Social Engineering (Phishing und betrügerische Websites)

Social-Engineering-Inhalte sind Inhalte, die Besucher zu gefährlichen Handlungen verleiten sollen, zum Beispiel zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Software. Wenn Google feststellt, dass Ihre Website Social-Engineering-Inhalte enthält, kann der Chrome-Browser die Warnung "Bei der aufgerufenen Website besteht Phishing-Verdacht!" anzeigen, sobald die Website von Besuchern aufgerufen wird. Im Bericht zu Sicherheitsproblemen können Sie sehen, ob Seiten Ihrer Website im Verdacht stehen, Social-Engineering-Angriffe zu enthalten.

Bericht zu Sicherheitsproblemen öffnen

Überblick

Was ist Social Engineering?

Als Social-Engineering-Angriff bezeichnet man den Versuch, Nutzer zu gefährlichen Handlungen im Internet zu verleiten.

Es gibt verschiedene Arten von Social-Engineering-Angriffen. Auf Phishingwebsites wird beispielsweise versucht, Nutzer zur Preisgabe personenbezogener Daten (zum Beispiel von Passwörtern, Telefonnummern oder Kreditkartendaten) zu verleiten. Betrügerische Inhalte, zum Beispiel Werbung, in der fälschlicherweise auf veraltete Gerätesoftware hingewiesen wird, können Nutzer zur Installation unerwünschter Software verleiten.

Bei einem Social-Engineering-Angriff geschieht Folgendes:

  • Es wird durch Auftreten und Erscheinungsbild vorgetäuscht, dass der Inhalt von einer vertrauenswürdigen Institution wie z. B. einer Bank oder einer Behörde bzw. einer vertrauenswürdigen Instanz wie dem verwendeten Browser oder Betriebssystem stammt.
  • Die Angreifer versuchen, Sie zu einer Handlung zu verleiten, zu der Sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen.

Google Safe Browsing zeigt eine Warnung an, bevor Nutzer betrügerischen Inhalt sehen, und schützt sie so vor Social Engineering. Hier erfahren Sie mehr über Social Engineering und sehen Beispiele.

Wie unterscheidet sich Social Engineering von Phishing? Phishing ist nur eine Form von Social-Engineering-Angriffen.

Best Practice: Wenn Sie einen Drittanbieter für die Durchführung eines grundlegenden Supportdienstes für Ihre Website benötigen, empfiehlt es sich, dafür einen branchenüblichen Drittanbieter zu engagieren. Sie sollten die Nutzerauthentifizierung auf Ihrer Website beispielsweise mithilfe von OAuth und nicht selbst verwalten. 

Social Engineering in eingebetteten Inhalten

Social Engineering kann auch in Inhalten vorkommen, die auf ansonsten vertrauenswürdigen Websites eingebettet sind. Meistens handelt es sich dabei um Werbeanzeigen. Eingebettete Social-Engineering-Inhalte werden von Google als Richtlinienverstoß der Hostseite angesehen.

Manchmal sind eingebettete Social-Engineering-Inhalte für Nutzer auf der Hostseite sichtbar ‒ wie in den Beispielen unten. In anderen Fällen enthält die Hostseite keine sichtbaren Anzeigen, sondern leitet die Nutzer über ein Pop-up, Pop-under oder andere Arten der Weiterleitung an Social-Engineering-Seiten weiter. In beiden Fällen werden solche eingebetteten Social-Engineering-Inhalte von Google als Richtlinienverstoß der Hostseite angesehen.

Aber ich praktiziere gar kein Social Engineering!

Betrügerische Social-Engineering-Inhalte können über in die Seite eingebettete Ressourcen eingefügt werden, zum Beispiel über Bilder, andere Komponenten von Drittanbietern oder Werbung. Derartige betrügerische Inhalte können Besucher der Website dazu verleiten, unerwünschte Software herunterzuladen. 

Google Safe Browsing warnt Webnutzer auf Publisher-Seiten, die durchgängig Social-Engineering-Werbung enthalten, um sie vor betrügerischen Inhalten zu schützen. Weitere Informationen und Beispiele

Es ist auch möglich, dass Hacker die Kontrolle über unbeteiligte Websites erlangen und Social-Engineering-Inhalte auf ihnen hosten oder über sie verbreiten. Die Hacker können den Inhalt der Website ändern oder der Website zusätzliche Seiten hinzufügen. Dies sind häufig Versuche, an persönliche Daten wie zum Beispiel Kreditkartendaten von Nutzern zu gelangen. Ob Ihre Website als Website identifiziert wurde, die Social-Engineering-Inhalte hostet oder verbreitet, können Sie im Bericht zu Sicherheitsproblemen der Search Console feststellen.

Wenn Sie annehmen, dass Ihre Website gehackt wurde, lesen Sie unsere Hilfe für gehackte Websites.

Beispiele für Social-Engineering-Verstöße

Drittanbieterdienste

Bei einem Drittanbieterdienst wird eine Website oder ein Dienst im Auftrag einer anderen Rechtspersönlichkeit betrieben. Wenn Sie (als Drittanbieter) eine Website im Auftrag einer anderen Partei (Erstanbieter) betreiben, ohne die Beziehung klar herauszustellen, könnte die Website als Social Engineering manipuliert gemeldet werden.

Nehmen Sie beispielsweise eine Website zur Spendenverwaltung (Drittanbieter), auf der Gelder für eine gemeinnützige Organisation (Erstanbieter) gesammelt werden. Falls auf der Spendenwebsite nicht zweifelsfrei angegeben ist, dass es sich um eine Plattform handelt, die im Namen einer bestimmten gemeinnützigen Organisation betrieben wird, könnte diese als Social Engineering manipuliert eingestuft werden.

Wenn Sie eine Social-Engineering-Meldung vermeiden möchten, müssen Sie folgende Bedingungen erfüllen:

  • Die Drittanbieter-Website sollte auf jeder Seite die Marke des Drittanbieters enthalten. Diese sollte gut sichtbar sein, damit die Nutzer ohne Weiteres erkennen können, wer die Website betreibt. Die Marke eines Drittanbieters kann beispielsweise oben auf der Seite eingefügt werden.
  • Geben Sie auf jeder Seite mit Erstanbieter-Branding explizit die Beziehung zwischen dem Erstanbieter und dem Drittanbieter an. Stellen Sie außerdem einen Link bereit, über den Nutzer weitere Informationen erhalten können.  Beispiel:
          Dieser Dienst wird von Example.com im Namen von Example.charities.com gehostet.  Weitere Informationen

Als Richtwert für eine nutzerfreundliche Website gilt, ob ein Nutzer, der sich die Seite isoliert ansieht, jederzeit direkt erkennt, auf welcher Website er sich befindet und in welcher Beziehung der Erstanbieter und der Drittanbieter zueinander stehen.

Beispiele für Webseiten

Webseiten gelten in folgenden Fällen als durch Social Engineering manipuliert:

  • Wenn sie durch Auftreten oder Erscheinungsbild vortäuschen, dass der Inhalt von einer vertrauenswürdigen Instanz wie etwa dem eigenen Gerät, dem Browser oder der Website selbst stammt.
  • Wenn sie versuchen, Sie zu einer Handlung zu verleiten, zu der Sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen.

Hier sind einige Beispiele für Webseiten mit Social Engineering:

Social engineering popup that tries to make the user install an unwanted application.
Betrügerisches Pop-up, das Nutzer dazu bringen soll, Malware zu installieren
Example of social engineering attempt claiming a browser update is required
Betrügerisches Pop-up, das Nutzern angeblich eine Browseraktualisierung empfiehlt

Beispiele für eingebettete Inhalte

Nachstehend einige Beispiele für betrügerische Inhalte innerhalb von Werbeanzeigen. Diese Anzeigen stellen sich als Teil der Seite dar und sind nicht als Werbeanzeigen zu erkennen.

Deceptive ad claiming to be a media player update on the page.
Betrügerisches Pop-up, das behauptet, die Software des Nutzers sei veraltet
Deceptive ad claiming to be an installer for a required component.
Betrügerisches Pop-up, das angeblich vom FLV-Entwickler stammt
Deceptive ads claiming to be playback controller buttons on the host page.
Anzeigen, die sich als Schaltflächen der Seite ausgeben

Problembehebung

Wenn auf Ihrer Website Social-Engineering-Inhalte festgestellt werden, achten Sie darauf, dass keine der oben beschriebenen Verhaltensweisen auf Ihre Website zutrifft. Folgen Sie anschließend diesen Schritten:

  1. Melden Sie sich in der Search Console an. 
    • Überprüfen Sie in der Search Console, dass Sie der Inhaber der Website sind und dass keine neuen, verdächtigen Inhaber hinzugefügt wurden.
    • Überprüfen Sie im Bericht zu Sicherheitsproblemen, ob Ihre Website als Website aufgeführt wird, von der Social-Engineering-Aktivitäten ausgehen. Rufen Sie als Stichproben einige der markierten Links aus dem Bericht auf. Verwenden Sie dazu jedoch einen Computer, der sich nicht im selben Netzwerk wie der Server Ihrer Website befindet. Geschickte Hacker können ihre Angriffe aussetzen, wenn sie einen Besucher für den Webmaster der Website halten.
  2. Entfernen Sie die betrügerischen Inhalte. Vergewissern Sie sich, dass keine Seite Ihrer Website betrügerische Inhalte enthält.
  3. Falls Social Engineering in eingebetteten Inhalten wie Werbeanzeigen auftritt, achten Sie darauf, dass Ihre Webseiten keine Anzeigen, Bilder oder anderen eingebetteten Ressourcen von Drittanbietern enthalten, die betrügerisch sind. Beachten Sie, dass Werbenetzwerke die auf Ihrer Seite eingeblendeten Werbeanzeigen rotierend schalten können. Es kann daher nötig sein, eine Seite mehrmals zu aktualisieren, ehe Social-Engineering-Werbung zu sehen ist. Manche Werbeanzeigen werden auf Mobilgeräten anders als auf Desktop-Computern eingeblendet. Mit dem Tool Abruf wie durch Google können Sie Ihre Website sowohl in der Desktop-Variante und als auch in der Variante für Mobilgeräte ansehen.
  4. Überprüfen Sie die in Ihrer Website enthaltenen Ressourcen von Drittanbietern. Achten Sie darauf, dass keine der auf der Website eingebetteten Ressourcen von Drittanbietern,z. B. Werbung oder Bilder, betrügerische Inhalte enthält.
    • Beachten Sie, dass Werbenetzwerke die auf Ihrer Seite eingeblendeten Werbeanzeigen rotierend schalten können. Es kann daher nötig sein, eine Seite mehrmals zu aktualisieren, ehe Social-Engineering-Werbung zu sehen ist.
    • Manche Werbeanzeigen werden auf Smartphones anders als auf Desktop-Computern eingeblendet. Mit dem Tool Abruf wie durch Google können Sie die Website in der Variante für Desktop-Computer und der für Mobilgeräte ansehen.
  5. Fordern Sie eine Überprüfung an. Wenn Sie die Social-Engineering-Inhalte vollständig von der Website entfernt haben, können Sie im Bericht zu Sicherheitsproblemen eine Sicherheitsüberprüfung anfordern. Es kann zwei bis drei Tage dauern, bis die Überprüfung abgeschlossen ist.
War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?