Geld ist Trumpf und Besucher sind Geld

15.12.2014
G DATA Blog

Glücksspiele sind seit jeher ein eher zwielichtiger Bereich – online wie offline. In der digitalen Welt ist der Anteil der legalen Spielstätten, zumindest in Deutschland, verschwindend gering [1], im Gegensatz zu einer schier zahllosen Masse an Anbietern. Jegliche Anbieter sind auf der Jagd nach Kunden und müssen sich dafür präsentieren, z.B. in Suchmaschinen. Die G DATA Experten erläutern drei der aktuell benutzten Methoden zur Steigerung des Bekanntheitsgrades, die allesamt mit Manipulation von Webseiten zu tun haben und die ein Webseitenbesucher beim Surfen sehen könnte.

Masche 1: Sichtbare Casino-Inhalte in thematisch anderen Webseiten

Die Angreifer fügen HTML Code in eine Seite ein und lassen so Begriffe, die mit Casinos und Online-Glücksspiel in Verbindung stehen, sichtbar im Text der Seite erscheinen. So fanden die Experten beispielsweise einen manipulierten Web-Auftritt eines Hotels, in dem innerhalb der Beschreibungen der Zimmer-Ausstattungen klickbare Wörter wie z.B. „Slot Machine“, „Blackjack“ oder gar ganze Sätze zum Thema auftauchten. Ein Klick auf einen der Links führt in diesem Fall zu der beworbenen Online-Casino Webseite.

Die Angreifer haben hier doppelten Nutzen, denn sie können darauf hoffen, dass die von ihnen sichtbar platzierten Links angeklickt werden und haben außerdem in einer Webseite, die idealerweise von vielen Besuchern angesehen wird, ihre beworbene Webseite als Referenz eingebunden. Ein Durchlauf von Suchmaschinen-Crawlern bewertet diese Verbindungen positiv, denn für sie sehen der eingefügte Text und auch die Links vollkommen so aus, als gehörten sie zur Webseite.

Masche 2: Casino-Inhalte außerhalb des sichtbaren Bereichs einer Webseite

Die eben beschriebene Masche 1 bringt den Angreifern zwar doppelten Nutzen, aber ihre Aktivitäten können durch den sichtbaren Code natürlich auch schneller von einem Besucher oder gar dem Administrator der Seite entdeckt werden, sollte es sich um eine gekaperte Seite handeln. Eine Möglichkeit, die Entdeckung potentiell zu verzögern, ist das Verstecken des Casino-Inhalts, außerhalb des sichtbaren Bereichs der Webseite. Man spricht in diesem Fall von „Cloaking“, dem Verstecken von Inhalten vor menschlichen Webseitenbesuchern.

Die Suchmaschinen-Crawler finden diesen eingefügten Code selbstverständlich trotzdem bei ihrer Suche und die Referenzen auf die beworbenen Webseiten werden im Kontext der Manipulation als positiv bewertet.

Masche 3: Casino-Inhalte in Seiten, durch JavaScript versteckt

Eine dritte Masche ist das Ausblenden des eingefügten Codes durch JavaScript Elemente, was ebenfalls zum Cloaking gezählt werden kann. Im folgenden Screenshot sind zwei unterschiedliche Wege dargestellt:

Innerhalb des gelb markierten <div>-Bereichs sorgt der Befehl document.getElementById(„z1n5q3“).innerHTML =‘ ‘ dafür, dass der Code auf der Webseite nicht sichtbar ist, wenn sie mit aktiviertem JavaScript besucht wird. Der im <div> hinterlegte Code wird dann durch das JavaScript gelöscht. Wird die Seite jedoch ohne aktivierte JavaScipt-Funktionalität besucht, werden die Begriffe und Links „latest casino bonuses“ und Co. als Liste in der Webseite dargestellt. Da Suchmaschinen-Crawler in der Regel kein JavaScript ausführen, nehmen sie diese Information mit in ihre Seitenauswertung auf.

Im grün markierten <div>-Bereich wird mit document.getElementById(„4skofb“).style.display=‘none‘ benutzt, was ebenfalls dafür sorgt, dass ein Besucher der Seite bei eingeschalteter JavaScript-Funktion den Code/Text nicht zu sehen bekommt. Er wird jedoch nicht gelöscht, sondern nur ausgeblendet. Besucher, die keine aktiven JavaScrpt-Inhalte anzeigen lassen, also auch die Suchmaschinen-Crawler, bekommen die Verlinkungen zu sehen.

Weitere Cloaking-Verfahren

Sind die Seitenoptimierer darauf aus, dem menschlichen Besucher die Manipulation von Webseiten vorzuenthalten, dann wenden sie auch weitere Cloaking-Techniken an. Beispielsweise:

  • Der eingefügte Text wird in einer Farbe geschrieben, der es dem Besucher mit bloßem Auge unmöglich macht, ihn zu entdecken. In Masche 1 wäre der Text dann zum Beispiel weiß und nicht grau.
  • Nicht alle Webseitenbesucher werden mit demselben Webseiteninhalt konfrontiert. Die Organisatoren entscheiden teilweise serverseitig, ob sie den zur Optimierung benötigten Inhalt überhaupt an alle oder nur an gezielte Besucher ausliefern:
  1. Zum Beispiel abhängig vom User-Agent des Besuchers. An dieser Stelle entscheidet also nicht mehr nur die Gegebenheiten des Clients, wie in der beschriebenen Masche 3, sondern schon der Server vor der Aussendung der Daten an den Client.
  2. Zum Beispiel abhängig vom Referrer. Besucht jemand die Webseite von einer bestimmten Vorgängerseite aus, bekommt er den relevanten Inhalt geliefert. Kommt er von einer anderen Seite aus auf die fragliche Seite, bekommt er ihn nicht.

Ein Staubkorn im Mikrokosmos der Seitenoptimierung

Die oben genannten Beispiele sind ein kleiner Ausschnitt von Dingen, die ein Webseitenbesucher unter Umständen beim Surfen zu sehen bekommt. Das Geschäft, das sich um diese Funktionen spinnt, ist jedoch hochkomplex und lässt sich nicht in Kürze trivial beschreiben.

So werden zum Beispiel ganze SEO-Netze aus neu erstellten, gekaperten Webseiten oder auch kürzlich abgelaufenen Domain-Inhaberschaften gesponnen, die sich untereinander vernetzen und ein bestimmtes Thema, wie z.B. Online-Casinos, fördern. Es werden gezielt Links innerhalb des Netzes und auch auf zu fördernde Seiten platziert, um die Bekanntheit von Seiten zu steigern, wobei die Masse an beteiligten Webseiten in die Tausende gehen kann und innerhalb des Netzes die Webseiten unterschiedliche Rollen innehaben.

Zu unterscheiden ist außerdem, ob es sich bei einer Kampagne um legitime Suchmaschinenoptimierungen handelt, oder um die bösartige Variante, die als Black-Hat-SEO bezeichnet wird. Als Black-Hat-SEO wird die Optimierung dann bezeichnet, wenn sie Richtlinien der Suchmaschinenanbieter verletzt. Der populäre Anbieter Google nennt Cloaking und auch Brückenseiten in seinen Qualitätsrichtlinien als zu vermeidende Techniken. Selbstverständlich wird auch das Hacken von Webseiten als Verstoß gesehen.
Die Webseiten-Crawler der Suchmaschinenanbieter werden selbstverständlich optimiert, um Tricks und Manipulationen besser zu erkennen, jedoch sind auch die genannten Maschen weiterhin im Umlauf.

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar