Neuigkeiten – Seite 2

8. März 202319. März 2025

URL-Redirects – eine gut gemeinte Schwachstelle

Sie setzen Newsletter ein und verlinken von dort auf Drittseiten? Sie zählen die ausgehenden Clicks von Ihrer Webseite? Dann sind Sie gefährdet, für die sog. „die „URL-Redirect“ /“Open-Redirect“-Schwachstelle.

Die URL Redirect Schwachstelle von Webseiten kann ein Angreifer dazu ausnutzen, um den Besucher einer Webseite auf seine eigene und nicht vertrauenswürdige Webseite weiterzuleiten. Diese Schwachstelle ist bekannt und wird über unsichere Skripte bei der Entwicklung einer Webseite verursacht. Der Angreifer kann diese Schwachstelle über die unsicheren Skripte der Webentwickler daher nutzen, ohne selbst die Webseite zu hacken.

Der Angriff wird so ausgeführt, dass dem Internet-Benutzer ein Weblink angeboten wird, der aus zwei Teilen besteht. Im ersten Teil sieht der Internetnutzer einen vertrauten und bekannten Domain-Namen und im zweiten Teil des Links die eigentliche Weiterleitung auf die nicht vertrauenswürdige Webseite des Angreifers. Dabei nutzt der Angreifer als Schwachstelle das Vertrauen des Internetnutzers in die Wiedererkennung des bekannten Teils aus und verleitet den User damit den Link anzuklicken. Den zweiten Teil des Links mit dem schädlichen Teil und der URL der Webseite des Angreifers nimmt der Internetnutzer dann nicht mehr wahr. Technisch läuft die Weiterleitung auf die nicht vertrauenswürdige Seite des Angreifers für den Internetnutzer vollkommen transparent ab, womit auch technikaffine User diese Art der Weiterleitung häufig nicht bemerken.

Der Angreifer muss die so manipulierten Links nur noch den Suchmaschinen bekannt machen. Dies geschieht dadurch, dass die neuen Links auf Drittseiten platziert werden. Die Suchmaschinen nehmen die URLs mit in den Index, der beschreibende Text wird dabei von der missbräuchlichen Zielseite dargestellt. Damit werden die Themen des Fake-Shops oder eines anderen missbräuchlichen Dienstes über die missbrauchte Domäne bekannt gemacht. Dies kann man über Programme, die ermitteln welche Links auf die eigene Seite zeigen, selbst sehr gut nachvollziehen wenn man betroffen ist.

Welche Formen des URL-Redirects gibt es?

Die als open Redirect bekannte Schwachstelle, bei der Weiterleitung von Webseiten-Besuchern auf eine vom Angreifer manipulierte Seite erfolgt, basiert im Grunde darauf, dass die Weiterleitung parametrisiert ist und damit erst zur Laufzeit die konkrete Weiterleitung aufgelöst wird. Ein einfaches Beispiel eines php-Skripts könnte dabei so aussehen:

$jumpurl=$_GET[‘link’];

header("location: ".$jumpurl);

Da der Paramter “link” nicht überprüft wird kann der Angreifer etwa über einen manipulierten Link wie: https://known-good.com?link=http://unknown-bad.com auf seine Angriffs-Webseite weiterleiten. Diesen Link kann der Angreifer per Email an den Nutzer der Internetseite versenden oder über Treffer aus Suchmaschinen platzieren. Wird der Link angeklickt landet der Webseiten-Besucher automatisch auf der Seite des Angreifers.

Auch das folgende Beispiel zeigt ein komplexeres Beispiel für die URL Redirect Schwachstelle:

$domain=$_GET[‘domain’];

if ($_POST['checkid'] == 'Login' && $_POST['nickname'] && $_POST['password']) {

if ($_POST['autologin'] == 'true')                       

       header ("location: ".$domain);}

Das Beispiel zeigt eine Login Prozedur, die nach erfolgtem Login eine Weiterleitung auf die in $domain gespeicherte Webseite ausführt. Dies wird häufig aus Komfortgründen so ausgeführt, da der Internet-Nutzer auf die Seite weitergeleitet werden soll, die er vor dem Login angesteuert hatte. Da in diesem Beispiel der Parameter ‘domain‘ nicht überprüft wird, kann der Angreifer die daraus resultierende Redirect Schwachstelle der Webseite ausnutzen. Im Beispiel geschieht die Weiterleitung nach dem Login auf der bekannten Seite. Dies erreicht der Angreifer indem er etwa folgenden Link erstellt:

https://known-good.com?checkid=Login&…&domain=http://unknown-bad.com

Klickt der User den Link an, wird er zunächst auf die Login Page der bekannten Webseite gelenkt. Nach erfolgtem Login wird der User automatisch auf die manipulierte Seite des Angreifers http://unknonw-bad.com weitergeleitet. Selbst für technikaffine User ist es schwierig diese Weiterleitung festzustellen.

Häufige Angriffspunkte sind Redirect-Seiten, die zählen sollen, wie oft ein ausgehender Link verwendet wird. Z.B. wurde der folgende Linkmechanismus bei einer Zeitung gefunden:

...zeitung.com/redirect.asp?url=[ZIELURL]

Eine Zeitung verlinkt plötzlich mit 12 000 Links auf ein missbräuchliches Angebot

Es gibt auch Trackingcodes in der Werbebranche (Affiliate Marketing), die Werbepartnern erlauben auf Provisionsbasis zu einer Drittseite zu verlinken. Dort sind beispielsweise folgende Links im Einsatz:

tracking.xxx.de/?deepurl=[ZIELURL]

Andere häufige Parameter vor denen man sich in acht nehmen sollte sind url=, link=, redirect=. Tauchen diese in Links auf der eigenen Seite auf und können die Ziel-Domänen beliebig verändert werden ist Handeln notwendig, denn Angreifer scannen ständig Webseiten nach solchen Mustern und nutzen sie für ihre Zwecke.

Was kann ich gegen diese Form der Manipulation tun?

Beim URL Redirect handelt es sich um eine Schwachstelle der Webseite, die bereits bei der Erstellung der Webseite durch unsichere Skripte entsteht. Die Skripte können durch den Webseitenbetreiber programmiert sein oder sie kommen durch verwendete Plugins ins System. So war beispielsweise ein populäres WordPress Newsletter-Plugin betroffen, das offenbar zählen wollte, wie oft Links im Newsletter geklicked werden. Ebenso betroffen war das WordPress und Joomla Plugin AcyMailing und Noptin.

Die Schwachstelle kommt dadurch zustande, dass Parameter, die über einen Webseiten-Link übergeben werden, nicht auf deren Gültigkeit überprüft werden. Die Folge ist eine ungewollte und für den Internet-Nutzer evtl. riskante Weiterleitung auf eine manipulierte Seite des Angreifers. Hier ist der Betreiber der Internetseite gefragt, diese gegen URL Redirects zu härten, also widerstandsfähig zu halten. Die URL Redirect Schwachstelle kann beispielsweise vermieden werden, in dem die URLs zur Weiterleitung hart in die Skripte geschrieben werden. Der Betreiber der Webseite weiß ja häufig, wohin er verlinken möchte. Ist die Auflösung der Weiterleitung erst zur Laufzeit des Skripts möglich, muss entsprechend überprüft werden, ob der parametrisierte Link auch auf die Domain weiterleitet, die der Webseiten-Betreiber beabsichtigt. Um dies für mehrere Zielseiten abzubilden, bietet sich hier an, eine Liste an known-good Webseiten URLs anzulegen und vor dem Redirect die Ziel-URL gegen diese Liste abzugleichen. Ebenso möglich sind Weiterleitungen, die einen zusätzlichen durch ein geheim gealtenes Verfahren ermittelten Hashwert besitzen und prüfen und entsprechend nur bei Übereinstimmung weiterleiten.

>>> Lesen Sie auch: Open Redirect Fraud using Google Links in Spam Emails

>>> Lesen Sie auch: Open-Redirect im Beispiel Google

22. Februar 202327. Februar 2023

Typischer Hackingfall öffentlich gemacht

Es ist eine Seltenheit, dass Hackingfälle publik gemacht werden. Dabei hilft diese Öffentlichkeit anderen betroffenen Webseitenbetreibern auf die generelle Problematik aufmerksam zu werden und damit selbst wachsam zu sein und Hinweise zur Absicherung und Behebung erhalten zu können.

Gehackt wurde die Seite des bekannten schweizerischen Fotomuseum in Winterthur:

Cyberangriff auf das Fotomuseum Winterthur (inside-it.ch)

Die Webseite bleibt dabei von vorne her in Ihrem Verhalten normal, weswegen dieses Hacking häufig unbemerkt bleibt.

SEO-Hacking wird in der Suchmaschine deutlich

In der Suchmaschine sieht diese Form des Hackings dann so aus:

Die neu aufgenommenen Seiten drehen sich um Produkte. Die Einträge sind perfekt für Google optimiert mit Bewertungsinformationen und einem Produktbild, auch der Preis wird direkt angezeigt. Die Hacker machen sich dabei nicht die Mühe eine sprachlich oder thematisch passende Seite zu suchen. Für sie funktioniert offenbar eine beliebige Webseite irgendwo auf der Welt, die mit ihrem langjährigen Bestehen bei der Suchmaschine gut angesehen ist.

Suchende nach Produkten finden dann also die gut verlinkte und damit in der Suchmaschine hoch angesehene Seite des Fotomuseums. Ein Klick auf den Eintrag führt über eine Weiterleitung direkt in den Fake-Shop.

Dabei werden zum einen neue Seiten eingehängt. Im aktuellen Fall z.B. www.fotomuseum.ch/collection-post/xxx/ . Es werden aber auch bestehende Seiten der Suchmaschine mit neuen Inhalten angeliefert. Diese Technik nennt man Cloaking: Nutzer und Suchmaschine erhalten unterschiedliche Inhalte. So wurde der existierenden Seite www.fotomuseum.ch/de/collection-post/midwest/ ein neuer Inhalt zugeschrieben.

Weiterleitungen finden bei solchen Seiten nur dann statt, wenn die Seite aus der Suchmaschine kommend aufgerufen wird.

Technisch handelt es sich bei der Seite des Fotomuseums um eine Seite, die mit dem populären Content-Management-System WordPress erstellt wurde. Dieses kostenlose Betriebssystem hat in den letzten Jahren so an Beliebtheit gewonnen, dass ein Marktanteil von über 60% besteht. Beliebt ist es auch wegen des Plugin-Konzepts: Zusätzliche hilfreiche Funktionalitäten können ganz einfach über wenige Klicks mit aufgenommen werden. Hier besteht allerdings auch ein Wildwuchs: eine fünfstellige Zahl an solchen Funktionserweiterungen besteht und nicht immer sind diese professionell entwickelt. Damit stellen Plugins ein häufiges Einfallstor für Hacker dar.

Wichtig für Seitenbetreiber ist es Plugins und die Kernsoftware regelmäßig zu aktualisieren und von solchen Plugins Abstand zu nehmen, die schon lange nicht mehr aktualisiert wurden.

Die gute Nachricht: Auch hierfür gibt es Plugins, die an notwendige Updates erinnern und Angreifer aussperren, die mit automatisierten Anfragen Schwachpunkte abprüfen.

Ein weiterer Tipp für Webseitenbetreiber, um von dieser Form des Hackings bewahrt zu bleiben: Ziel der Hacker hier ist es in der Suchmaschine gefunden zu werden. Wer über Statistiken aufmerksam bleibt, für welche Begriffe er in den Suchmaschinen häufig gefunden wird, bemerkt recht schnell, dass ein Angriff stattgefunden hat. Das Statistik-Tool muss dabei allerdings direkt aus den Logfiles die Informationen beziehen. nicht über Tracking-Code in der Webseite, da dieser ja nicht auf den gehackten Seiten präsent wäre.

Im Falle des Fotomuseums konnte das Hacking schnell behoben und damit weiterer Schaden abgewendet werden. Die Veröffentlichung hilft für mehr Wachsamkeit.

17. Februar 202322. März 2023

Poster zur Nationalen Konferenz IT-Sicherheitsforschung akzeptiert

Das Poster „Ihre Website wurde gehackt – Awareness schaffen für ein unsichtbares Problem“ von Anne Hennig, Peter Mayer, und Melanie Volkamer wurde zur Präsentation auf der diesjährgen Nationalen Konferenz IT-Sicherheitsforschung ausgewählt. Das Bundesministerium für Bildung und Forschung veranstaltet diese vom 13. bis 15. März 2023 in Berlin. Die Konferenz steht unter dem Leitmotiv „Die digital vernetzte Gesellschaft stärken“ und dient als Plattform zum Austausch über die gesamte Bandbreite der Forschung im Bereich IT-Sicherheit.

Download Poster – Ihre Webseite wurde gehackt – Awareness schaffen für ein unsichtbares Problem

7. Februar 202322. März 2023

Forschungsprojekt INSPECTION verlängert

Das Forschungsprojekt INSPECTION, das eigentlich Ende Mai 2023 enden sollte, wurde erfolgreich verlängert: Das Ende des Projektzeitraums ist nun auf Ende September bzw. November 2023 datiert. Die Forschungsarbeiten zum „Finden“ der Hackings enden im September. Untersuchungen zur Art der Hackings und die Evaluation der Awareness-Maßnahmen werden bis Ende November 2023 bearbeitet.

Ziel des INSPECTION Projekts ist es, gehackte Webseiten durch das Durchsuchen des deutschsprachigen Internets und durch Klassifikation der Seiten mit Methoden der künstlichen Intelligenz von außen automatisiert zu identifizieren. Es werden zudem Methoden entwickelt, die es erlauben, Betroffene zu informieren, den Schaden zu beheben und das Risiko zukünftiger erfolgreicher Angriffe zu reduzieren. Dabei sollen sowohl Betroffene als auch allgemein Stakeholder im Umfeld von Websites für die Probleme sensibilisiert werden.

25. Januar 20238. März 2023

Website Redirects im Umfeld von Fake-Webshops und SEO Fraud

Grundsätzlich werden sogenannte „Redirects“ dafür verwendet, den Besucher sowie Suchmaschinen-Crawler von einer URL auf eine andere umzuleiten. Redirects sind damit für Websites zunächst ein nützliches Werkzeug, um Aufrufe von Website Besuchern und Crawlern das Auffinden von Inhalten auf der eigenen Webpage zu erleichtern.

Für Redirects gibt es verschiedene Anwendungen, die dem Webmaster ermöglichen, die Aufrufe der Website zu steuern. So werden Redirects in diesem Zusammenhang häufig eingesetzt, wenn sich etwa der Domain-Name geändert hat und Aufrufe für die ursprüngliche Domain auf die neue umgeleitet werden, der Inhalt einiger Seiten aktualisiert wurde und nur noch die aktuelle Seite oder eine bestimmte Seite angezeigt werden soll oder wenn zwei Webpages zusammengeführt werden zu einer neuen.

Die Redirects erhöhen dabei den Komfort für den Benutzer, da Redirects so eingestellt werden können, dass diese ohne Interaktion mit dem Website-Besucher ablaufen und verringern die Wahrscheinlichkeit, dass gewünschter Traffic etwa durch geänderte Domain-Namen verloren geht. Dies gilt natürlich auch für Links, die im Internet auch weiterhin auf die alte Domain zeigen. Hier bewirken Redirects zudem, dass der sogenannte „SEO Link Juice“ auf die neue URL abfärbt und damit die Suchmaschinensichtbarkeit auf die neue Domain übertragen wird. Generell übernehmen die Suchmaschinen mit der Zeit bei permanenten Redirects die SEO Authority für die neue URL.

Was/Welche Formen des Redirects gibt es?

Neben der Möglichkeit einen Redirect über den Registrar oder Website Host einzustellen, können Redirects auch auf Server-Ebene platziert werden. Für den weit verbreiteten Apache Webserver übernimmt dies beispielsweise das Config-File htaccess:

Apache Server

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_HOST} ^example.com [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [r=301,L]

Eine dynamische Steuerung der Redirects kann auch über Skriptsprachen wie bspw. php oder Javascript erreicht werden:

PHP

<?php header("Location: http://www.example.com/new-url "); exit();?>

Javascript

<script>window.location.href = "http://www.example.com/new-url/"</script>

Auch hier wird ohne Mitwirkung des Surfers der Aufruf einer Website auf eine andere weitergeleitet.

Wo ist das Problem?

Da die Aufrufe des Redirects ohne die Mitwirkung des Users ablaufen, wird diese Technik auch von Angreifern erfolgreich dazu verwendet, bei gehackten Websites den Website Besucher oder Search Engine Crawler auf eine manipulierte Website weiterzuleiten. Damit gelingt es bspw. Betreibern von Fake Webshops vom SEO Ranking der gekaperten Website zu profitieren und so Netzwerk-Traffic auf manipulierte Websites umzuleiten.

Dabei hat der Internetbenutzer das Risiko bei Einkäufen in Fake Webshops einem Betrug zum Opfer zu fallen oder sich über die manipulierte Webseite Schadsoftware einzufangen. Aber auch der Website Betreiber, dessen gekaperte Seite auf den Fake Webshop verlinkt, läuft Gefahr auf einer Blacklist der Search Engine Betreiber zu landen und damit im Internet für Suchen unsichtbar zu werden. Dies kann gerade bei Geschäftstätigkeiten im E-Commerce Bereich einen gravierenden Schaden für den Webseitenbetreiber darstellen.

Wie werden Redirects festgestellt?

Im Rahmen des INSPECTION Projekts konnten wir verschiedene Redirects feststellen, die von Angreifern platziert wurden, um auf Fake-Shops zu verweisen.

Ein Beispiel einer festgestellten manipulierten .htaccess Website für einen statischen Redirect sieht dabei folgendermaßen aus:

RewriteEngine on
AddHandler x-httpd-php55 .php5
RewriteRule ^pillen/(.*)$ lib/mail/.cache/cache.php5?q=$1 [L]

Hier wurde die reguläre .htaccess Datei um einen Eintrag erweitert, der alle Aufrufe mit dem Begriff „Pillen“ im URL String auf ein php Skript mit dem Namen „cache.php5“ weiterleitet. Das Skript wiederum baut eine Internetseite mit Verlinkungen zu Fake-Shops auf.

Eine deutlich schwieriger festzustellende Form des Redirects stellen dynamische Redirects dar. Hier wird die Ziel URL auf die weitergeleitet werden soll zur Laufzeit aus einzelnen Parametern aufgebaut.

Im folgenden Code-Snippet wird die Funktion „IIPPVOAEg34tsji2n9“ bei ⁽¹⁾ über einen dynamische Parameter „$IzgF9rOtJZ0wOe1“ aufgerufen und erstellt den php Code für den Redirect. Der Rückgabewert „$IGe4PXeA42DaRD0“ wird in einer weiteren Funktion ⁽²⁾dazu verwendet den PHP Redirect anzupassen und über eval bei ⁽³⁾ auszuführen:

⁽¹⁾ $IGe4PXeA42DaRD0 = (IIPPVOAEg34tsji2n9($IzgF9rOtJZ0wOe1, "redirect", "yes")); 
⁽²⁾ if (stripos("qqq" . $IGe4PXeA42DaRD0, "THIS" . "ISPH" . "PRED" .  "IRECT")) {	$IGe4PXeA42DaRD0 = str_ireplace("THI" . "SIS" . "PHP" . "REDI" . "RECT", "", $IGe4PXeA42DaRD0);
$IGe4PXeA42DaRD0 = str_ireplace("<?php", "", $IGe4PXeA42DaRD0);
$IGe4PXeA42DaRD0 = str_ireplace("?>", "", $IGe4PXeA42DaRD0);
$IGe4PXeA42DaRD0 = str_ireplace("[DEFISKEY]", str_ireplace("-", "+", urldecode($IGe4PXeA42DaRD1)), $IGe4PXeA42DaRD0); 

⁽³⁾ eval($IGe4PXeA42DaRD0);

Die dynamisch zur Laufzeit erstellte URL wird vom Angreifer gesteuert und leitete bei unserer Untersuchung den Webseitenbenutzer unter ⁽³⁾ auf eine manipulierte Website weiter.

Diese Form des Hackings ist bei manipulierten Webseiten auch deswegen schwer zu analysieren, da der Angreifer für die verwendeten Variablen keine sprechenden Namen verwendet, sondern mit Funktionsnamen wie “ IIPPVOAEg34tsji2n9″ den Code möglichst unleserlich gestaltet.

Was kann ich tun?

Eine Voraussetzung dafür, dass eine Website manipuliert werden kann, um bspw. die Datei .htaccess so zu konfigurieren, dass der Website Besucher auf die manipulierte Seite des Angreifers weitergeleitet wird, ist der Zugriff des Angreifers auf den Webspace. Dafür gibt es verschiedene Möglichkeiten, die über sogenannte Angriffs-Vektoren Schwachstellen eines Systems ausnutzen und einen administrativen Zugriff auf die Website ermöglichen. Hier ist der Betreiber der Website gefordert genau diese Schwachstellen möglichst früh zu erkennen und zu beheben, um einen Angriff über genau diese Angriffsvektoren zu verhindern. Als Beispiel sind schwache Admin Passwörter, die für CMS Systeme verwendet werden, im Verhältnis einfach zu beheben. Schwieriger dagegen ist es, fehlerhafte Software zu erkennen und hier über entsprechende Software-Patches die Sicherheitslücken zu schließen. Software ist nie fehlerfrei, daher ist es die Herausforderung an den Website Betreiber das verwendete System aktuell zu halten, um die bekannten Schwachstellen über vorhandene Patches zu schließen und damit den Angriffsvektor über die zugehörige Schwachstelle zu schließen. Wichtig ist hier alle Softwaremodule die vom Website Betreiber administriert werden, wie CMS, Datenbank, Plugins, Webserver, FTP Server, im Blick und aktuell zu halten.

Nach einem erfolgreichen Angriff müssen die Angriffsspuren festgestellt und beseitigt werden. Eine sog. post-mortem Analyse hilft die „lessons learnt“ zu verarbeiten. Bei der post-mortem Analyse sollte auch betrachtet werden, wie zum einen die Angriffsfläche verringert werden kann, um zukünftige Angriffe zu erschweren. Hier steigert die Resilienz eines Webauftritts gegen Angriffe sicherlich das bereits beschriebene regelmäßige Update von Software. Auf der Seite der Intrusion Detection helfen Security Plugins, die zum einen in der Lage sind die Aktualität von Softwaremodulen festzustellen als auch verdächtige Vorgänge zu detektieren. Damit wird die Widerstandsfähigkeit des Systems gegen Angriffe genauso erhöht wie die Sichtbarkeit des Website Betreibers auf eventuelle verdächtige Vorgänge. Dies verkürzt die Zeit bis Security Incidents festgestellt und behandelt werden können und erhöht damit wesentlich die Sicherheit Ihrer Website und deren Besucher.

BDO AG

9. November 202225. Januar 2023

Global State of Scams Report

Beim Global Anti Scam Summit am 9. und 10. November 2022 im The Hague Security Delta Campus wurde der diesjährige Global State of Scams Report offiziell vorgestellt.

Im Report wird versucht die verschiedenen Missbrauchsarten – von denen Missbrauch beim Online-Shopping nur ein Teil ist – bezüglich des monetären Verlusts und der globalen Entwicklung einzuschätzen:

Scammers have proven more successful in 2021 than ever before. The number of scams
reported increased with 10.2% from 266 in 2020 to 293 million reports in 2021. The amount of money lost in scams grew from with 15,7% from $47.8 billion in 2020 to $ 55.3 billion in 2021, mainly due to the rise in Investment Scams (also read: About the Data).
Scammers are using any crises to scam people; moving from preordering your Coronavirus
vaccination in the beginning of 2021, to cheap flight tickets for Hajj pilgrims, “supporting”
victims of the Australian bush fires, “helping” Ukrainian refugees and more recently, tickets to Queen Elizabeth’s funeral memorial and energy crisis government subsidies.

Auf Seite 33 des Reports wird das Forschungsprojekt INSPECTION in einem Interview mit Joachim Feist von der mindUp Web + Intelligence GmbH besprochen:

What can you tell about Project INSPECTION?
The research project INSPECTION finds hacked web pages whose resources are being misused to redirect users into fake online shops.
What advantage do these website hackers hope to gain?
By hacking existing domains, the fraudster takes advantage of the reach that has grown over the years, the good search engine ranking, and the positive reputation of the hacked site. Even if there is no thematic match between the fake store and the so called hacked host site, the attacker can place ten thousand thematic pages of his fake store in the search engine index overnight, generating a high number of web visits.
Which websites are particularly often the target of such attacks?
Very small website operators are often targeted. The victims are therefore mainly associations, freelancers or self employed people, for example from the craft sector. But also private individuals. Security gaps often exist because the operators see their websites as a one off investment, they do not keep the site secured.
Why can fake stores become so widespread on the Internet?
The hackers know: The risk of prosecution is low. In most cases, the servers used for the crimes are located outside of Germany and Europe, making it difficult to identify and apprehend the criminals in this country.
Our attempts to refer fake stores to law enforcement agencies, Internet registrars, or consumer protection for closure in order to stop them have also failed. Our current legal regulations can do little against cybercriminals operating internationally. Moreover, it is difficult to adequately inform operators of an attack that has taken place, because an e mail of a hacked site is usually not read. Even if you can contact the site owner, in most cases, those affected cannot act quickly enough due to a lack of IT expertise.
How will INSPECTION help in the future?
The focus of our idea is, on the one hand, the detection of hacked sites and, on the other hand, the targeted, largely automated and early warning of the operators of the hacked sites. After all, mere detection remains useless if there are no measures to remedy the problem.

In den zwei Tagen der hybriden Konferenz wurden in vielen Vorträgen, Panels und Workshops mit Teilnehmern aus sehr vielen Ländern die verschiedensten Aspekte angesprochen. Einige Vorträge waren auch im Umfeld von Fake-Angeboten im Online-Shopping.

Louise Beltzung von der Watchlist Internet berichtete dabei über ein Awareness-Projekt aus Österreich: Unter blackout-kits.at erreicht man einen Online-Shop, der bei genauerem Hinsehen einige Mängel bezüglich Impressum, zu günstiger Preise und seltsamen Deutsch in den Rücksendebedingungen hat. Bestellt man trotzdem hat man Glück – man wird lediglich gewarnt, dass dies genauso ein Fake-Shop hätte sein können.

Von Amazon war Abigail Bishop gekommen, um zu berichten, welche Maßnahmen der E-Commerce Gigant ergreift, um zu verhindern, dass Verbraucher auf der Plattform betrogen werden.

In Dänemark erfordert die Registrierung einer Domänen, dass man sich ausweist. Über die positiven Auswirkungen dieser Regelung berichtete Jakob Bring Truelsen, CEO von Hostmaster, Domain-Registry in Dänemark.

Die jährlich stattfindende Konferenz stellt einen wichtigen Beitrag dar, das Ausmaß von Missbrauch zu beziffern und sich über Maßnahmen auszutauschen.

27. Oktober 202225. Januar 2023

INSPECTION bei SWSD 2022 vorgestellt

Am 27.10.2022 stellte Anne Hennig das Forschungsprojekt INSPECTION beim Swiss Web Security Day 2022 vor. Diese eintägige Veranstaltung wird jährlich veranstaltet von der Swiss Internet Security Alliance SISA und der Swiss ICT Industry Association Swico . Behandelt werden aktuelle technische, rechtliche und regulatorische Fragen im Umfeld der Domänenregistrierung und des Webhosting. Dabei spielen auch Sicherheitsthemen eine große Rolle. Ziel des INSPECTION Projekts ist es, das deutschsprachige Internet automatisiert mit Methoden der Künstlichen Intelligenz nach gehackten Websites zu durchsuchen. Weiterhin werden Methoden entwickelt, betroffene Websites effektiv zu informieren und Website-Besitzer:innen Materialien an die Hand zu geben, den Schaden zu beheben und sich vor zukünftigen Angriffen zu schützen.

Im Fokus des Vortrags stand dabei die Information der Betroffenen: Die SECUSO-Gruppe (Security • Usability • Society) des Karlsruhe Institute of Technology (KIT) erforscht im Projekt, wie und über welche Kanäle am besten Betreiber einer Webseite über eine aufgetretene Hackingproblematik informiert werden können. Getestet werden als Versender der Nachricht Hoster, Behörden und die Universität selbst. Wichtig für die Adressaten ist es, die Nachricht selbst verifizieren zu können. Es werden verschiedene Botschaften getestet, die Empfänger:innen nahebringen sollen, dass gehandelt werden muss.

Weitere Informationen unter https://swsd2022.events.switch.ch/

Das Video des Vortrags findet sich hier:

Your webpage has been hacked – how to effectively inform the webpage owners?

(Bild: Franziska Hutter – Switch)

29. September 202225. Januar 2023

How to best inform website owners about vulnerabilities

Das Europäische Symposium für nutzbare Sicherheit (European Symposium on Usable Security – EuroUSEC) ist ein Forum für Forscher und Praktiker im Bereich der Mensch-Maschine Interaktion im Bereich Sicherheit und Datenschutz.

Die Dualität aus Forschung und Praxis zeigte sich schon bei den zwei Keynotes: Die eine von Gana Progrebna (Professorin für Business Analytics und Data Science an der University of Sidney sowie Lead for Behavioural Data Science am Alan Touring Institute) mit dem Titel „Behavioural Data Science of Machine Learning Operations and Human-Machine Teaming for Cyber Security„.

Die zweite Keynote von Thomas Tschersich, Chief Security Officer bei der Deutschen Telekom mit dem Titel „Human Factors in Cyber Security – An industry perspective„.

Das Projekt INSPECTION war mit einer Poster-Präsentation vertreten. Das Paper “How to best inform website owners about vulnerabilities on their websites“ von Anne Hennig, Fabian Neusser, Aleksandra Pawelek, Dominik Herrmann und Peter Mayer beleuchtet dabei mit Blick aus der Wissenschaft die praktischen Aspekte der Ansprache vom Hacking betroffener Webseiten-Eigner.

Im Kern wird aufgezeigt, wie ein Experiment aufgebaut wird, um über verschiedene Absender und mit verschiedenen Framings die Betreiber gehackter Webseiten zu informieren. Der Ansprachetext setzt sich dabei aus verschiedenen Bereichen zusammen: Aus der Motivation, in der die generelle Problematik beschreiben wird (ihre Webseite wurde gehacked), der Beschreibung von Möglichkeiten, um selbst die Behauptung der gehackten Webseite prüfen zu können (Anleitung, wie die manipulierten Seiten in der Suchmaschine auffindbar sind) und den verschiedenen Framings: neutral, aus Sicht des Schutz des Verbrauchers, aus technischer Sicht – die den Adressaten motivieren aktiv zu werden.

Zwei Wochen nach der Information wird geprüft, ob das Hacking der Webseite noch akut ist und gegebenenfalls eine Erinnerung versendet. Eine Kontrollgruppe von Webseiten wird zunächst nicht informiert, um erkennen zu können, wie stark die Steigerung durch eine effektive Ansprache ausfällt.

Poster

9. August 202211. Oktober 2022

Sicher einkaufen im Internet

Ein Podcast-Beitrag der Verbraucherzentrale informiert Verbraucher, wie Sie möglichst nicht in die Fallen der Fake Shops geraten.

In diesem Zusammenhang erläutert auch Joachim Feist von der mindUp Web + Intelligence GmbH die Motivation und Problematik der gehackten Webseiten wie sie bei INSPECTION im Mittelpunkt stehen (ca. Minute 9:48 – 11:48) und deren Bezug zu Fake-Shops:

Dorian Lötzer: […]Fakeshop ist nicht gleich Fakeshop. Und man kann auch nicht einfach irgendeine Seite ins Internet stellen, die Füße hochlegen und quasi darauf warten, dass das Geld einfach so einfließt. Aber da, wo es Geld gibt, gibt es auch einen „Markt“. Und über den wollte ich mehr erfahren.

Joachim Feist: […] Was man eben auch feststellen muss ist, dass dieses Fakeshop-Treiben tatsächlich zugenommen hat. Zum einen sagt man, das ist vielleicht sogar heute schon vom organisierten Verbrechen genutzt, da es eigentlich eine Betrugsform ist, die deutlich risikoloser ist, als Drogen zu verkaufen.

Dorian Lötzer: Diese Erkenntnis ist wichtig. Denn die Vermutung liegt bei Fakeshops oft nahe, dass es um Einzeltäter in irgendwelchen Keller geht. Und dann vernachlässigt man das Problem eher. In der Realität sind viele Betreiber:innen solcher Fakeshops höchst professionell geworden, Teils mit firmenähnlichen Strukturen. Und diese Professionalität spiegelt sich auch in deren Strategien wieder.

Teilweise haben Fakeshops nämlich ein wirklich gutes Verständnis vom Markt. Wenn gerade Grafikkarten für Computer schwierig zu kriegen sind, richten sie sich darauf aus. Wenn Sneaker oder Spielekonsolen begehrt sind, dann darauf. Je höher der Wunsch der Opfer ist, an ihr Produkt zu kommen, desto leichter haben es Fakeshops.

Joachim Feist: Man muss schon sagen, dass diese Fakeshop-Betreiber sehr kreativ sind und auf der anderen Seite sehen wir auch zunehmend kriminelle Machenschaften. Das heißt, ein Fake-Betreiber hat ja eigentlich das gleiche Problem wie ein normaler Onlineshop. Er stellt seinen Fakeshop jetzt online und niemand kennt den. Es wird auch niemanden geben, der sagt, „Oh, ich hab‘ kürzlich in diesem schönen neuen Shop eingekauft, das lief alles zu meiner Zufriedenheit.“ Das fällt bei ihm auch weg. Und das heißt für ihn, er muss vielleicht Werbung schalten, das ist aber natürlich auch riskant, weil er dann eben bei diesen Stellen, bei denen er Werbung schaltet, auch wieder mit gefälschten Kontenangaben arbeiten oder seine Adressdaten angeben muss.

Tatsächlich haben wir jetzt vor ungefähr vier bis fünf Jahren festgestellt, dass Fake Shops auch hingehen […] und Drittseiten hacken. Das heißt, um in die Suchmaschinen hinein zu kommen, hängen sie sich unter normale .de-Adressen mit ihren Inhalten. Und Verbraucher sehen dann plötzlich eine ganz normale deutschsprachige Domäne in der Suchmaschine, die plötzlich mit ihren Unterseiten für diesen Fakeshop sichtbar wird.

Die Webseite bleibt von vorne her ganz normal. Das heißt dann auch, wenn wir Seitenbetreiber darauf ansprechen, dass sie gehackt wurden, sagen die: „meine Seite sieht doch aus wie immer. Da ist doch alles normal, da gibt es doch kein Problem“, aber aus der Suchmaschine kommend ist es dann eben so, dass dieser Klick dann weitergeleitet wird zum Fakeshop.

Dorian Lötzer: Fakeshops sind mittlerweile also extrem professionalisiert. Sie nutzen nicht nur die Algorithmen von Suchmaschinen gezielt aus, um mit ihrer Werbung ganz oben zu erscheinen, sondern hacken sich mitunter auch in andere Websites ein, um von deren Kundenvertrauen zu profitieren. Je nachdem, von welcher Art von Shop wir sprechen, sind die Zeiten auch vorbei, in denen man noch auf den ersten Blick erkennen konnte, dass es sich um eine Betrugsmasche handelt. Es wird immer schwieriger, unseriöse Läden im Internet schnell ausfindig zu machen.

[…]

13. Juli 202213. Juli 2022

Projekttreffen INSPECTION am KIT

Während Nancy Faeser Ihre Cybersicherheitsagenda vorstellt – mit zentralen Befugnissen gegen Hacker – arbeitet das Team im Forschungsprojekt INSPECTION an dezentralen Ansätzen. Knapp zwei Jahre nach dem Kick-off fand das INSPECTION Projektmeeting wieder am KIT in Karlsruhe und Online statt. Im Forschungsprojekt INSPECTION geht es darum, von außen zu erkennen, dass Webseiten gehackt wurden. Dieser dezentrale Ansatz identifiziert große Mengen von Hackings, die oft jahrelang unentdeckt bleiben. Die gehackten Webpräsenzen von Privatleuten, Handwerkern, Firmen, aber auch z.B. Städten, Universitäten und Kliniken, werden im großen Stil dazu genutzt, Besucher zu Fake-Shops zu leiten. Die gleiche Art des Hackings kann aber auch verwendet werden für Ransomware-Downloads, Phishing oder DDOS-Attacken.

Herr Stephan Halder, BDO AG, stellte weitere Ergebnisse aus der forensischen Analyse betroffener Webseiten vor. Besondere Highlights waren Feststellungen, wie tief sich Angreifer in gehackte Webserver eingraben und die Sicherungsmechanismen, die Angreifer ergreifen um nicht entdeckt zu werden. Basierend auf diesen Erkenntnissen wurden Maßnahmen zur Verstärkung der Resilienz gegenüber Hacking-Angriffen präsentiert.

Dr. Peter Mayer und Anne Hennig, die die Forschungsgruppe SECUSO im Projekt vertreten, berichteten über erste Ergebnisse eines Benachrichtigungs-Experiments, bei dem die Effektivität verschiedener Anschreiben getestet wird. Einleitend zu dem Thema Entwicklung von Awareness-Materialien, das im nächsten Projektzeitraum im Fokus der Konsortialpartner stehen wird, stellte Frau Prof. Melanie Volkamer einen Leitfaden für das Erstellen von Security-Awareness-Maßnahmen vor.

Herr Joachim Feist, von der mindUp Web + Intelligence GmbH aus Konstanz, sprach über Ansätze wie gehackte Webseiten bereits an der sitemaps.xml erkannt werden können. Darüber hinaus stellte er den Ansatz der „security.txt“ Datei vor, die es auf einfachem Weg erlaubt, betroffene Webseiten-Betreiber zu informieren.

Nähere Informationen zu diesem Vorschlag finden Sie im vorherigen Beitrag:

Are you hacked ? Please let us contact!