Im Projekt Fraud Seeker wollen wir mithilfe von Web Crawling nach betrügerischen Seiten suchen, um Konsument:innen vor ebendiesen Seiten frühzeitig zu warnen. Während wir textbasierte Web-Crawler im Bereich von Fake-Shops bereits erfolgreich einsetzen, stoßen wir vor allem bei betrügerischen Online-Apotheken, aber auch bei Kryptobetrug an unsere Grenzen: Zwar haben wir bereits erste Textphrasen identifiziert, die Betrugscluster im Bereich Medikamenten- und Kryptobetrug ausfindig machen. Und eigentlich funktionieren die Textphrasen auch. Wir bekommen zahlreiche Ergebnisse. Allerdings führen uns diese Ergebnisse nicht auf die eigentlich gesuchten, betrügerischen Seiten. Der Grund: Cloaking.

Was ist Cloaking?

Die Technik Cloaking (englisch für Verhüllen / Tarnen) wird vor allem zur Suchmaschinenoptimierung (SEO) verwendet – immer öfter auch für betrügerische Zwecke. Dabei verändern Kriminelle den Quellcode gehackter Websites so, dass Bots eine andere Version der Seite sehen als menschliche Nutzer:innen. In der versteckten Version der Website werden massenhaft Spam-Links und Weiterleitungen platziert. Diese führen zum Beispiel zu Fake-Shops mit gefälschten Medikamenten oder pornografischen Inhalten.

Mit diesen Worten definiert die Watchlist Internet das Phänomen Cloaking im Artikel So hacken Kriminelle unbemerkt Ihre Website, um Fake-Shops zu betreiben. Cloaking ist also nichts neues. Wie diese Taktik genutzt wird, um automatisierte Detektionsmethoden zu erschweren ist uns allerdings neu.

Um den Zusammenhang zwischen Cloaking und Crawling besser zu verstehen, sprachen wir mit Joachim Feist. Joachim Feist (Geschäftsführer mindUp Web + Intelligence GmbH) hat sich unter anderem auf Web-Crawling spezialisiert. Außerdem arbeitet er im "Forschungsprojekt zur Erkennung und Behandlung von gehackten Webseiten im Umfeld von Fake-Shops (INSPECTION)" zum Thema Cloaking.

Feist bestätigt uns, dass Cloaking besonders häufig für Fake-Shops verwendet wird, die Viagra, Cialis & Co. anbieten. Wie(so) Cloaking unsere Arbeit erschwert, kann laut ihm verschiedene Gründe haben:

Gehackt und behoben

„Gehackt und behoben“, nennt Feist Möglichkeit Nummer eins: Eigentlich seriöse Seiten wurden gehackt, die gehackten Seiten haben das Problem bereits behoben. In der Suchmaschine sind sie jedoch nach wie vor indexiert, dementsprechend landen sie in unseren Ergebnissen. Doch die Weiterleitung in den Fake-Shop ist häufig nur dann aktiv, wenn man aus der Suchmaschine kommend auf die Domain klickt. Wollen wir die Domain aufrufen, landen wir auf der ehemals gehackten, aber seriösen Seite oder es wird uns angezeigt, dass die Seite nicht mehr aktiv ist.

Gehackt und immer noch gehackt

Der zweite Fall betrifft Seiten, die nach wie vor gehackt sind. Aber auch in diesem Fall kommen wir nicht so einfach an die Ziel-URL. Denn auch hier haben wir das Problem, dass der Aufruf der betrügerischen Seite nur über bestimmte Wege möglich ist – das Suchen mit Crawlern zählt da wohl nicht dazu. Denn alles was wir zu sehen bekommen, ist die Information, dass die Website nicht (mehr) existiert.

Vollgestopft mit SEO-Keywords

Eine andere Möglichkeit: Die Kriminellen registrieren die Websites selbst und stopfen sie mit Keywords zu, die nicht nur, aber auch unseren Suchphrasen entsprechen. Was wir dann in unseren Ergebnissen angezeigt bekommen, sind die Keywords ganz ohne Layout, stattdessen in Form einer Wall of Text. Die Suche nach oder das Anklicken von Links in solchen Texten, half uns bis dato nicht weiter. Es heißt also auch hier erstmal Endstation.

Satellitenseiten

Zu guter Letzt weist Feist noch auf das Phänomen Satellitenseiten hin. Seiten, die viele verschiedene Zielseiten haben können. Je nach Aufruf oder User:in ist die Landing Page solcher Satellitenseiten eine andere. Nicht immer, aber häufig, landet man am Ende bei betrügerischen Angeboten. Wenn wir „Glück “ haben, landen wir sogar tatsächlich auf einer von uns gesuchten Fake-Apotheke. Aber dann haben wir wiederum das Problem, dass wir zahlreiche auf den ersten Blick unterschiedliche Domains aufrufen und am Ende immer wieder in der gleichen schon gefundenen Apotheke landen.

Bezüglich der Verwendung von Satellitenseiten bemerkt Feist einen Aufwärtstrend. Denn: Die Seiten sind relativ billig anzumelden und in den Suchmaschinen zu indizieren. Zum Beispiel, indem Subdomains seriöser Seiten oder vor kurzem aufgelassen Websites von den Kriminellen missbraucht werden. So sind die Seiten praktischerweise schon in den Suchmaschinen, der bestehende Traffic kann genutzt werden.

Ein weiteres Problem: Sind solche Satelliten-Seiten einmal online, bleiben sie das oftmals. Denn gemeldet und wahrgenommen werden meist nur die angehängten betrügerischen Angebote wie eben eine Fake-Apotheke, nicht aber die Satellitenseite selbst. Werden die betrügerischen Websites gemeldet und anschließend offline genommen, leitet die Satellitenseite eben auf neue Fake-Seiten um.

Und nun?

All diese Probleme führen für uns zu einem relativen hohen Bearbeitungsaufwand mit geringen Ergebnissen. Um genauer abschätzen zu können, wie relevant die gefundenen Seiten sind, werden wir daher in einem nächsten Schritt sowohl die Domains von betrügerischen Seiten als auch von Satellitenseiten analysieren. So wollen wir herausfinden, wie häufig diese aufgerufen werden und welchen Schaden die einzelnen Seiten potenziell anrichten.

Aufbauend auf dieser Erkenntnis werden wir besonders stark besuchte Seiten in den Fokus rücken und uns auf die Suche nach möglichen Lösungen machen. Eine davon könnte sein, in der Suchmaschine gezielt durch den Parameter site:www.betroffene-webseite.at die indexierten Seiten der betroffenen Webseite anzeigen zu lassen, um herauszufinden, wohin der Suchmaschinennutzende weitergeleitet wird. Auch die Recherche zu sowie die Anbindung an verschiedenen Analyse-Datenbanken im Bereich der automatisierten Betrugsdetektion werden wir uns künftig genauer ansehen.