Nicht nur Bin Laden

Google Bildersuche führt zu Malware

Online-Kriminelle nutzen die Bildersuchfunktion von Google, um potenzielle Opfer auf präparierte Scareware- und Malware-Seiten zu locken. Der neueste Köder sind vorgebliche Bilder der Tötung Osama Bin Ladens. Doch die Masche wird schon länger genutzt, inzwischen auch gegen Mac-Nutzer.

Google Bildersuche führt zu Malware

© Frank Ziemann

Google Bildersuche führt zu Malware

Während Google Links, die zu Malware-Seiten führen, relativ zügig aus seiner normalen Web-Suche entfernt, tut sich der Suchmaschinenriese damit bei seiner Bildersuche weitaus schwerer. Online-Kriminelle nutzen das eifrig aus, um vor allem Scareware zu verbreiten. Seit Beginn dieser Woche sind Bilder Osama Bin Ladens der wichtigste Köder, in der Vorwoche waren es noch solche der britischen Prinzenhochzeit.Bojan Zdrnja beschreibt im Tagebuch des Internet Storm Center, wie die Täter dabei vorgehen. Sie hacken legitime Websites, laden ihre PHP-Script-Sammlung auf den Server und lassen sie Web-Seiten erzeugen, die für Google relevant erscheinen. Die generierten Seiten bestehen aus kopierten Inhalten, Texten und Bildern, von diversen anderen Websites. Die Inhalte werden automatisch mit Hilfe verschiedener Suchmaschinen aufgespürt. So entstehen sehr schnell Seiten mit Inhalten zu gerade aktuellen Themen.Kommt der Google-Bot vorbei, um die neuen Seiten zu erkunden, wird er erkannt und auf speziell vorbereitete Seiten umgelenkt, die er in den Index aufnimmt. Klickt ein Suchender auf einen entsprechenden Bild-Link in Googles Bildersuche, wertet der manipulierte Web-Server die Anfrage aus. Zunächst prüft er, ob der Besucher über einen Google-Link kommt. Außerdem wertet er die IP-Adresse des Besuchers aus, um dessen Herkunft zu erfahren.Aus den Informationen, die der Browser übermittelt, kann ein Script zudem feststellen, welche Browser-Version mit welchen Plug-ins und welches Betriebssystem vorhanden ist. Abhängig davon wird der Seiten-Abruf des Besuchers beantwortet. Windows- wie Mac-Benutzer bekommen jeweils passende Scareware-Seiten zu Gesicht, vor allem wenn das Server-Script eine US-IP-Adresse erkennt.

Da die derart präparierten Seiten stark auf verschachtelte und verschleierte Javascript-Konstrukte setzen, schützt das Deaktivieren von Javascript im Browser vor Infektionen. Firefox-Benutzer haben es bequemer, denn sie können mit der Erweiterung Noscript Javascript generell aus- und für vertrauenswürdige Seiten gezielt einschalten. Denn ganz ohne Javascript sind viele populäre Websites kaum nutzbar.Eine andere Möglichkeit besteht darin, dem Browser zu verbieten den so genannten "Referer" zu übermitteln. Das ist die Web-Adresse derjenige Seite, auf der man den Link zur gerade aufgerufenen Seite angeklickt hat. Erkennt das Script auf dem Scareware-Server nicht, dass man von Google kommt, landet man meist auch nicht auf einer Scareware-Seite. Beide Maßnahmen bieten allerdings keine völlige Sicherheit vor Web-Schädlingen.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…