Typischer Hackingfall öffentlich gemacht

Es ist eine Seltenheit, dass Hackingfälle publik gemacht werden. Dabei hilft diese Öffentlichkeit anderen betroffenen Webseitenbetreibern auf die generelle Problematik aufmerksam zu werden und damit selbst wachsam zu sein und Hinweise zur Absicherung und Behebung erhalten zu können.

Gehackt wurde die Seite des bekannten schweizerischen Fotomuseum in Winterthur:

Cyberangriff auf das Fotomuseum Winterthur (inside-it.ch)

Die Webseite bleibt dabei von vorne her in Ihrem Verhalten normal, weswegen dieses Hacking häufig unbemerkt bleibt.

SEO-Hacking wird in der Suchmaschine deutlich

In der Suchmaschine sieht diese Form des Hackings dann so aus:

Die neu aufgenommenen Seiten drehen sich um Produkte. Die Einträge sind perfekt für Google optimiert mit Bewertungsinformationen und einem Produktbild, auch der Preis wird direkt angezeigt. Die Hacker machen sich dabei nicht die Mühe eine sprachlich oder thematisch passende Seite zu suchen. Für sie funktioniert offenbar eine beliebige Webseite irgendwo auf der Welt, die mit ihrem langjährigen Bestehen bei der Suchmaschine gut angesehen ist.

Suchende nach Produkten finden dann also die gut verlinkte und damit in der Suchmaschine hoch angesehene Seite des Fotomuseums. Ein Klick auf den Eintrag führt über eine Weiterleitung direkt in den Fake-Shop.

Dabei werden zum einen neue Seiten eingehängt. Im aktuellen Fall z.B. www.fotomuseum.ch/collection-post/xxx/ . Es werden aber auch bestehende Seiten der Suchmaschine mit neuen Inhalten angeliefert. Diese Technik nennt man Cloaking: Nutzer und Suchmaschine erhalten unterschiedliche Inhalte. So wurde der existierenden Seite www.fotomuseum.ch/de/collection-post/midwest/ ein neuer Inhalt zugeschrieben.

Neuer Webseiteninhalt durch Cloaking

Weiterleitungen finden bei solchen Seiten nur dann statt, wenn die Seite aus der Suchmaschine kommend aufgerufen wird.

Technisch handelt es sich bei der Seite des Fotomuseums um eine Seite, die mit dem populären Content-Management-System WordPress erstellt wurde. Dieses kostenlose Betriebssystem hat in den letzten Jahren so an Beliebtheit gewonnen, dass ein Marktanteil von über 60% besteht. Beliebt ist es auch wegen des Plugin-Konzepts: Zusätzliche hilfreiche Funktionalitäten können ganz einfach über wenige Klicks mit aufgenommen werden. Hier besteht allerdings auch ein Wildwuchs: eine fünfstellige Zahl an solchen Funktionserweiterungen besteht und nicht immer sind diese professionell entwickelt. Damit stellen Plugins ein häufiges Einfallstor für Hacker dar.

Wichtig für Seitenbetreiber ist es Plugins und die Kernsoftware regelmäßig zu aktualisieren und von solchen Plugins Abstand zu nehmen, die schon lange nicht mehr aktualisiert wurden.

Die gute Nachricht: Auch hierfür gibt es Plugins, die an notwendige Updates erinnern und Angreifer aussperren, die mit automatisierten Anfragen Schwachpunkte abprüfen.

Ein weiterer Tipp für Webseitenbetreiber, um von dieser Form des Hackings bewahrt zu bleiben: Ziel der Hacker hier ist es in der Suchmaschine gefunden zu werden. Wer über Statistiken aufmerksam bleibt, für welche Begriffe er in den Suchmaschinen häufig gefunden wird, bemerkt recht schnell, dass ein Angriff stattgefunden hat. Das Statistik-Tool muss dabei allerdings direkt aus den Logfiles die Informationen beziehen. nicht über Tracking-Code in der Webseite, da dieser ja nicht auf den gehackten Seiten präsent wäre.

Im Falle des Fotomuseums konnte das Hacking schnell behoben und damit weiterer Schaden abgewendet werden. Die Veröffentlichung hilft für mehr Wachsamkeit.