Das Forschungsprojekt INSPECTION, das eigentlich Ende Mai 2023 enden sollte, wurde erfolgreich verlängert: Das Ende des Projektzeitraums ist nun auf Ende September bzw. November 2023 datiert. Die Forschungsarbeiten zum „Finden“ der Hackings enden im September. Untersuchungen zur Art der Hackings und die Evaluation der Awareness-Maßnahmen werden bis Ende November 2023 bearbeitet.

Ziel des INSPECTION Projekts ist es, gehackte Webseiten durch das Durchsuchen des deutschsprachigen Internets und durch Klassifikation der Seiten mit Methoden der künstlichen Intelligenz von außen automatisiert zu identifizieren. Es werden zudem Methoden entwickelt, die es erlauben, Betroffene zu informieren, den Schaden zu beheben und das Risiko zukünftiger erfolgreicher Angriffe zu reduzieren. Dabei sollen sowohl Betroffene als auch allgemein Stakeholder im Umfeld von Websites für die Probleme sensibilisiert werden. 

Finding hacked websites which are misused to redirect to fake Online Shops is the aim of the INSPECTION project. Within this project, that is funded by the German Federal Ministry of Education and Research, we collected frequently asked questions, like „What is the goal of the hackers?“, „How can I see if my website is misused?“ or „What do I have to do if I detect such a misuse on my website?“. With this project we would like website owners to become aware of the problem. Having tons of results in the Google search is not always profitable – especially if most of them redirect to fake pharmacies or other suspicious online shops. Instead, loss of reputation and even legal consequences are the yield.

Artikel auf: cybersecuritymonth.eu

Zur Eindämmung der Corona-Pandemie setzt die Bundesregierung zusätzlich auf vermehrtes Testen. Durch kostenlose Schnelltests in Testzentren, Arztpraxen oder Apotheken sowie Selbsttests für die Eigenanwendung zu Hause sollen Infizierte schnell identifiziert werden. Die ersten drei Anbieter für Corona-Schnelltests zur Eigenanwendung durch Laien wurden diese Woche vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen.

3 –2 –1 –Meins! Doch warum bekomme ich das gewünschte Produkt nicht geliefert? „Fake Shops locken Kunden meist mit besonders günstigen Angeboten zu einem Produkt, bei dem die Nachfrage aktuell sehr hoch ist oder die Verfügbarkeit sehr gering“, erklärt Dr. Peter Mayer von der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie. „Probleme mit solchen betrügerischen Online-Shopsverschärftensich in der ersten Zeit der Pandemie, da zum Beispiel Desinfektionsmittel und medizinische Schutzausrüstungen rar waren und die Bürgerinnen und Bürger aufgrund des Lockdowns vermehrt im Internet bestellt haben. Wir vermuten daher, dass mit der Zulassung von Schnelltests für die Eigenanwendung ein ähnlicher Trend festzustellen ist“, ergänzt Anne Hennig, die als Wissenschaftliche Mitarbeiterin in der Forschungsgruppe das Projekt INSPECTION unterstützt.

In dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt forschen Dr. Peter Mayer und Anne Hennig (M.A.) gemeinsam mit den Partnern der MindUp Web + Intelligence GmbH, der BDO AG Wirtschaftsprüfungsgesellschaft und weiteren assoziierten Partnernzum Thema Fake Shops im Internet. Eine Vorgehensweise von Betrüger ist es, Sicherheitslücken in bestehenden Webseiten von Unternehmen, Vereinen oder Privatpersonen zu nutzen. Die Hacker verschaffen sich Zugang zur Web-Plattform der Betroffenen und hinterlassen im Quellcode der Webseite eine Weiterleitung zu ihrem Fake Shop. Die Geschädigten bekommen davon oftmals gar nichts mit, da die Betrüger lediglich den Namen und damit die Sichtbarkeit der Webseite in den Rankings derSuchmaschinenanbieter nutzen. Ziel des Projekts INSPECTION ist es, gehackte Webseiten ausfindig zu machen, das Vorgehen der Betrüger im Internet nachvollziehen zu können und einen geeigneten Kommunikationsweg zu entwickeln, um betroffene Webseitenbetreiber:innen zu informieren.

„Wichtig ist es, dass Sicherheitslücken schnell geschlossen werden, um Schaden zu vermeiden. Dabei trifft es nicht nur den Endverbraucher, der um sein Produkt betrogen wurde, sondern auch das Unternehmen, dessen Image durch den Betrug geschädigt worden ist“, erläutert Dr. Peter Mayer. Webseitenbetreiber:innen sollten dabei darauf achten, dass die Webseiten-Plattform regelmäßig aktualisiert wird. Wird ein Content-Management-System (CMS) wie WordPress, Joomla oder Typo3 genutzt, sollten nicht nur die Plattformen an sich, sondern auch die Erweiterungen, sogenannte Plugins, auf dem aktuellsten Stand sein. „Aber auch unsichere Passwörter für den Login auf die Webseiten-Plattform sind ein Einfallstor für Betrüger“, erklärt Anne Hennig.

Und wie können Kund:innen sich vor Fake Shops schützen? „Das wichtigste ist, zunächst eine Plausibilitätsprüfung durchzuführen“, rät Prof. Melanie Volkamer, Leiterinder SECUSO Forschungsgruppe, „Wie wahrscheinlich ist es, dass der Malermeister aus Norddeutschland mir Corona-Schnelltests verkauft? Erscheint es denn logisch, dass bei diesem Anbieter Schnelltests nur halb so teuer sind, als bei allen anderen? Diese Fragen sollte ich mir zuerst stellen.“ Ein Set mit 20 bis 25 Testkassetten für den medizinischen Gebrauchkostet aktuell zwischen 120 und 200€. Wie teuer Schnelltests für den Laiengebrauch sein werden ist noch nicht bekannt.

Gütesiegel, wie das Trusted-Shop-Label oder das S@fer Shopping Siegel des TÜV Süd, können ein weiteres Indiz dafür sein, dass der Shop vertrauenswürdig ist. „Aber auch hier ist Vorsicht geboten“, meint Volkamer. Betrüger könnten die Siegel einfach kopieren oder eigene Siegel erfinden, um Seriosität vorzutäuschen.Hinter vertrauenswürdigen und aktuell gültigen Gütesiegeln steht ein Zertifikat, das der Siegelanbietende ausgestellt hat. Mehr Informationen zu Gütesiegeln für den Online-Handel gibt die Initiative D21 (Link: https://initiatived21.de/artikel-guetesiegel-beim-online-kauf/).

„Misstrauisch sollte man werden, wenn der Shop als Zahlungsmittel ausschließlich Vorauskasse oder Zahlung per Kreditkarte anbietet“, so die IT-Sicherheitsexpertin. Insbesondere wer per Vorauskasse bezahlt und die Ware anschließend nicht erhält, hat kaum Chancen, sein Geld wiederzubekommen. Ist auf der Shop-Seite zudem kein Impressum angegeben oder sind die angegebenen Kontaktdaten nicht erreichbar, sollte man Abstand von diesem Anbieter nehmen, meint Volkamer. „Ist man dennoch unsicher, hilft eine Websuche. Oftmals warnen zum Beispiel Verbraucherzentralen oder Sicherheitsbehörden vor betrügerischen Shops.“

Doch auch wenn ein Webshop vertrauenswürdig erscheint –solange er keine vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassenes Produkt für die Eigenanwendung durch Laien anbietet, sollte man dort nicht bestellen. Das BfArM hat aktuell drei Anbieter zugelassen. Die Liste wird durch das Institut kontinuierlich aktualisiert.

„Grundsätzlich raten wir immer dazu, nicht überstürzt zu handeln. ‚Slow down‘ ist das grundsätzliche Gebot bei Fragen der IT Sicherheit-nicht nur beim Online-Shopping,“ meint die Leiterinder SECUSO Forschungsgruppe.

Betreibende betrügerischer Online-Verkaufsplattformen – sogenannter Fake-Shops – machen sich zunehmend Sicherheitslücken von Webseiten zunutze. Sowohl für die Menschen und Organisationen hinter seriösen Webseiten als auch für Online-Shoppende bedeutet dies ein Risiko. Käuferinnen und Käufer werden bei den unseriösen Angeboten zur Zahlung mittels Vorauskasse oder per Kreditkarte aufgefordert − für Waren oder Dienstleistungen, die häufig gar nicht existieren.

Gerade in der gegenwärtigen Lage verschärft sich das Problem: Viele der Fake-Shops vermarkten in der Pandemie-Krise wichtige Produkte wie Schutzkleidung, Schnelltests oder Desinfektionsmittel. Und das erfolgreich – denn hinter der Masche steckt System: Für hohe Besuchsströme hacken Fake-Shop-Betreibende seriöse Webseiten und richten unerkannt automatisierte Weiterleitungen zu ihrer gefälschten Plattform ein. Die Fake-Shops erhöhen so ihre Sichtbarkeit in Suchmaschinen und damit ihre Erfolgsrate. Die gehackte Webseite kann dann auch für andere Formen des Missbrauchs genutzt werden: zum Beispiel zum Versenden von Spam oder zur Verbreitung von Ransomware.

Im Interview erklärt das INSPECTION Team, welchen Ansatz es verfolgt.

Ihnen begegnen bereits seit vielen Jahren Fake-Shops und damit verbunden Angriffe auf seriöse Webseiten. Wie gehen die Angreifenden genau vor?

Fake-Shop-Betrüger bringen ihre neuen Domänen dadurch in die Suchmaschinen, dass sie sich geschickt mit ihren Themen in fremde, häufig themennahe Webseiten einnisten.

Welchen Vorteil erhoffen sich die Hacker?

Durch das gezielte Hacking von bestehenden Domänen macht sich der Betrüger die über Jahre gewachsene Reichweite, das gute Suchmaschinen-Ranking sowie die positive Reputation der gehackten Seite zunutze. Um eine Zahl zu nennen: Auch wenn thematisch zwischen Fake-Shop und der so genannten gehackten Wirtsseite keine Übereinstimmung besteht, kann der Angreifer bereits über Nacht zehntausend Themenseiten seines Fake-Shops im Suchindex der Suchmaschinen erfolgreich platzieren und damit eine hohe Anzahl an Webbesuchen generieren.

Welche Webseiten sind besonders häufig Ziel solcher Angriffe?

Im Visier sind häufig sehr kleine Webseitenbetreiber. Opfer sind also vor allem Vereine, freiberuflich Tätige oder Selbstständige, etwa aus dem Handwerksbereich. Aber auch Privatpersonen. Sicherheitslücken bestehen hier oft deshalb, weil die Betreiber ihre Webseiten als einmalige Marketinginvestition verstehen. Sicherheitskonzepte werden nicht konsequent verfolgt.

Warum können sich Fake-Shops im Internet so breitmachen?

Die Hacker wissen: Das Risiko der Strafverfolgung ist gering. Zumeist stehen für die Straftaten genutzte Server außerhalb von Deutschland und Europa – die Kriminellen sind dadurch hierzulande schwer identifizier- und greifbar. Auch unsere Versuche, Fake-Shops an die Strafverfolgungsbehörden, die Internetregistrare oder den Verbraucherschutz zur Schließung weiterzuleiten, um sie so zu stoppen, schlugen fehl. Unsere aktuellen gesetzlichen Regelungen können gegen international agierende Cyberkriminelle wenig ausrichten. Darüber hinaus ist es schwierig, die Betreiber adäquat über einen erfolgten Angriff zu informieren, weil eine E-Mail, die ein Hacking thematisiert, im Regelfall nicht gelesen oder ernst genommen wird. Zunächst muss also unbedingt fallbezogen ein verlässlicher Kommunikationskanal zu den Zuständigen gefunden werden. Meist können die Betroffenen auch aufgrund fehlenden IT-Know-hows nicht schnell genug handeln.

Wie soll INSPECTION künftig helfen?

Im Mittelpunkt unserer Idee steht zum einen das Aufspüren der gehackten Seiten und zum anderen die zielgerichtete, weitgehend automatisierte und frühzeitige Warnung der Betreiber der gehackten Seiten. Denn das reine Erkennen bleibt nutzlos, wenn es keine Maßnahmen gibt, das Problem zu beheben. Im Projekt bringen hier die Cybersecurity-Experten der BDO AG Wirtschaftsprüfungsgesellschaft ihr Wissen ein. Sie durchleuchten die Art und Weise der Hackings und können aus der Erkenntnis Lösungen extrahieren, um den Betroffenen schnell Hilfestellung zu geben – auch wenn diese kein Expertenwissen haben. Forschende der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie (KIT) bauen auf diesen Erkenntnissen auf und entwickeln ein optimales Verfahren, um Betroffene zu informieren − etwa über Polizeibehörden, Branchenverbände oder Webhoster.

Welchen technischen Ansatz verfolgen Sie, um zu erkennen, ob eine Webseite gehackt wurde?

Das Gute an dieser Form des Hackings ist, dass wir es von „außen“ erkennen können. Wir verfolgen dabei einen Big-Data-Ansatz, indem wir im großen Stil in shopping-affinen Themenbereichen Suchmaschinenergebnisse überwachen. Alle gefundenen Webseiten werden thematisch eingestuft: Sowohl die für einen Suchbegriff wie „Nike Air Max“ gefundene Seite einer Domäne als auch die Webdomäne, wenn man diese von der Startseite her besucht. Eine als im Themengebiet „Handwerk“ klassifizierte Domäne, die in der Suchmaschine mit Seiten für Turnschuhe gefunden wird, ist dabei auffällig.

Weshalb bietet KI hierfür so große Chancen?

Techniken des maschinellen Lernens sind sehr gut geeignet, um solche thematischen Klassifikationen aus großen Datenmengen einzutrainieren. Das genannte Schuhbeispiel ist nämlich nur eines von vielen. Es gilt etwa auch, Fälle zu erkennen, in denen eine legale Online-Apotheke gehackt wurde, um auf eine illegale Online-Apotheke zu verlinken. Dieser Fall ist dann nicht mehr thematisch erkennbar. Zu den thematischen Merkmalen treten daher viele weitere Parameter hinzu, die durch ein lernendes System ebenfalls auf Basis zuvor klassifizierter Fälle herangezogen werden können. Zu beachten ist auch, dass Kriminelle derartige Betrugsmaschen immer weiterentwickeln. Feste Heuristiken würden hier mit der Zeit ins Leere laufen, während ein mitlernendes System auch neuartige Mechanismen erkennen kann.

Gibt es kategorische Unterschiede zwischen den von Ihnen gesichteten gefälschten Plattformen?

Bei den Fake-Shops gibt es solche, die das Ziel haben, Plagiate großer Modemarken oder bekannter Medikamente zu vertreiben. Eine zweite Gruppe von Fake-Shops beabsichtigt überhaupt nicht, jemals Ware zu verschicken, sondern hat es lediglich auf das Geld oder die Kreditkartendaten der Verbraucher abgesehen. Häufig erfolgen dort nach der eigentlichen Bestellung weitere Belastungen der Kreditkarte. Diese Fake-Shops bedienen einen deutlich größeren Themenbereich und kopieren zum Beispiel Produktbestände großer Markplätze. Einfach lässt sich also trennen in „Warenbetrug“ versus „Phishing von Kreditkartendaten“. Auch in der Professionalität unterscheiden sich die Seiten. Es gibt auf Masse angelegte gefälschte Shops, die Hunderte von „abgelegten“ Domänen nutzen − also solche, die vorherige Inhaber nicht mehr besitzen. Fake-Shops verwenden diese Domänen, da noch Verlinkungen auf die alten Seiteninhaber existieren und damit eine Listung in der Suchmaschine für die neuen Themen erleichtert wird. Neben solchen Massen-Shops gibt es aber auch sehr aufwändig erstellte einzelne Shops – teilweise inklusive Impressum und Gütesiegel − deren Fälschung kaum zu erkennen ist. 

Zum Schluss ein Blick nach vorne: Was ist Ihre Vision für ein besseres, sichereres Internet?

Die Informationsfreiheit des Internets werden wir uns immer wieder neu erkämpfen müssen. Mit INSPECTION möchten wir dazu beitragen, die positiven Seiten des Internets zu stärken und gerade die Gruppe von Webseitenbetreibern zu unterstützen, die keine oder nur kleine Budgets für Internetsicherheit haben. Die große Menge an assoziierten Partnern in unserem Projekt − von Webhostern über Branchen- und Sicherheitsverbände bis hin zu Multiplikatoren aus Österreich und der Schweiz − ermöglicht einen thematischen und länderübergreifenden Ansatz zum Verhindern dieser Form des Missbrauchs.

Interview mindUp mit dem Referat Vernetzung und Sicherheit digitaler Systeme im BMBF