INSPECTION finds Open Redirect Fraud on Google Pages

The INSPECTION research project aims to find hacked and manipulated web pages by scanning search engines. The manipulated web pages redirect to fake shops, adware, scareware, ransomware downloads and other fraudulent pages.

Today URLs from Google have been found following such a fraudulent pattern. In this case the google webpage has not been hacked but a redirect mechanism has been misused (Open Redirect Vulnerabilty).

The manipulation can be seen in the search engine itself:

A search with site:https://adservice.google.de inurl:ddm/clk/408533097;208818505;l;u=ds

reveals many listings with Heading „Ohne Titel“. The code site: restricts the search to the domain adservice.google.de the code inurl: restricts it to the manipulated entries

The entries cover a range of languages and topics. So these listings will popup on various searches as the target pages have been stuffed with keywords.

The following search reveals an entry a German shopper for light bulbs might come over:

A click on this entry leads via many redirections to a fraudulent target page trying to install adware in the browser.

The link looks like this, the fraudulent target url is visible at the end:

adservice.google.de/ddm/clk/466651624;272226156;i;u=ds&sv1=53318795316&sv2=3240612057770812&sv3=7062085925274305193&gclid=EAIaIQobChMImv_IzI218AIVt4BQBh3qwwtKEAAYASAAEgKV3PD_BwE;%3F//pliczamarindice.tk/8ixtdad13adservicegoogledego4

The redirection chain across four countries can be inspected here:

urlscan.io/result/9da68671-b218-4f7c-bc46-684f5edb0e81

Redirects are often used to count outgoing links e.g. to monitor a newsletter. In this case counting is important because the redirect usually is used in the adserver. But this allows attackers to add their own links to the service, so the following example will lead to the page www.test.de:

http://adservice.google.de/ddm/clk/466651624;272226156;i;u=ds&sv1=53318795316&sv2=3240612057770812&sv3=7062085925274305193&gclid=EAIaIQobChMImv_IzI218AIVt4BQBh3qwwtKEAAYASAAEgKV3PD_BwE;%3F//www.test.de

But why are such links being indexed by the search engines? The fraudsters publish the links on arbitrary third party pages (hacked pages, spammed forums and comments etc.). The search engines find these links and include them into the search engine with the contents of the target page.

This target page uses a „cloaking“ technology: It shows the search engine different content than the user. So the search engine got content for light bulbs, the user gets redirected to a fraudulent page.

Also pages in other countries where google is active are being misused e.g. adservice.google.fr / .nl / .dk / .com and so on.

This vulnerability is already being used by many players. A search with site:adservice.google.com buy shows an entry in the search enginge originating from a fake shop selling fake Louis Vuitton bags.

urlscan.io/result/d813c155-3aad-438d-acdf-b92e93395a7e/

Fixing such issues is usually easy – redirects should at least be secured with a hash value showing that this redirect is wanted by the issuer or by not allowing target urls in plain text or by performing a lookup in the database for allowed targets. However for a huge company like Google it might be more difficult to take immediate action if this mechanism is used productively for ads.

A good message at least: Google follows the security.txt standard. Hereby we knew how to inform Google.

google.de/.well-known/security.txt

This example shows that also huge companies can be effected by the mechanisms researched in the INSPECTION project. We advise you to check your web page that it does not contain open redirects and to establish a security.txt file to get informed in a direct way if something goes wrong.

How to best inform website owners about vulnerabilities

Das Europäische Symposium für nutzbare Sicherheit (European Symposium on Usable Security – EuroUSEC) ist ein Forum für Forscher und Praktiker im Bereich der Mensch-Maschine Interaktion im Bereich Sicherheit und Datenschutz.

Die Dualität aus Forschung und Praxis zeigte sich schon bei den zwei Keynotes: Die eine von Gana Progrebna (Professorin für Business Analytics und Data Science an der University of Sidney sowie Lead for Behavioural Data Science am Alan Touring Institute) mit dem Titel „Behavioural Data Science of Machine Learning Operations and Human-Machine Teaming for Cyber Security„.

Die zweite Keynote von Thomas Tschersich, Chief Security Officer bei der Deutschen Telekom mit dem Titel „Human Factors in Cyber Security – An industry perspective„.

Das Projekt INSPECTION war mit einer Poster-Präsentation vertreten. Das Paper “How to best inform website owners about vulnerabilities on their websites“ von Anne Hennig, Fabian Neusser, Aleksandra Pawelek, Dominik Herrmann und Peter Mayer beleuchtet dabei mit Blick aus der Wissenschaft die praktischen Aspekte der Ansprache vom Hacking betroffener Webseiten-Eigner.

Im Kern wird aufgezeigt, wie ein Experiment aufgebaut wird, um über verschiedene Absender und mit verschiedenen Framings die Betreiber gehackter Webseiten zu informieren. Der Ansprachetext setzt sich dabei aus verschiedenen Bereichen zusammen: Aus der Motivation, in der die generelle Problematik beschreiben wird (ihre Webseite wurde gehacked), der Beschreibung von Möglichkeiten, um selbst die Behauptung der gehackten Webseite prüfen zu können (Anleitung, wie die manipulierten Seiten in der Suchmaschine auffindbar sind) und den verschiedenen Framings: neutral, aus Sicht des Schutz des Verbrauchers, aus technischer Sicht – die den Adressaten motivieren aktiv zu werden.

Zwei Wochen nach der Information wird geprüft, ob das Hacking der Webseite noch akut ist und gegebenenfalls eine Erinnerung versendet. Eine Kontrollgruppe von Webseiten wird zunächst nicht informiert, um erkennen zu können, wie stark die Steigerung durch eine effektive Ansprache ausfällt.

Poster

INSPECTION kooperiert mit BSI

Im Rahmen des internen Informationsformats “DVS Open” des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellen Dr. Peter Mayer und Anne Hennig am 17.05.2022 das Forschungsprojekt INSPECTION vor. DVS steht für “Digitaler Verbraucherschutz”. Peter Mayer und Anne Hennig präsentierten dabei die Ziele und aktuellen Ergebnisse aus dem INSPECTION-Projekt . Das Projekt beschäftigt sich mit dem Identifizieren gehackter Websites, der Benachrichtigung von Betroffenen und der Sensibilisierung verschiedener Stakeholder, um das Risiko künftiger Angriffe zu verringern. 

Das BSI konnte für den wichtigen Schritt der Kontaktaufnahme mit Betroffenen gewonnen werden: Im Rahmen des Forschungsprojekts wird ermittelt, welche Absender mit welcher Botschaft am besten an die Betreiber der gehackten Webseiten herantreten sollten. So wird in einem Experiment die Ansprache durch die Universität (KIT), die Ansprache durch den Hoster (IONOS, Godaddy), der Ansprache durch das BSI gegenübergestellt. Hieraus werden wichtige Erkenntnisse erwartet über die Effektivität verschiedener Absender und Framings (die sprachliche Verpackung der Botschaft von der Kommunikation der Gefährdung bis hin zu den „Incentives“, die eine schnelle Reaktion und Behebung mit sich bringt).

Standing out among the daily spam – How to catch website owners attention by means of vulnerability notifications

Auf der Konferenz Human Factors in Computing Systems (CHI 2022) in New Orleans wurde ein Forschungspaper vorgestellt, welches beschreibt, wie im Rahmen von INSPECTION die Betroffenen eines Hackings in einer Weise angeschrieben werden können, die diese auch erreicht.

Der Konferenzbeitrag beschreibt eine Interview-Studie mit deutschen Website-Besitzer:innen, bei der Wege zur effektiven Schwachstellen-Benachrichtigung identifiziert wurden.

Abstract: Running a business without having a website is nearly impossible nowadays. Most business owners use content managements systems to manage their websites. Yet, those can pose security risks and provide vulnerabilities for manipulations. With vulnerability notifications, website owners are notified about security risks. To identify common themes with respect to vulnerability notifications and provide deeper insight into the motivations of website owners to react to those notifications, we conducted 25 semi-structured interviews. In compliance with previous research, we could confirm that distrust in unexpected notifications is high and, in contrast to previous research, we suggest that verification possibilities are the most important factors to establish trust in notifications. We also endorse the findings that raising awareness for the severity and the complexity of the problems is crucial to increase remediation rates.