Menü
Security

Spam-Links segeln unter Google-Flagge

Von
vorlesen Drucken Kommentare lesen 186 Beiträge

Mit einem simplen Trick versuchen Spammer, Links zu Malware-verseuchten Webseiten als harmlose Links zu Google-Suchergebnisseiten zu tarnen. Darauf weist die Internet-Sicherheitsfirma Trend Micro hin. Sie machen sich zunutze, dass die Suchmaschine bei Verwendung der Suchoption "Auf gut Glück" automatisch zum ersten Suchtreffer weiterleitet. Auf diese Weise können Angreifer den guten Ruf der Suchmaschine für ihre Zwecke nutzen, weil das Misstrauen gegenüber Google-Links überwiegend sehr gering ausfallen dürfte.

Man muss schon genau hinschauen, um beispielsweise in einer Mail den regulären Such-Link http://www.google.de/search?q=%22Hommingberger%20Gepardenforelle%22 von einem zugehörigen Auf-gut-Glück-Link http://www.google.de/search?btnI&q=%22Hommingberger%20Gepardenforelle%22 zu unterscheiden. Beim Aufruf der ersten URI zeigt der Browser wie erwartet die Ergebnisliste. Im zweiten Fall landet der Anwender hingegen direkt auf einer fremden Webseite. Die unscheinbare Zusatzvariable "btnI" ist der Auslöser für den automatischen Redirect.

Um diese Übersprungshandlung auszunutzen, muss ein Angreifer zunächst dafür sorgen, dass seine Webseite bei einem bestimmten Suchbegriff ganz oben in der Ergebnisliste erscheint. Das geht am einfachsten, indem er ein Unsinnswort wie "heisefizierung" auf der Seite platziert. Anfangs führt die Umleitung noch zu einer Google-Seite, die moniert, dass es keine Suchergebnisse zu vermelden gibt. Das ändert sich jedoch, sobald der Google-Bot die Seite des Angreifers in den Index der Suchmaschine aufnimmt, was je nach Beliebtheit einer Seite schon innerhalb weniger Stunden geschehen kann. Eine zusätzliche site:-Direktive kann das Suchergebnis zusätzlich stabilisieren. Deshalb wird auch dieser unverdächtige Google-Link den Surfer ungefragt weiterleiten – in diesem Fall nur zurück auf diese ungefährliche heise-Meldung.

Bis der arglose Anwender merkt, dass er nach dem Klick auf einen solchen präparierten Google-Link nicht wie erwartet eine Liste mit Suchergebnissen erhält, ist es unter Umständen bereits zu spät und der Rechner schlimmstenfalls durch eine Browser-Sicherheitslücke mit Schadcode infiziert. Auch Phishern könnten die vertrauenerweckenden Google-Links in die Hände spielen.

Der Trick funktioniert nicht nur mit der Funktion "Auf gut Glück", sondern auch mit der Weiterleitungsfunktion, die etwa Firefox einsetzt, wenn der Anwender eine ungültige Internetadresse in die Adresszeile eintippt. Hierbei erfolgt der Aufruf mit einer URL der Form:

http://www.google.com/search?sourceid=navclient&gfns=1&q=

Technische Gegenmaßnahmen seitens Google oder der Anwendungshersteller dürften vorerst nicht zu erwarten sein. Anwender werden daher in Zukunft wohl auch beim Klick auf Google-Links in E-Mails oder auf Webseiten genauer hinsehen müssen. (pek)