Dass bei E-Mails bezüglich Phishing-Links Vorsicht geboten ist, gilt inzwischen als allgemein bekannt. Weniger bekannt ist dagegen die Gefahr durch Suchmaschinen-Phishing – und das ist ein Problem!
Wir erklären, wie Cyberkriminelle Suchmaschinen wie Google für Ihre Zwecke nutzen und wie Unternehmen darauf reagieren sollten.
Phishing: Cyberkriminelle haben Erfolg
Diese Entwicklung ist alarmierend: Laut einem Bericht des Sicherheitsunternehmens Netskope haben Mitarbeiter in Unternehmen im Jahr 2024 dreimal häufiger auf Phishing-Links geklickt als in 2023. Oder anders ausgedrückt: Während 2023 nur 2,9 von 1.000 Nutzern in einem durchschnittlichen Unternehmen monatlich auf Phishing hereinfielen, stieg die Zahl 2024 auf 8,4 von 1.000 – und das trotz verpflichtender Sicherheitsschulungen in den meisten Unternehmen.
Sicherheitsexperten führen dies auf zwei wesentliche Gründe zurück. Zum einen sorgt die ständige Flut an Phishing-Versuchen für eine zunehmende „kognitive Ermüdung“, durch die die Aufmerksamkeit irgendwann zwangsläufig nachlässt. Zum anderen zeigen sich viele Nutzer zwar sensibilisiert gegenüber verdächtigen Links in E-Mails, jedoch weniger achtsam bei einer noch neueren, hinterhältigen Masche – dem sogenannten Suchmaschinen-Phishing! Doch was genau verbirgt sich hinter dieser gefährlichen Taktik?
Viele Mitarbeiter nutzen das Internet tagtäglich für ihre Tätigkeiten. Das Problem: Überall lauern Gefahren – zum Beispiel in Form von Suchmaschinen-Phishing. Bild: Pexels/Mizuno K
Was ist Suchmaschinen-Phishing?
Suchmaschinen-Phishing bezeichnet eine Betrugsmethode, bei der Cyberkriminelle gezielt Suchmaschinen nutzen, um potenzielle Opfer auf gefälschte Webseiten zu locken. Hierbei nutzen sie zwei verschiedene Varianten:
- Böswillige Anzeigen:
Cyberkriminelle schalten bei dieser Variante manipulierte Anzeigen, die in den Suchergebnissen ganz oben angezeigt werden. Diese Anzeigen sind optisch kaum von legitimen Werbelinks zu unterscheiden und enthalten oft gezielt vertraute Logos oder Namen bekannter Unternehmen. Die prominente Platzierung erhöht die Wahrscheinlichkeit, dass Nutzer darauf klicken, ohne die verlinkte Webadresse vor dem Klick eingehender zu prüfen. - SEO-Poisoning:
Bei dieser Variante optimieren Angreifer ihre betrügerischen Websites so, dass diese in den organischen Suchergebnissen weit oben erscheinen. Dazu nutzen sie gezielt Schlagwörter, die häufig gesucht werden, und manipulieren Meta-Daten oder den Content der Seite, um das Ranking in den Suchmaschinen zu verbessern. Der Aufwand dafür ist dabei recht hoch.
Beide Varianten missbrauchen das Vertrauen, das viele Nutzer in Suchmaschinen setzen. Klicken sie auf eine dieser bösartigen Anzeigen oder eines der scheinbar legitimen Sucherergebnisse, gelangen sie auf täuschend echt wirkende Webseiten, die häufig wie seriöse Anmeldeportale oder Bezahlseiten gestaltet sind – beispielsweise Online-Banking-Seiten oder Cloud-Dienste. Hier sollen die Opfer sensible Daten wie Login-Informationen, Kreditkartendaten oder persönliche Informationen eingeben, die die Betrüger dann abgreifen.
Suchmaschinen-Phishing unterscheidet sich von klassischen Phishing-Angriffen, da es nicht direkt über E-Mails oder Messenger erfolgt, sondern auf die Suchgewohnheiten der Nutzer abzielt und dabei die Mechanismen der Suchmaschinen manipuliert.
Wie funktioniert Suchmaschinen-Phishing?
Suchmaschinen-Phishing basiert also auf der gezielten Manipulation von Suchmaschinenmechanismen, um Nutzern gefälschte Inhalte als vertrauenswürdig zu präsentieren. Sie gehen dabei in mehreren Schritten vor:
- Analyse der Suchgewohnheiten:
Cyberkriminelle analysieren, welche Begriffe Nutzer häufig suchen, etwa „Online-Banking“ oder „Support-Login“. Diese Begriffe dienen als Grundlage für die nachfolgenden Manipulationen. - Erstellung gefälschter Inhalte:
Mithilfe der gesammelten Keywords erstellen die Angreifer täuschend echt wirkende Webseiten, die bekannten Plattformen nachempfunden sind. Die URLs dieser Seiten weisen oft nur minimale Abweichungen zu den echten Seiten auf, was sie schwer erkennbar macht. - Platzierung der Inhalte:
Die manipulierten Webseiten werden gezielt in den Suchergebnissen positioniert. Dafür nutzen die Angreifer entweder bezahlte Anzeigen oder optimieren die Seiten inhaltlich und technisch, um sie in den organischen Suchergebnissen nach oben zu bringen. - Datenerfassung:
Sobald ein Nutzer auf den Link klickt und seine Daten eingibt, werden diese in Echtzeit abgefangen. Die Angreifer nutzen die Informationen anschließend für betrügerische Zwecke oder verkaufen sie weiter.
Die Effektivität dieser Methode liegt in der Kombination aus technischer Präzision und der Ausnutzung des Vertrauens, das Nutzer in Suchmaschinen setzen. Unternehmen und Einzelpersonen sollten daher wachsam sein und entsprechende Sicherheitsmaßnahmen ergreifen.
Nutzer gehen davon aus, dass die obersten Suchergebnisse sicher sind – ein Trugschluss! Bild: Pexels/fauxels
Warum ist Suchmaschinen-Phishing so gefährlich?
Suchmaschinen-Phishing ist darum besonders heimtückisch, weil die Opfer meist nicht erkennen, dass sie auf einer gefälschten Webseite gelandet sind. Wie erwähnt, nutzen die Angreifer gezielt das Vertrauen aus, das Nutzer in Suchmaschinen wie Google oder Bing setzen. Fakt ist: Webseiten, die in den oberen Suchergebnissen oder als Anzeigen erscheinen, werden oft automatisch als seriös wahrgenommen– und diese falsche Annahme führt dann dazu, dass viele Nutzer die hinterlegte URL nicht genauer prüfen und unbewusst ihre Daten auf betrügerischen Seiten eingeben.
Zusätzlich verstärkt die täuschend echte Gestaltung der Phishing-Seiten die Illusion. Logos, Farben und Layouts sind oft identisch mit denen der Originalwebseiten. Die minimalen Unterschiede in der Webadresse oder kleinere Designfehler fallen im stressigen Arbeitsalltag oder bei Routineaufgaben häufig nicht auf. Dadurch sinkt die Hemmschwelle, sensible Daten wie Login-Informationen oder Zahlungsdaten einzugeben. Die Opfer wähnen sich in Sicherheit und bemerken den Betrug oft erst, wenn es zu spät ist.
Beispiel: gefälschte Bank-Webseiten auf Top 1
Verschiedene Standorte der Volksbank warnen bereits seit Jahren vor dem Suchmaschinen-Phishing. Das Problem: Geben Nutzer die URL einer Bank unvollständig oder falsch ein, erzeugen sie dadurch automatisch eine Suchanfrage bei Google, Bing oder Yahoo – und genau das nutzen die Cyberkriminellen aus. Indem sie eine betrügerische Anzeige im Namen der betroffenen Bank schalten, tauchen sie in den Suchergebnissen oftmals an höherer Stelle auf als die echte Bank-Webseite.
Die Opfer gelangen dann auf eine Echtzeit-Phishing-Webseite, auf der sie ihre Zugangsdaten eingeben sollen – im Falle der Volksbanken sind das der VR-NetKey und eine PIN. Die Login-Daten werden von den Betrügern nicht gespeichert, sondern direkt verwendet. Die Volksbanken berichten von einem Fall, bei dem die Täter eine VR-SecureGo-plus-Aktivierung auf einem Smartphone durchgeführt haben; die dafür notwendige TAN wurde vom ahnungslosen Kunden freigegeben – weil er glaubte, einem legitimen Vorgang seiner Bank zu folgen.
Die Volksbanken nennen einen einfachen Weg, um dem Suchmaschinen-Phishing zu entgehen: Kunden sollten den Link ihrer Volksbank als Lesezeichen im Browser speichern und gelangen darüber dann immer auf die richtige Webseite. Alternativ bietet die Nutzung offizieller Banking-Apps zusätzliche Sicherheit.
Angreifer nutzen beim Suchmaschinen-Phishing sowohl Anzeigen als auch organische Suchergebnisse, um auf Opferfang zu gehen. Bild: Pexels/cottonbro studio
So können sich Unternehmen schützen
Fakt ist: Suchmaschinen-Phishing ist eine raffinierte Betrugsmethode, die für Unternehmen schwerwiegende Konsequenzen haben kann. Von gestohlenen Zugangsdaten bis hin zu finanziellen Schäden – die Folgen können gravierend sein. Es ist daher entscheidend, dass Unternehmen nicht nur reaktiv handeln, sondern frühzeitig Schutzmaßnahmen ergreifen. Mit diesen Tipps können sie sich absichern:
- Sensibilisierung der Mitarbeiter:
Regelmäßige Schulungen zum Thema Phishing sollten nicht nur E-Mail-Betrug, sondern auch Suchmaschinen-Phishing abdecken. Mitarbeiter müssen lernen, verdächtige Anzeigen und Suchergebnisse zu erkennen und die URL einer Website vor dem Klick immer zu prüfen. - Etablierung sicherer Zugriffsroutinen:
Wichtige URLs wie die des Online-Bankings oder interner Systeme sollten direkt als Lesezeichen hinterlegt oder über interne Portale bereitgestellt werden. Dies minimiert die Gefahr, dass Nutzer über Suchmaschinen auf bösartige Seiten gelangen. - Implementierung von Sicherheitstools:
Unternehmen können Browser-Erweiterungen und Sicherheitssoftware einsetzen, die verdächtige Links und Webseiten markieren oder blockieren. Diese Tools erkennen potenzielle Phishing-Seiten und warnen die Nutzer rechtzeitig. Aber Achtung: Hier sollten Sie unbedingt darauf achten, nur sichere Browser-Erweiterungen zu nutzen! - Technische Überwachung und Analyse:
IT-Abteilungen sollten Monitoring-Systeme nutzen, die gezielt nach verdächtigen Aktivitäten suchen, etwa ungewöhnliche Anmeldeversuche oder den Zugriff auf Fake-Seiten. Solche Systeme ermöglichen eine schnelle Reaktion auf potenzielle Angriffe.
Wir können Ihnen versichern: Ein durchdachter Schutz vor Suchmaschinen-Phishing ist kein Hexenwerk, sondern das Ergebnis klarer Strukturen und eines geschulten Blicks. Unternehmen, die diese Maßnahmen konsequent umsetzen, sind nicht nur besser geschützt, sondern können auch in puncto IT-Sicherheit Maßstäbe setzen.
IT-Experten geben Tipps zur IT-Sicherheit
Suchmaschinen-Phishing ist nur eine von vielen Bedrohungen, mit denen Unternehmen heute konfrontiert sind. Umso wichtiger ist es, eine ganzheitliche Sicherheitsstrategie zu verfolgen, die sowohl technische als auch organisatorische Maßnahmen umfasst. Die Experten aus dem IT-SERVICE.NETWORK raten dazu, IT-Sicherheitskonzepte regelmäßig zu überprüfen und an aktuelle Bedrohungsszenarien anzupassen – und sie geben ihren Unternehmenskunden Tipps für eine bessere IT-Sicherheit.
Ein zentraler Tipp ist die Implementierung einer Multi-Faktor-Authentifizierung (MFA). Diese schützt selbst dann, wenn Zugangsdaten in falsche Hände geraten. Zusätzlich empfehlen die Experten, Mitarbeiterschulungen regelmäßig durchzuführen, um das Bewusstsein für neue Angriffsmethoden wie Suchmaschinen-Phishing zu schärfen. Auch Tools zur Erkennung verdächtiger Aktivitäten können dabei helfen, potenzielle Angriffe frühzeitig zu identifizieren.
Wer die IT-Sicherheit in seinem Unternehmen nachhaltig stärken möchte, kann sich von einem der Systemhäuser aus unserem Netzwerk individuell beraten lassen. Unserer Experten entwickeln maßgeschneiderte Lösungen, die Unternehmen vor den wachsenden Cyberbedrohungen schützen und ein Höchstmaß an Sicherheit gewährleisten.
Weiterführende Informationen:
heise, connect, netskope, cyberint, KEEPER, Volksbank Lahr, Verbraucherzentrale
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung