Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
true

Social Engineering (Phishing und betrügerische Websites)

Social-Engineering-Inhalte sind Inhalte, die Besucher zu gefährlichen Handlungen verleiten sollen, zum Beispiel zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Software. Wenn Google feststellt, dass Ihre Website Social-Engineering-Inhalte enthält, kann der Chrome-Browser die Warnung "Bei der aufgerufenen Website besteht Phishing-Verdacht!" anzeigen, sobald die Website von Besuchern aufgerufen wird. Im Bericht zu Sicherheitsproblemen können Sie sehen, ob Seiten Ihrer Website im Verdacht stehen, Social-Engineering-Angriffe zu enthalten.

Bericht zu Sicherheitsproblemen öffnen

Überblick

Was ist Social Engineering?

Als Social-Engineering-Angriff bezeichnet man den Versuch, Nutzer zu gefährlichen Handlungen im Internet zu verleiten.

Es gibt verschiedene Arten von Social-Engineering-Angriffen. Phishingwebsites versuchen, Nutzer zur Preisgabe persönlicher Daten (zum Beispiel Passwörter, Telefonnummern oder Kreditkartendaten) zu verleiten. Betrügerische Inhalte, zum Beispiel Werbung, in der fälschlicherweise auf veraltete Gerätesoftware hingewiesen wird, können Nutzer zur Installation unerwünschter Software verleiten.

Bei einem Social-Engineering-Angriff geschieht Folgendes:

  • Es wird durch Auftreten und Erscheinungsbild vorgetäuscht, dass der Inhalt von einer vertrauenswürdigen Institution wie z. B. einer Bank oder einer Behörde bzw. einer vertrauenswürdigen Instanz wie dem verwendeten Browser oder Betriebssystem stammt.
  • Die Angreifer versuchen, Sie zu einer Handlung zu verleiten, zu der Sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen.

Google Safe Browsing zeigt eine Warnung an, bevor Nutzer betrügerischen Inhalt sehen, und schützt sie so vor Social Engineering. Hier erfahren Sie mehr über Social Engineering und sehen Beispiele.

Wie unterscheidet sich Social Engineering von Phishing? Phishing ist nur eine Form von Social-Engineering-Angriffen.

Social Engineering in eingebetteten Inhalten

Social Engineering kann auch in Inhalten vorkommen, die auf ansonsten vertrauenswürdigen Websites eingebettet sind. Meistens handelt es sich dabei um Werbeanzeigen. Eingebettete Social-Engineering-Inhalte werden von Google als Richtlinienverstoß der Hostseite angesehen.

Manchmal sind eingebettete Social-Engineering-Inhalte für Nutzer auf der Hostseite sichtbar ‒ wie in den Beispielen unten. In anderen Fällen enthält die Hostseite keine sichtbaren Anzeigen, sondern leitet die Nutzer über ein Pop-up, Pop-under oder andere Arten der Weiterleitung an Social-Engineering-Seiten weiter. In beiden Fällen werden solche eingebetteten Social-Engineering-Inhalte von Google als Richtlinienverstoß der Hostseite angesehen.

Aber ich praktiziere gar kein Social Engineering!

Betrügerische Social-Engineering-Inhalte können über in die Seite eingebettete Ressourcen eingefügt werden, zum Beispiel über Bilder, andere Komponenten von Drittanbietern oder Werbung. Derartige betrügerische Inhalte können Besucher der Website dazu verleiten, unerwünschte Software herunterzuladen. 

Google Safe Browsing warnt Webnutzer auf Publisher-Seiten, die durchgängig Social-Engineering-Werbung enthalten, um sie vor betrügerischen Inhalten zu schützen. Weitere Informationen und Beispiele

Es ist auch möglich, dass Hacker die Kontrolle über unbeteiligte Websites erlangen und Social-Engineering-Inhalte auf ihnen hosten oder über sie verbreiten. Die Hacker können den Inhalt der Website ändern oder der Website zusätzliche Seiten hinzufügen. Dies sind häufig Versuche, an persönliche Daten wie zum Beispiel Kreditkartendaten von Nutzern zu gelangen. Ob Ihre Website als Website identifiziert wurde, die Social-Engineering-Inhalte hostet oder verbreitet, können Sie im Bericht zu Sicherheitsproblemen der Search Console feststellen.

Wenn Sie annehmen, dass Ihre Website gehackt wurde, lesen Sie unsere Hilfe für gehackte Websites.

Beispiele für Social-Engineering-Verstöße

Beispiele für Webseiten

Webseiten gelten in folgenden Fällen als durch Social Engineering manipuliert:

  • Wenn sie durch Auftreten oder Erscheinungsbild vortäuschen, dass der Inhalt von einer vertrauenswürdigen Instanz wie etwa dem eigenen Gerät, dem Browser oder der Website selbst stammt.
  • Wenn sie versuchen, Sie zu einer Handlung zu verleiten, zu der Sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen.

Hier sind einige Beispiele für Webseiten mit Social Engineering:

Social engineering popup that tries to make the user install an unwanted application.
Betrügerisches Pop-up, das Nutzer dazu bringen soll, Malware zu installieren
Example of social engineering attempt claiming a browser update is required
Betrügerisches Pop-up, das Nutzern angeblich eine Browseraktualisierung empfiehlt

Beispiele für eingebettete Inhalte

Nachstehend einige Beispiele für betrügerische Inhalte innerhalb von Werbeanzeigen. Diese Anzeigen stellen sich als Teil der Seite dar und sind nicht als Werbeanzeigen zu erkennen.

Deceptive ad claiming to be a media player update on the page.
Betrügerisches Pop-up, das behauptet, die Software des Nutzers sei veraltet
Deceptive ad claiming to be an installer for a required component.
Betrügerisches Pop-up, das angeblich vom FLV-Entwickler stammt
Deceptive ads claiming to be playback controller buttons on the host page.
Anzeigen, die sich als Schaltflächen der Seite ausgeben

Problembehebung

Wenn auf Ihrer Website Social-Engineering-Inhalte festgestellt werden, achten Sie darauf, dass keine der oben beschriebenen Verhaltensweisen auf Ihre Website zutrifft. Folgen Sie anschließend diesen Schritten:

  1. Melden Sie sich in der Search Console an. 
    • Überprüfen Sie in der Search Console, dass Sie der Inhaber der Website sind und dass keine neuen, verdächtigen Inhaber hinzugefügt wurden.
    • Überprüfen Sie im Bericht zu Sicherheitsproblemen, ob Ihre Website als Website aufgeführt wird, von der Social-Engineering-Aktivitäten ausgehen. Rufen Sie als Stichproben einige der markierten Links aus dem Bericht auf. Verwenden Sie dazu jedoch einen Computer, der sich nicht im selben Netzwerk wie der Server Ihrer Website befindet. Geschickte Hacker können ihre Angriffe aussetzen, wenn sie einen Besucher für den Webmaster der Website halten.
  2. Entfernen Sie die betrügerischen Inhalte. Vergewissern Sie sich, dass keine Seite Ihrer Website betrügerische Inhalte enthält.
  3. Falls Social Engineering in eingebetteten Inhalten wie Werbeanzeigen auftritt, achten Sie darauf, dass Ihre Webseiten keine Anzeigen, Bilder oder anderen eingebetteten Ressourcen von Drittanbietern enthalten, die betrügerisch sind. Beachten Sie, dass Werbenetzwerke die auf Ihrer Seite eingeblendeten Werbeanzeigen rotierend schalten können. Es kann daher nötig sein, eine Seite mehrmals zu aktualisieren, ehe Social-Engineering-Werbung zu sehen ist. Manche Werbeanzeigen werden auf Mobilgeräten anders als auf Desktop-Computern eingeblendet. Mit dem Tool Abruf wie durch Google können Sie Ihre Website sowohl in der Desktop-Variante und als auch in der Variante für Mobilgeräte ansehen.
  4. Überprüfen Sie die in Ihrer Website enthaltenen Ressourcen von Drittanbietern. Achten Sie darauf, dass keine der auf der Website eingebetteten Ressourcen von Drittanbietern,z. B. Werbung oder Bilder, betrügerische Inhalte enthält.
    • Beachten Sie, dass Werbenetzwerke die auf Ihrer Seite eingeblendeten Werbeanzeigen rotierend schalten können. Es kann daher nötig sein, eine Seite mehrmals zu aktualisieren, ehe Social-Engineering-Werbung zu sehen ist.
    • Manche Werbeanzeigen werden auf Smartphones anders als auf Desktop-Computern eingeblendet. Mit dem Tool Abruf wie durch Google können Sie die Website in der Variante für Desktop-Computer und der für Mobilgeräte ansehen.
  5. Fordern Sie eine Überprüfung an. Wenn Sie die Social-Engineering-Inhalte vollständig von der Website entfernt haben, können Sie im Bericht zu Sicherheitsproblemen eine Sicherheitsüberprüfung anfordern. Es kann zwei bis drei Tage dauern, bis die Überprüfung abgeschlossen ist.
War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?
false