[datensicherheit.de, 16.09.2025] Wer z.B. die Suchmaschine „Google“ nutzt, erhofft sich bestimmt seriöse Ergebnisse. Doch laut einer Warnung von ESET macht sich eine neue Hacker-Gruppe diese Suchmaschine zunutze, „um manipulierte Websites nach oben zu bringen“. ESET-Forscher haben demnach diese cyberkriminelle Kampagne aufgedeckt und den Angreifern den Namen „GhostRedirector“ gegeben. Diese Gruppe infiziere „Windows“-Server weltweit, missbrauche sie für SEO-Betrug und sei dabei monatelang unentdeckt geblieben.

Abbildung: ESET

ESET-Aufdeckung: In diesen Ländern wurden Opfer von „GhostRedirector“ identifiziert

Infiltration von „Windows“-Servern und „Googl“-Suchmaschinenbetrug

Die Masche dieser Gruppe: „Infiltration von ,Windows’-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv.“

• Die Hacker hätten zwei bislang undokumentierte Eigenentwicklungen eingesetzt: „Rungan“ und „Gamshen“ – mit diesen Werkzeugen manipulierten sie Suchergebnisse, um zwielichtige Websites im „Google“-Ranking nach oben zu treiben. „ESET ordnet GhostRedirector als china-nah ein.“

„,GhostRedirector’ kombiniert ausgefeilte Techniken mit bekannten ,Exploits’. Das zeigt: Die Gruppe hat Ressourcen und Know-how“, kommentiert der ESET-Forscher Fernando Tavella als Entdecker dieser Masche. Er warnt zudem: „Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihr Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz.“

Als Trittbrettfahrer zum besseren „Google“-Ranking

Die Angriffe folgten einem klaren Ablauf. Der Erstzugriff erfolge wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handele es sich um eine beliebte Hacking-Technik, um Sicherheitslücken in SQL-Datenbanken auszunutzen. „Danach laden die Täter weitere Komponenten nach.“

Für die Rechteausweitung nutzten die bekannten Schadprogramme „EfsPotato“ und „BadPotato“, legten Administratorkonten an und sicherten sich zusätzlichen Fernzugriff. So bleibe der Zugang erhalten – „selbst falls einzelne Werkzeuge entfernt werden“. Für den eigentlichen Angriff nutzten die Hacker zudem diese beiden selbstentwickelten Werkzeuge:

• „Rungan“ ist eine unauffällige Hintertür für „Windows“-Server
  Sie lausche auf eine feste, versteckte Webadresse und nehme darüber einfache HTTP-Befehle entgegen, um diese direkt auf dem System auszuführen – vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos.
  Die Schnittstelle registriere sich am Betriebssystem vorbei am IIS-Webserver, so dass sie in gängigen Logs leicht übersehen werde. Die Steuerung laufe im Klartext.
• „Gamshen“ ist ein schadhaftes Internet-InformationServices-Modul
  Diese IIS – eine Erweiterung für Server – manipuliere gezielt die „Google“-Suche, indem es bei einer Abfrage des „Google“-Bot die Antwort des Servers beeinflusse, um das Ranking anderer Websites zu verbessern. „Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.“
  (Der „Google“-Bot ist ein automatisches Programm, welches Websites besucht und deren Inhalte für die Suchmaschine indexiert, so dass „Google“ seine Trefferlisten aktuell halten kann.)

„Gamshen“ manipuliert ausschließlich „Google“-Bot-Anfragen

Tavella führt weiter aus: „,Gamshen’ manipuliert ausschließlich Anfragen des ,Google’-Bot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z.B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht.“ Mit dieser Hacking-Technik schadeten die Cyberkriminellen in erster Linie den Betreibern der Websites.

• ESET habe die beschriebenen Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie beobachtet. Eine internetweite Suche im Juni 2025 habe weitere Opfer aufgedeckt. „Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein.“ Ein Fokus auf einzelne Branchen sei nicht erkennbar – betroffen seien unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET habe identifizierte Betreiber informiert.

„,GhostRedirector’ ist eine äußerst ausdauernde Hacker-Gruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur“, gibt Tavella abschließend zu bedenken.

Weitere Informationen zum Thema:

welivesecurity by eseT
Über uns

welivesecurity by eseT, Guest Author, 04.09.2025
Neue Hacker-Gruppe GhostRedirector vergiftet Windows-Server / ESET Forscher haben eine neue Hackergruppe identifiziert, die Windows-Server mit einer passiven C++-Backdoor und einem bösartigen IIS-Modul angreift. Ihr Ziel: die Manipulation von Google-Suchergebnissen

welivesecurity by eseT, Editor, 03.09.2021
Was macht eigentlich ein Malware-Forscher? / Im Interview erzählen drei ESET Malware-Forscher von ihrem Arbeitsalltag, den Fähigkeiten, auf die es dabei ankommt und darüber, wie man eine erfolgreiche Karriere in der IT-Sicherheitsforschung beginnt.

datensicherheit.de, 27.07.2025
Google Forms: Kaspersky warnt vor Missbrauch für Krypto-Scam / Kaspersky-Experten haben eine neue Betrugsmasche identifiziert, bei der Cyberkriminelle „Google Forms“ verwenden, um „Krypto“-Nutzer anzugreifen

datensicherheit.de, 30.06.2025
DeepSeek: Berliner Datenschutzbeauftragte meldet KI-App bei Apple und Google als rechtswidrig / Die beiden Unternehmen müssen diese Meldung nun zeitnah prüfen und über eine „DeepSeek“-Sperrung entscheiden

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

Von unserem Gastautor, Oliver Kienapfel, ZIM-BB

[datensicherheit.de, 15.08.2018] Mit Spannung erwarteten die Herausgeber von datensicherheit.de, Carsten J. Pinnow und Dirk C. Pinnow, das Gespräch mit White Hat Jedi und Black Hat Sith, aka Alexander Noack und Marco Möschter von CLICKHERO, die unlängst mit einem gelungenen Vortrag zum Suchmaschinenmarketing am ZIM-BB für Staunen gesorgt hatten. Versprochen wurde ein Einblick in die helle und dunklen Seite des SEO auf sich hat.

SEO-Contest von Cinestock

Es birgt schon Spannung in sich, was der SEO-Contest von Cinestock aktuell mit sich bringt. Zu den interessanten Fragen gehört, welche Mittel und Methoden der Suchmaschinenoptimierung nachhaltig sind und in der Summe für Seitenbetreiber gut, die White Hat Jedi oder Black Hat Sith. Was verbirgt sich hinter diesen Bezeichnungen aus der Welt der Star Wars Saga und wie beeinflussen beide Herangehensweisen den Erfolg oder Misserfolg von SEO-Maßnahmen?

Vortrag beim ZIM-BB

Unlängst waren die beiden selbst ernannten „Padawan“ beim Zentrum für innovatives Marketing Berlin-Brandenburg, ZIM-BB, und begeisterten dort die alten Hasen des klassischen Marketings von den Möglichkeiten, die Suchmaschinenoptimierung heutzutage bietet.

White Hat Jedi und Black Hat Sith im Gespräch mit datensicherheit.de

Seit Jahren schon ist das Thema Suchmaschinenoptimierung bei datensicherheit.de nichts wirklich Neues. Vor allem Carsten J. Pinnow, selbst Leiter des Verantwortungsbereiches Digitalisierung und Datensicherheit am ZIM-BB, beschäftigt sich seit Jahren erprobt mit den Herausforderungen der On-Page-Optimierung, teils auch aus dem Sicherheitsaspekt heraus.

Umso interessanter sollte dieses Gespräch werden, der so unterschiedliche Ansätze präsentierte, also die helle, den Bedingungen der Suchmaschinen entsprechende und die dunkle Seite, die Algorithmen austrickst und Gefahren in sich birgt.

White Hat Jedi, der nachhaltige Weg des SEO

On- wie Offpage geht es den White Hat Jedi um die Einhaltung der Bedingungen und Anforderungen von Google & Co. Die Bestimmungen der Suchmaschinenbetreiber legen dabei größten Wert auf sinn- und zielführende Ergebnisse für den User. Letztlich soll, je nach Suchkriterien, ein solides und passendes Ergebnis im Index erscheinen. Dabei werden die Algorithmen der Suchmaschinen immer intelligenter und die Crawler können immer besser unterscheiden, ob die SEO-Spezialisten nur für die Maschine schreiben und agieren, oder nicht, also für den User, den Menschen.

Bild: Thorsten Murr

Alexander Noack, Gründer CLICKHERO

Der White Hat Jedi bedient, so der Teil des Vortrags von Alexander Noack, suchmaschinenkonforme Methoden, die schlichtweg real brauchbare Ergebnisse liefern.

Zu den Methoden gehören

• Informativer und einzigartiger (Unique-) Content, der wissenswerte und der Suchanfrage entsprechende Inhalte liefert, dabei stets lesbar für den Menschen.
• Die Internetseiten verfügen über eine gute Usablity und werden auch im Responsive Design gestaltet.
• Die Meta-Tags sind Schlüsselwortkonform und dennoch in menschlich verständlichen Sätzen formuliert und orientieren sich am gesuchten Inhalt.
• Keywords werden stets mit inhaltlichem Bezug gewählt und nur in Maßen verwendet.

Kurzum: Der White Hat Jedi entspricht in seinen Handlungen zur Optimierung den Bedingungen der Suchmaschinen. Dieser Weg der hellen Macht ist länger und bedarf mehr Geduld. Aber die Ergebnisse sind nachhaltig und auf Dauer erfolgreicher, als das Tricksen der Sith.

Die Black Hat Sith auf dem gefährlichen Weg des SEO

Wer erlag seit 1977, als George Lucas das erste Mal Darth Vader auf den Plan rief nicht insgeheim den Verführungen der dunklen Seite der Macht. So spannend mit viel Nervenkitzel kämpfen seit damals die schwarzen Lords und kein Trick ist ihnen zu schade, um ans Ziel zu kommen.

Und so, so beschreibt es Marco Möschter, kämpfen die SEO-Strategen der dunklen Seite für ein gutes Ranking im Internet. Dabei, wen wundert es, verlassen Sie den Pfad der Tugend, verstecken und tricksen, führen die Crawler der Suchmaschinen an der Nase herum. Ohne jedwedem Zweifel kann man schnell nach ganz oben gelangen, aber genauso abgestraft werden. Denn die Mechanismen von Google & Co solche dunklen Strategien zu enttarnen werden immer besser.

Mechanismen und Handlungsarten, denen Black Hat Sith folgen_

• Keywordsuffing, das bedeutet das wiederholte und übertriebene Verwenden von Schlüsselwörtern oder Nummern, ohne dass diese einen vernünftigen Inhalt wiederspiegeln
• Mit dem so genannten Cloaking werden den Nutzern andere Seiten angezeigt, als den Suchmaschinen
• Inhalte werden kopiert veröffentlicht und unsichtbare Schlüsselwörter in den Content installiert
• Links werden käuflich erworben um die Crawler von der Relevanz zu überzeugen

Im Kern agieren die Black Hat Sith nur für die Maschine und versuchen alles erdenklich Mögliche um im Index der Suchmaschinen nach oben zu kommen. Der Rezipient, sprich suchende Mensch, erhält kaum Mehrwerte, oder passende Suchergebnisse.

Das fatale an diesen dunklen Vorgehensweisen ist, so Marco Möschter, dass die Betreiber der Suchmaschinen um diese Trickserei, diese Manipulationen, wissen und auf der Jagd sind, nach den bösen Jungs der SEO-Branche. Immer Neues lernen die Algorithmen dazu. Kann so etwas nachgewiesen werden, wird die betreffende Seite abgemahnt, beziehungsweise verschwindet ganz aus dem Index. Ob sie dann jemals wieder aufgenommen wird, ist mehr als fraglich.

Zwei Wege zum Erfolg

Im Resümee gibt es also zwei Wege zum Erfolg. Der eine ist das Anerkennen der Webmasterbestimmungen und ein Erzeugen von natürlich gewachsener Relevanz. Diese helle Seite der Macht nutzen die White Hat Jedi, die diesen langen, aber nachhaltigen Weg bewusst gehen, um Internetseiten im Ranking nach oben zu bringen. Die Black Hat Sith bedienen sich hingegen diversen Manipulationen und bewegen sich fernab der Bestimmungen von Google & Co. Nur eine schnelle Platzierung ist wichtig, nicht der im Internet suchende Mensch. Die Gründer von datensicherheit.de waren am Ende begeistert, welche Möglichkeiten es bei der Suchmaschinenoptimierung gibt. Sie sind sich aber sicher, dass nur die Herangehensweise der White Hat Jedi zum nachhaltigen und verantwortungsbewussten Erfolg führt. Möge die Macht mit Euch sein.

Weitere Informationen zum Thema:

datensicherheit.de, 17.11.2016
Webshops im Weihnachtsmodus: Neben Performance Datensicherheit gefordert

datensicherheit.de, 15.08.2014
Webseiten: SSL-Zertifikat als Ranking-Faktor

[datensicherheit.de, 15.08.2014] Webmaster und SEO-Agenturen müssen wohl künftig umdenken. Denn der Suchmaschinenriese Google gab bekannt, dass HTTPS-verschlüsselte Webseiten in den Suchergebnissen stärker gewichtet werden. Zunächst soll HTTPS nur ein Faktor unter vielen in Googles Suchalgorithmus darstellen. Längerfristig will die Suchmaschine sicherheitsbewusste Seitenbetreiber, die ihr Onlineangebot mit HTTPS absichern, belohnen und dem SSL-Zertifikat mehr Bedeutung beimessen. „Webseitenbetreiber, die ein SSL-Zertifikat implementieren, tragen künftig zwei relevanten Punkten Rechnung: Sie gestalten die Kommunikation sicherer und optimieren ihr Ranking. Dies gilt nicht nur für Shops, die mit sensiblen Kundendaten umgehen, sondern bereits für kleinere Webseiten oder Blogs“, so Christian Heutger, Geschäftsführer der PSW GROUP.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP

Heutger weiß, dass Vertrauenswürdigkeit eines der wichtigsten Kriterien im elektronischen Handel ist. Dabei ist nicht nur wichtig, Kundendaten vor unerlaubtem Abhören zu schützen, sondern auch, dass der Anbieter durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde. Sichtbares Zeichen der Vertrauenswürdigkeit ist ein SSL-Zertifikat. Eine SSL-geschützte Verbindung ist an einem Schloss-Symbol in der Adressleiste des Browsers sowie der grünen-Adressleiste erkennbar. Dem Besucher einer Webseite werden nach Klick auf das Schloss-Symbol die wichtigsten Daten über den Inhaber sowie Aussteller des Zertifikats angezeigt.

„SSL Zertifikate einzurichten ist einfach. Es gibt drei Zertifikatsarten, jeweils für verschiedene Anforderungen. Wir bieten alle drei Typen verschiedener Zertifizierungsstellen an und beraten, welches das individuell passende Zertifikat ist“, so Heutger. Wer beispielsweise nur eine Domain schützen möchte, für den sind Einzelzertifikate geeignet. Wildcardzertifikate schützen sämtliche einstufige Subdomains einer Domain. Wer mehrere Domains verwaltet, für den sind Multidomainzertifikate die richtige Wahl.

Diese drei Zertifikatsarten gibt es für verschiedene Validierungstypen: Domainvalidierte Zertifikate stellen eine Art Einsteiger-SSL-Zertifikat dar und sind geeignet für kleine und mittlere Webseiten und Shops. Bei der Ausstellung, die binnen 10 Minuten erfolgt, wird lediglich überprüft, ob der Antragsteller eine E-Mail an eine bestimmte Adresse innerhalb der geprüften Domain erhalten kann. Organisationsvalidierte Zertifikate gehen weiter und sind deshalb geeignet für mittlere bis große Seiten und Shops. Bei der Ausstellung wird geprüft, ob der Antragssteller auch die genannte Organisation ist. Dokumente und ein Telefonanruf werden zur Identitätsprüfung verwendet. Daneben existieren noch Extended Validation-Zertifikate, die eine ausführliche Organisationsprüfung voraussetzen und für Webseiten von Banken oder ähnliche Internetauftritte geeignet sind.

Weitere Informationen zum Thema:

datensicherheit.de, 09.06.2014
Security Advisory: Neue Sicherheitslücken in OpenSSL identifiziert

datensicherheit.de, 11.04.2014
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein

PSW GROUP
Startseite