Social Engineering (Phishing und betrügerische Websites)

Social-Engineering-Inhalte sind Inhalte, die Besucher zu gefährlichen Handlungen verleiten sollen, zum Beispiel zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Software. Wenn Google feststellt, dass Ihre Website Social-Engineering-Inhalte enthält, kann der Chrome-Browser die Warnung "Bei der aufgerufenen Website besteht Phishing-Verdacht!" anzeigen, sobald die Website von Besuchern aufgerufen wird. Im Bericht zu Sicherheitsproblemen können Sie sehen, ob Seiten Ihrer Website im Verdacht stehen, Social-Engineering-Angriffe zu enthalten.

Bericht zu Sicherheitsproblemen öffnen

Überblick

Was ist Social Engineering?

Als Social-Engineering-Angriff bezeichnet man den Versuch, Nutzer zu gefährlichen Handlungen im Internet zu verleiten.

Es gibt verschiedene Arten von Social-Engineering-Angriffen:

  • Phishing: Die Website verleitet Nutzer zur Offenlegung ihrer personenbezogenen Daten, z. B. Passwörter, Telefonnummern oder Kreditkartendaten. Durch das Auftreten und Erscheinungsbild wird vorgetäuscht, dass der Inhalt von einer vertrauenswürdigen Institution wie z. B. einer Bank oder einer Behörde bzw. einer vertrauenswürdigen Instanz wie dem verwendeten Browser oder Betriebssystem stammt.
  • Betrügerische Inhalte: Die Angreifer versuchen, Nutzer zu einer Handlung zu verleiten, zu der sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen. Der Inhalt kann auch Anzeigen enthalten, die dem Nutzer vortäuschen, die Gerätesoftware sei nicht aktuell. So soll er dazu gebracht werden, unerwünschte Software zu installieren.
  • Nicht ausreichend gekennzeichnete Drittanbieter-Dienste: Bei einem Drittanbieter-Dienst wird eine Website oder ein Dienst im Auftrag einer anderen Rechtspersönlichkeit betrieben. Wenn Sie (als Drittanbieter) eine Website im Auftrag einer anderen Partei (Erstanbieter) betreiben, ohne die Beziehung klar herauszustellen, könnte dies als Social Engineering gemeldet werden. Beispiel: Sie (Erstanbieter) betreiben die Website einer Wohltätigkeitsorganisation und verwenden eine Spendenmanagement-Website (Drittanbieter), um Spenden zu sammeln. In diesem Fall muss deutlich erkennbar sein, dass es sich bei der Spendenmanagement-Website um eine Drittanbieter-Plattform handelt, die im Auftrag der Wohltätigkeitsorganisation handelt. Andernfalls könnte dies als Social Engineering eingestuft werden.

Google Safe Browsing warnt Nutzer vor dem Besuch von Seiten, auf denen immer wieder Social Engineering-Inhalte gefunden werden.

Webseiten gelten in folgenden Fällen als durch Social Engineering manipuliert:

  • Wenn sie durch Auftreten oder Erscheinungsbild vortäuschen, dass der Inhalt von einer vertrauenswürdigen Instanz wie etwa dem eigenen Gerät, dem Browser oder der Website selbst stammt.
  • Wenn sie versuchen, Sie zu einer Handlung zu verleiten, zu der Sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen.

Social Engineering in eingebetteten Inhalten

Social Engineering kann auch in Inhalten vorkommen, die auf ansonsten vertrauenswürdigen Websites eingebettet sind. Meistens handelt es sich dabei um Werbeanzeigen. Eingebettete Social-Engineering-Inhalte werden von Google als Richtlinienverstoß der Hostseite angesehen.

Manchmal sind eingebettete Social-Engineering-Inhalte für Nutzer auf der Hostseite sichtbar ‒ wie in den Beispielen unten. In anderen Fällen enthält die Hostseite keine sichtbaren Anzeigen, sondern leitet die Nutzer über ein Pop-up, Pop-under oder andere Arten der Weiterleitung an Social-Engineering-Seiten weiter. In beiden Fällen werden solche eingebetteten Social-Engineering-Inhalte von Google als Richtlinienverstoß der Hostseite angesehen.

Aber ich praktiziere gar kein Social Engineering!

Betrügerische Social-Engineering-Inhalte können über in die Seite eingebettete Ressourcen eingefügt werden, zum Beispiel über Bilder, andere Komponenten von Drittanbietern oder Werbung. Derartige betrügerische Inhalte können Besucher der Website dazu verleiten, unerwünschte Software herunterzuladen. 

Es ist auch möglich, dass Hacker die Kontrolle über unbeteiligte Websites erlangen und Social-Engineering-Inhalte auf ihnen hosten oder über sie verbreiten. Die Hacker können den Inhalt der Website ändern oder der Website zusätzliche Seiten hinzufügen. Dies sind häufig Versuche, an persönliche Daten wie zum Beispiel Kreditkartendaten von Nutzern zu gelangen. Ob Ihre Website als Website identifiziert wurde, die Social-Engineering-Inhalte hostet oder verbreitet, können Sie im Bericht zu Sicherheitsproblemen der Search Console feststellen.

Wenn Sie annehmen, dass Ihre Website gehackt wurde, lesen Sie unsere Hilfe für gehackte Websites.

Beispiele für Social-Engineering-Verstöße

Beispiele für betrügerische Inhalte

Hier sind einige Beispiele für Webseiten mit Social Engineering:

Social engineering popup that tries to make the user install an unwanted application.
Betrügerisches Pop-up, das Nutzer dazu bringen soll, Malware zu installieren
Example of social engineering attempt claiming a browser update is required
Betrügerisches Pop-up, das Nutzern angeblich eine Browseraktualisierung empfiehlt
Gefälschte Google-Anmeldeseite. Beachten Sie die betrügerische URL. Phishing-Websites wie diese könnten Sie dazu bringen, andere personenbezogene Daten wie Kreditkartendaten preiszugeben. Die Phishing-Websites können genau wie die echte Website aussehen. Überprüfen Sie daher in der Adressleiste, ob die URL korrekt ist, und die Website mit "https://" beginnt.

Beispiel für betrügerische Anzeigen

Hier finden Sie einige Beispiele für betrügerische Inhalte in eingebetteten Anzeigen. Diese Anzeigen stellen sich als Teil der Seite dar und sind nicht als Werbeanzeigen zu erkennen.

Deceptive ad claiming to be a media player update on the page.
Betrügerisches Pop-up, das behauptet, die Software des Nutzers sei veraltet
Deceptive ad claiming to be an installer for a required component.
Betrügerisches Pop-up, das angeblich vom FLV-Entwickler stammt
Deceptive ads claiming to be playback controller buttons on the host page.
Anzeigen, die sich als Schaltflächen der Seite ausgeben

Problem beheben

Wenn auf Ihrer Website Social-Engineering-Inhalte (betrügerische Inhalte) festgestellt werden, achten Sie darauf, dass keine der oben beschriebenen Verhaltensweisen auf Ihre Website zutrifft. Führen Sie anschließend diese Schritte aus:

  1. Melden Sie sich in der Search Console an. 
    • Überprüfen Sie in der Search Console, dass Sie der Inhaber der Website sind und dass keine neuen, verdächtigen Inhaber hinzugefügt wurden.
    • Überprüfen Sie im Bericht "Sicherheitsprobleme", ob für Ihre Website betrügerische Inhalte (darunter fällt Social-Engineering) gemeldet sind. Rufen Sie einige der markierten Links aus dem Bericht auf. Verwenden Sie dazu jedoch einen Computer, der sich nicht im selben Netzwerk wie der Server Ihrer Website befindet. Geschickte Hacker können ihre Angriffe aussetzen, wenn sie einen Besucher für den Webmaster der Website halten.
  2. Entfernen Sie die betrügerischen Inhalte. Vergewissern Sie sich, dass keine Seite Ihrer Website betrügerische Inhalte enthält. Wenn Sie vermuten, dass Safe Browsing eine Webseite irrtümlich klassifiziert hat, können Sie dies hier melden.
  3. Überprüfen Sie die in Ihrer Website enthaltenen Ressourcen von Drittanbietern. Achten Sie darauf, dass keine der auf der Website eingebetteten Ressourcen von Drittanbietern, z. B. Anzeigen oder Bilder, betrügerische Inhalte enthält.
    • Beachten Sie, dass Werbenetzwerke die auf Ihrer Seite eingeblendeten Werbeanzeigen rotierend schalten können. Es kann daher nötig sein, eine Seite mehrmals zu aktualisieren, ehe Social-Engineering-Werbung zu sehen ist.
    • Manche Werbeanzeigen werden auf Mobilgeräten anders als auf Desktop-Computern eingeblendet. Mit dem URL-Prüftool können Sie sich Ihre Website sowohl in der Computervariante und als auch in der Variante für Mobilgeräte ansehen.
    • Halten Sie sich bei allen Drittanbieter-Diensten, z. B. Zahlungsdiensten, die Sie auf Ihrer Website verwenden, an die unten beschriebenen Richtlinien für Drittanbieter-Dienste.
  4. Fordern Sie eine Überprüfung an. Wenn Sie die Social-Engineering-Inhalte vollständig von der Website entfernt haben, können Sie im Bericht "Sicherheitsprobleme" eine Sicherheitsüberprüfung anfordern. Eine Überprüfung kann mehrere Tage dauern.

Richtlinien für Drittanbieter-Dienste

Wenn Sie auf Ihrer Website einen Drittanbieter-Dienst verwenden, müssen die folgenden Bedingungen erfüllt sein, damit er nicht als Social-Engineering eingestuft wird:

  • Die Drittanbieter-Website sollte auf jeder Seite die Marke des Drittanbieters enthalten. Diese sollte gut sichtbar sein, damit die Nutzer ohne Weiteres erkennen können, wer die Website betreibt. Die Marke eines Drittanbieters kann beispielsweise oben auf der Seite eingefügt werden.
  • Geben Sie auf jeder Seite mit Erstanbieter-Branding explizit die Beziehung zwischen dem Erstanbieter und dem Drittanbieter an. Stellen Sie außerdem einen Link bereit, über den Nutzer weitere Informationen erhalten können.  Beispiel:

      Dieser Dienst wird von Example.com im Namen von Example.charities.com gehostet. Weitere Informationen

Als Richtwert für eine nutzerfreundliche Website gilt, ob ein Nutzer, der sich die Seite isoliert ansieht, jederzeit direkt erkennt, auf welcher Website er sich befindet und in welcher Beziehung der Erstanbieter und der Drittanbieter zueinander stehen.

Best Practice: Wenn Sie einen Drittanbieter für die Durchführung eines grundlegenden Supportdienstes für Ihre Website benötigen, empfiehlt es sich, dafür einen branchenüblichen Drittanbieter zu engagieren. Sie sollten die Nutzerauthentifizierung auf Ihrer Website beispielsweise mithilfe von OAuth und nicht selbst verwalten.
War das hilfreich?
Wie können wir die Seite verbessern?