sv2=3240612057770812&sv3=7062085925274305193&gclid=EAIaIQobChMImv_IzI218AIVt4BQBh3qwwtKEAAYASAAEgKV3PD_BwE;%3F//www.test.de

But why are such links being indexed by the search engines? The fraudsters publish the links on arbitrary third party pages (hacked pages, spammed forums and comments etc.). The search engines find these links and include them into the search engine with the contents of the target page.

This target page uses a „cloaking“ technology: It shows the search engine different content than the user. So the search engine got content for light bulbs, the user gets redirected to a fraudulent page.

Also pages in other countries where google is active are being misused e.g. adservice.google.fr / .nl / .dk / .com and so on.

This vulnerability is already being used by many players. A search with site:adservice.google.com buy shows an entry in the search enginge originating from a fake shop selling fake Louis Vuitton bags.

urlscan.io/result/d813c155-3aad-438d-acdf-b92e93395a7e/

Fixing such issues is usually easy – redirects should at least be secured with a hash value showing that this redirect is wanted by the issuer or by not allowing target urls in plain text or by performing a lookup in the database for allowed targets. However for a huge company like Google it might be more difficult to take immediate action if this mechanism is used productively for ads.

A good message at least: Google follows the security.txt standard. Hereby we knew how to inform Google.

google.de/.well-known/security.txt

This example shows that also huge companies can be effected by the mechanisms researched in the INSPECTION project. We advise you to check your web page that it does not contain open redirects and to establish a security.txt file to get informed in a direct way if something goes wrong.

Beratertagung des Landes Baden-Württemberg

Über einhundert Berater aus Handwerks-Kammern und Fachverbänden waren für eine zweitägige Fortbildung nach Konstanz ins Bodenseeforum gekommen. Der baden-württembergische Handwerkstag ist assoziiertes Mitglied im Forschungsprojekt INSPECTION und hat also schon früh die Relevanz des Projekts für Handwerksbetriebe erkannt. Im Vortrag wurden die Gefahren, aber auch die Chancen der Webseitenhackings gerade auch in der Beratung aufgezeigt,

Das Beratungsangebot der Kammern und Fachverbände ist breit gefächert von Digitalisierungsberatung über wirtschaftliche Beratung, Umweltberatung und IT-Sicherheitsberatung.

Die IT-Sicherheitsbotschafter im Handwerk unterstützen Handwerksbetriebe bei allen IT-Sicherheitsmaßnahmen. Sie kennen ihre Branche und deren Anforderung und liefern pragmatische Lösungen für die IT-Sicherheit.

Die Task Force „IT-Sicherheit in der Wirtschaft“ ist eine Initiative des Bundesministeriums für Wirtschaft und Technologie, die vor allem kleine und mittelständische Unternehmen für IT-Sicherheit sensibilisieren und dabei unterstützen will, die Sicherheit der IT-System zu verbessern.

Im Vortrag von Herrn Feist von der mindUp GmbH ging es darum aufzuzeigen, dass gerade für Handwerksbetriebe das Hacking der Webseite eine sehr reale Gefahr darstellt. Mit vielen Beispielen aus unterschiedlichen Branchen wurde plausibel gemacht, dass es jeden treffen kann und trifft, der eine Webseite als einmaliges Projekt begreift und „vergisst“ durch Sicherheitskopien, regelmäßige Updates und der Vermeidung von Sicherheitslücken Gefahren gering zu halten. Der nächstgelegene akute Hackingfall betraf eine Konstanzer Firma, die nur wenige Hundert Meter vom Veranstaltungsort ihren Sitz hat. Die Webseite dieser Firma ist bereits seit 18 Monaten gehackt und verlinkt vermeintliche Angebote eines Pharma-Fake-Shops.

Neben den Gefahren wurde aber auch aufgezeigt, dass diese Hackingvorfälle auch eine Chance sein können: Für Handwerksbetriebe ist die Webseite in der Regel getrennt vom inneren IT-System, der Schaden für den Geschäftsbetrieb damit bis auf die Rufschädigung und die Haftungsrisiken durch die Verlinkung von missbräuchlichen Drittseiten zunächst gering. Die Chance besteht darin, durch diesen Hackingfall die Thematik IT-Sicherheit Ernst zu nehmen und für die Zukunft Standards zu schaffen.

Verwiesen wurde dabei auf das IT-Grundschutzprofil für Handwerksbetriebe, das gemeinsam vom ZDH und der BSI entwickelt wurde.

Ein agiles Vorgehen stellt der Sec-O-Mat der TISiM (Transferstelle IT-Sicherheit im Mittelstand) dar. Unter https://sec-o-mat.de werden kurze Fragen zur Ausgangssituation gestellt und dann konkrete, schrittweise Handlungsempfehlungen gegeben.

Der neue Beratungsstandard nach DIN SPEC 27076 ist eine dritte Möglichkeit mit geringen Kosten im Thema IT-Sicherheit voranzukommen.

Neben der Chance für Handwerksbetriebe aufgrund solcher Vorfälle die eigene Sicherheitsstrategie aufzubauen, sprach Herr Feist auch die Kammern an: Hackingfälle werden im Projekt normalerweise durch die fortwährende Analyse von Suchmaschinenergebnissen gewonnen. Möglich ist aber auch, Webseiten der Betriebe eines Fachverbands oder einer Kammer proaktiv zu prüfen. Dies wurde beispielsweise schon für den Fachverband Elektro- und Informationstechnik Baden-Württemberg (assoziierter Partner bei INSPECTION), die Handwerkskammer Frankfurt-Rhein-Main und die Handwerkskammer Cottbus durchgeführt.

Ein wesentlicher Vorteil dieser Form der Prüfung liegt darin, dass die gehackten Betriebe dann auch durch Ihre Kammer informiert werden können, anstatt dass der Vorfall z.B. an die Polizei gemeldet wird. Durch die Beraterstruktur kann dem Betrieb dann auch Unterstützung bei der Behebung und Planung der künftigen Sicherheitsstrategie gegeben werden.

Als Nebeneffekte fallen auch Informationen an, wie es um die Datenqualität der der Webseitenverwaltung der Betriebe bei der Kammer steht und es zeigt sich häufig, dass auch noch einfache Thematiken wie das Umstellen der Webseite von http auf https durch die Betriebe akut sind. Und dies hat dann wiederum Relevanz nicht nur für die Sicherheit der Webseite, sondern auch für die Sichtbarkeit des Unternehmens in der Suchmaschine für Kunden und künftige Mitarbeiter.

Interessierte Kammern und Fachverbände können sich gerne an [email protected] wenden, um gemeinsam eine solche kostenlose proaktive Analyse für die eigenen Betriebe durchzuführen.

Interessierte des INSPECTION Forschungsprojekts trafen sich in Hamburg

Konsortialpartner und Interessierte trafen sich im Rahmen des INSPECTION-Forschungsprojekts persönlich zu einem Statustreffen. Dieses Mal fand dieses in den Räumen der BDO AG Wirtschaftsprüfungsgesellschaft in der Hansestadt Hamburg statt, weitere Teilnehmer hatten sich online zugeschaltet. Die Firma mindUp stellte Verfahren zum Finden von gehackten Webseiten dar. Ein Fokus von Joachim Feist war dabei das Phänomen, dass Betreiber von japanischen Fake-Shops deutschsprachige Domänen hacken, um Besucher für Ihre betrügerischen Seiten zu erhalten. Diese Art des Hackings fand sich unter anderem bei einem in den Medien bekannt gewordenen Fall des Fotomuseums in Winterthur. Hier hatten im Rahmen des Statusmeetings Herr Claus und Herr Künzi vom Nationalen Zentrum für Cybersicherherheit (NCSC) in der Schweiz die Gelegenheit, den Fall sowie ihre Ansätze im Bereich Finden und Behandeln gehackter Websites vorzustellen. Unter anderem betreibt das NCSC ein Meldeformular, mit dem Bürger:innen und Unternehmen Verdachtsfälle melden können und anhand einfacher Fragen überprüfen können, ob sie von einem Cybersicherheitsvorfall betroffen sind. Liegt ein solcher Vorfall vor, werden den Betroffenen Tipps für weitere Maßnahmen angezeigt, der Fall wird gemeldet und durch das NCSC weiter verarbeitet. 

Ein ähnliches Vorgehen hat auch IONOS implementiert, wie Winfried Kania berichtete. Kund:innen können über ein Portal E-Mails hochladen, die vermeintlich von IONOS geschickt wurden. Das System überprüft anschließend, ob es sich bei der E-Mail um eine Phishing-Nachricht handelt. Ist dies der Fall, wird automatisiert ein Prozess eingeleitet, in dem die Nachricht analysiert wird und ggf. Maßnahmen eingeleitet werden, um Kund:innen zu warnen oder gefälschte Login-Seiten zu sperren.

Im Bereich „Behandeln“ stellte Stephan Halder von der BDO AG neuste Erkenntnisse aus der Analyse von Content Management Systemen Betroffener vor. Unter anderem konnten hier interessante Muster festgestellt werden, wie Angreifende Websites nach Schwachstellen scannen. Dies zeigte eindrücklich, wie systematisch Angreifer:innen vorgehen. Sind die Angreifer erst einmal im System, was zum Beispiel durch bekannte Schwachstellen geschieht, aber auch durch manipulierte und frei verfügbare Plugins oder Themes, bei denen Backdoors über sogenannte Webshells direkt implementiert wurden, werden oftmals Zugriffsberechtigungen geändert und neue Administratoraccounts. Dies erlaubt den Angreifern nicht nur einen administrativen Zugriff auf das gehackte System, sondern erschwert auch die Entfernung der Malware, da Schadcode gegen die Erkennung angepasst und  automatisiert aus dem Internet nachgeladen wird. Dies zeigte noch einmal eindrücklich, wie tief Angreifer in das System der Betroffenen eindringen können. Es ist daher in den wenigsten Fällen damit getan, einfach nur ein Backup der Website einzuspielen, es muss auch sichergestellt werden, dass alle schadhaften Dateien und Webshells aus dem System entfernt werden. Betroffene verfügen häufig nicht über die Möglichkeit ein kompromittiertes System wieder zu bereinigen. Hier sollten sich diese Unterstützung für eine Analyse des Vorfalls suchen um sicherzugehen, dass alle schadhaften Dateien entfernt sind und ein „sauberes“ System online geht.

Anne Hennig von der Forschungsgruppe SECUSO stellte vorläufige Ergebnisse des Benachrichtigungsexperiments vor und präsentierte die Hintergründe zur Entwicklung und Evaluation eines ersten Awareness-Videos. Im Rahmen des Experiments werden aktuell Betroffene von fünf verschiedenen Absendern angeschrieben und jeweils mit einem einheitlichen E-Mail Anschreiben über das Hacking der Website informiert. Nach ersten Auswertungen, die aufgrund geringer Fallzahlen aber als vorläufig betrachtet werden müssen, zeigt sich, dass bei allen Absendern eine Behebungsrate von 30 bis 40% erzielt wurde, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit knapp 46% die höchsten Behebungsraten verzeichnet. In Hinblick auf unterschiedliche Anreize, die den Betroffenen gegeben werden, um die Dringlichkeit des Angriffs zu verdeutlichen, zeigten sich nach aktuellem Stand kaum Unterschiede. Formulierungen, die z.B. eine Sperrung der Website oder Reputationsschäden aufzeigen, scheinen leicht bessere Behebungsraten zu erzielen. Hier ist aber aufgrund geringer Fallzahlen noch keine gesicherte Aussage möglich. 

Im Bereich „Verhindern“ werden Awareness-Materialien auf Grundlage der im Projekt gewonnenen Erkenntnisse entwickelt. So konnte noch im Dezember 2022 ein erstes Awareness-Video fertiggestellt werden, mit dem auf das Problem aufmerksam gemacht werden soll. Das Video wurde im Februar und März 2023 mit Expert:innen aus dem Projektkontext evaluiert und wird nach Einarbeitung der Anpassungen zum Ende des Projekts veröffentlicht. Ein zweites Video ist in Planung, ebenso wie ein Foliensatz für einen Vortrag. Ziel der kommenden Projektmonate ist es, das zweite Video fertigzustellen und zu evaluieren sowie im Rahmen des Vortrags zu verschiedenen Anlässen auf Website-Hackings aufmerksam zu machen und Maßnahmen zur Behebung des Hackings und Schutzmaßnahmen gegen zukünftige Hackings vorzustellen. Hier sind alle Stakeholder eingeladen, geeignete Formate und Events vorzuschlagen.

Ankündigung „Cybersicherheit im Netz“ – Beitrag zur eltefa 2023

Am Mittwoch, 29. März 2023, wird Anne Hennig im Rahmen der 21. Fachmesse für Elektro, Energie, Gebäude und Industrie (eltefa) zum Thema „Cybersicherheit im Netz – Was tun, wenn meine Unternehmenswebsite gehackt wurde?“ sprechen.

Der Vortrag findet im „Innovationsforum“ statt und ist Teil des Schwerpunkthemas „Aktuelle Cyber Threat Landscape: Herausforderungen sich verändernder Angriffsvektoren von Kleinunternehmer bis Industrie

Im Rahmen des Forschungsprojekts INSPECTION werden Websites auf Sicherheitslücken untersucht und die Betroffenen entsprechend informiert. Zusätzlich sind aktuell Awarenessmaterialien in der Entwicklung, die den Betroffenen zielgerichtet Informationen zur Problembehebung und zu Schutzmaßnahmen aufzeigen sollen. Erste Materialien werden im Rahmen des Vortrags vorgestellt und besprochen. 

URL-Redirects – eine gut gemeinte Schwachstelle

Sie setzen Newsletter ein und verlinken von dort auf Drittseiten? Sie zählen die ausgehenden Clicks von Ihrer Webseite? Dann sind Sie gefährdet, für die sog. „die „URL-Redirect“ /“Open-Redirect“-Schwachstelle.

Die URL Redirect Schwachstelle von Webseiten kann ein Angreifer dazu ausnutzen, um den Besucher einer Webseite auf seine eigene und nicht vertrauenswürdige Webseite weiterzuleiten. Diese Schwachstelle ist bekannt und wird über unsichere Skripte bei der Entwicklung einer Webseite verursacht. Der Angreifer kann diese Schwachstelle über die unsicheren Skripte der Webentwickler daher nutzen, ohne selbst die Webseite zu hacken.

Der Angriff wird so ausgeführt, dass dem Internet-Benutzer ein Weblink angeboten wird, der aus zwei Teilen besteht. Im ersten Teil sieht der Internetnutzer einen vertrauten und bekannten Domain-Namen und im zweiten Teil des Links die eigentliche Weiterleitung auf die nicht vertrauenswürdige Webseite des Angreifers. Dabei nutzt der Angreifer als Schwachstelle das Vertrauen des Internetnutzers in die Wiedererkennung des bekannten Teils aus und verleitet den User damit den Link anzuklicken. Den zweiten Teil des Links mit dem schädlichen Teil und der URL der Webseite des Angreifers nimmt der Internetnutzer dann nicht mehr wahr. Technisch läuft die Weiterleitung auf die nicht vertrauenswürdige Seite des Angreifers für den Internetnutzer vollkommen transparent ab, womit auch technikaffine User diese Art der Weiterleitung häufig nicht bemerken.

Der Angreifer muss die so manipulierten Links nur noch den Suchmaschinen bekannt machen. Dies geschieht dadurch, dass die neuen Links auf Drittseiten platziert werden. Die Suchmaschinen nehmen die URLs mit in den Index, der beschreibende Text wird dabei von der missbräuchlichen Zielseite dargestellt. Damit werden die Themen des Fake-Shops oder eines anderen missbräuchlichen Dienstes über die missbrauchte Domäne bekannt gemacht. Dies kann man über Programme, die ermitteln welche Links auf die eigene Seite zeigen, selbst sehr gut nachvollziehen wenn man betroffen ist.

Welche Formen des URL-Redirects gibt es?

Die als open Redirect bekannte Schwachstelle, bei der Weiterleitung von Webseiten-Besuchern auf eine vom Angreifer manipulierte Seite erfolgt, basiert im Grunde darauf, dass die Weiterleitung parametrisiert ist und damit erst zur Laufzeit die konkrete Weiterleitung aufgelöst wird. Ein einfaches Beispiel eines php-Skripts könnte dabei so aussehen:

$jumpurl=$_GET[‘link’];

header("location: ".$jumpurl);

Da der Paramter “link” nicht überprüft wird kann der Angreifer etwa über einen manipulierten Link wie: https://known-good.com?link=http://unknown-bad.com auf seine Angriffs-Webseite weiterleiten. Diesen Link kann der Angreifer per Email an den Nutzer der Internetseite versenden oder über Treffer aus Suchmaschinen platzieren. Wird der Link angeklickt landet der Webseiten-Besucher automatisch auf der Seite des Angreifers.

Auch das folgende Beispiel zeigt ein komplexeres Beispiel für die URL Redirect Schwachstelle:

$domain=$_GET[‘domain’];

if ($_POST['checkid'] == 'Login' && $_POST['nickname'] && $_POST['password']) {

if ($_POST['autologin'] == 'true')                       

       header ("location: ".$domain);}

Das Beispiel zeigt eine Login Prozedur, die nach erfolgtem Login eine Weiterleitung auf die in $domain gespeicherte Webseite ausführt. Dies wird häufig aus Komfortgründen so ausgeführt, da der Internet-Nutzer auf die Seite weitergeleitet werden soll, die er vor dem Login angesteuert hatte. Da in diesem Beispiel der Parameter ‘domain‘ nicht überprüft wird, kann der Angreifer die daraus resultierende Redirect Schwachstelle der Webseite ausnutzen. Im Beispiel geschieht die Weiterleitung nach dem Login auf der bekannten Seite. Dies erreicht der Angreifer indem er etwa folgenden Link erstellt:

https://known-good.com?checkid=Login&…&domain=http://unknown-bad.com

Klickt der User den Link an, wird er zunächst auf die Login Page der bekannten Webseite gelenkt. Nach erfolgtem Login wird der User automatisch auf die manipulierte Seite des Angreifers http://unknonw-bad.com weitergeleitet. Selbst für technikaffine User ist es schwierig diese Weiterleitung festzustellen.

Häufige Angriffspunkte sind Redirect-Seiten, die zählen sollen, wie oft ein ausgehender Link verwendet wird. Z.B. wurde der folgende Linkmechanismus bei einer Zeitung gefunden:

...zeitung.com/redirect.asp?url=[ZIELURL]
Eine Zeitung verlinkt plötzlich mit 12 000 Links auf ein missbräuchliches Angebot

Es gibt auch Trackingcodes in der Werbebranche (Affiliate Marketing), die Werbepartnern erlauben auf Provisionsbasis zu einer Drittseite zu verlinken. Dort sind beispielsweise folgende Links im Einsatz:

tracking.xxx.de/?deepurl=[ZIELURL]

Andere häufige Parameter vor denen man sich in acht nehmen sollte sind url=, link=, redirect=. Tauchen diese in Links auf der eigenen Seite auf und können die Ziel-Domänen beliebig verändert werden ist Handeln notwendig, denn Angreifer scannen ständig Webseiten nach solchen Mustern und nutzen sie für ihre Zwecke.

Was kann ich gegen diese Form der Manipulation tun?

Beim URL Redirect handelt es sich um eine Schwachstelle der Webseite, die bereits bei der Erstellung der Webseite durch unsichere Skripte entsteht. Die Skripte können durch den Webseitenbetreiber programmiert sein oder sie kommen durch verwendete Plugins ins System. So war beispielsweise ein populäres WordPress Newsletter-Plugin betroffen, das offenbar zählen wollte, wie oft Links im Newsletter geklicked werden. Ebenso betroffen war das WordPress und Joomla Plugin AcyMailing und Noptin.

Die Schwachstelle kommt dadurch zustande, dass Parameter, die über einen Webseiten-Link übergeben werden, nicht auf deren Gültigkeit überprüft werden. Die Folge ist eine ungewollte und für den Internet-Nutzer evtl. riskante Weiterleitung auf eine manipulierte Seite des Angreifers. Hier ist der Betreiber der Internetseite gefragt, diese gegen URL Redirects zu härten, also widerstandsfähig zu halten. Die URL Redirect Schwachstelle kann beispielsweise vermieden werden, in dem die URLs zur Weiterleitung hart in die Skripte geschrieben werden. Der Betreiber der Webseite weiß ja häufig, wohin er verlinken möchte. Ist die Auflösung der Weiterleitung erst zur Laufzeit des Skripts möglich, muss entsprechend überprüft werden, ob der parametrisierte Link auch auf die Domain weiterleitet, die der Webseiten-Betreiber beabsichtigt. Um dies für mehrere Zielseiten abzubilden, bietet sich hier an, eine Liste an known-good Webseiten URLs anzulegen und vor dem Redirect die Ziel-URL gegen diese Liste abzugleichen. Ebenso möglich sind Weiterleitungen, die einen zusätzlichen durch ein geheim gealtenes Verfahren ermittelten Hashwert besitzen und prüfen und entsprechend nur bei Übereinstimmung weiterleiten.

>>> Lesen Sie auch: Open-Redirect im Beispiel Google

Typischer Hackingfall öffentlich gemacht

Es ist eine Seltenheit, dass Hackingfälle publik gemacht werden. Dabei hilft diese Öffentlichkeit anderen betroffenen Webseitenbetreibern auf die generelle Problematik aufmerksam zu werden und damit selbst wachsam zu sein und Hinweise zur Absicherung und Behebung erhalten zu können.

Gehackt wurde die Seite des bekannten schweizerischen Fotomuseum in Winterthur:

Cyberangriff auf das Fotomuseum Winterthur (inside-it.ch)

Die Webseite bleibt dabei von vorne her in Ihrem Verhalten normal, weswegen dieses Hacking häufig unbemerkt bleibt.

SEO-Hacking wird in der Suchmaschine deutlich

In der Suchmaschine sieht diese Form des Hackings dann so aus:

Die neu aufgenommenen Seiten drehen sich um Produkte. Die Einträge sind perfekt für Google optimiert mit Bewertungsinformationen und einem Produktbild, auch der Preis wird direkt angezeigt. Die Hacker machen sich dabei nicht die Mühe eine sprachlich oder thematisch passende Seite zu suchen. Für sie funktioniert offenbar eine beliebige Webseite irgendwo auf der Welt, die mit ihrem langjährigen Bestehen bei der Suchmaschine gut angesehen ist.

Suchende nach Produkten finden dann also die gut verlinkte und damit in der Suchmaschine hoch angesehene Seite des Fotomuseums. Ein Klick auf den Eintrag führt über eine Weiterleitung direkt in den Fake-Shop.

Dabei werden zum einen neue Seiten eingehängt. Im aktuellen Fall z.B. www.fotomuseum.ch/collection-post/xxx/ . Es werden aber auch bestehende Seiten der Suchmaschine mit neuen Inhalten angeliefert. Diese Technik nennt man Cloaking: Nutzer und Suchmaschine erhalten unterschiedliche Inhalte. So wurde der existierenden Seite www.fotomuseum.ch/de/collection-post/midwest/ ein neuer Inhalt zugeschrieben.

Neuer Webseiteninhalt durch Cloaking

Weiterleitungen finden bei solchen Seiten nur dann statt, wenn die Seite aus der Suchmaschine kommend aufgerufen wird.

Technisch handelt es sich bei der Seite des Fotomuseums um eine Seite, die mit dem populären Content-Management-System WordPress erstellt wurde. Dieses kostenlose Betriebssystem hat in den letzten Jahren so an Beliebtheit gewonnen, dass ein Marktanteil von über 60% besteht. Beliebt ist es auch wegen des Plugin-Konzepts: Zusätzliche hilfreiche Funktionalitäten können ganz einfach über wenige Klicks mit aufgenommen werden. Hier besteht allerdings auch ein Wildwuchs: eine fünfstellige Zahl an solchen Funktionserweiterungen besteht und nicht immer sind diese professionell entwickelt. Damit stellen Plugins ein häufiges Einfallstor für Hacker dar.

Wichtig für Seitenbetreiber ist es Plugins und die Kernsoftware regelmäßig zu aktualisieren und von solchen Plugins Abstand zu nehmen, die schon lange nicht mehr aktualisiert wurden.

Die gute Nachricht: Auch hierfür gibt es Plugins, die an notwendige Updates erinnern und Angreifer aussperren, die mit automatisierten Anfragen Schwachpunkte abprüfen.

Ein weiterer Tipp für Webseitenbetreiber, um von dieser Form des Hackings bewahrt zu bleiben: Ziel der Hacker hier ist es in der Suchmaschine gefunden zu werden. Wer über Statistiken aufmerksam bleibt, für welche Begriffe er in den Suchmaschinen häufig gefunden wird, bemerkt recht schnell, dass ein Angriff stattgefunden hat. Das Statistik-Tool muss dabei allerdings direkt aus den Logfiles die Informationen beziehen. nicht über Tracking-Code in der Webseite, da dieser ja nicht auf den gehackten Seiten präsent wäre.

Im Falle des Fotomuseums konnte das Hacking schnell behoben und damit weiterer Schaden abgewendet werden. Die Veröffentlichung hilft für mehr Wachsamkeit.