Social Engineering (Phishing und betrügerische Websites)
Social-Engineering-Inhalte sind Inhalte, die Besucher zu gefährlichen Handlungen verleiten sollen, zum Beispiel zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Software. Wenn Google feststellt, dass deine Website Social-Engineering-Inhalte enthält, kann der Chrome-Browser die Warnung „Bei der aufgerufenen Website besteht Phishing-Verdacht!“ anzeigen, sobald die Website von Besuchern aufgerufen wird. Im Bericht „Sicherheitsprobleme“ in der Search Console kannst du sehen, ob Seiten deiner Website im Verdacht stehen, Social-Engineering-Angriffe zu enthalten.
Bericht „Sicherheitsprobleme“ öffnen
Was ist Social Engineering?
Als Social-Engineering-Angriff bezeichnet man den Versuch, Nutzer zu gefährlichen Handlungen im Internet zu verleiten.
Es gibt verschiedene Arten von Social-Engineering-Angriffen:
- Phishing: Die Website verleitet Nutzer zur Offenlegung ihrer personenbezogenen Daten, z. B. Passwörter, Telefonnummern oder Sozialversicherungsnummern. Durch das Auftreten und Erscheinungsbild wird vorgetäuscht, dass der Inhalt von einer vertrauenswürdigen Institution wie z. B. einer Bank oder einer Behörde bzw. einer vertrauenswürdigen Instanz wie dem verwendeten Browser oder Betriebssystem stammt.
- Betrügerische Inhalte: Die Angreifer versuchen, Nutzer zu einer Handlung zu verleiten, zu der sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen. Der Inhalt kann auch Anzeigen enthalten, die dem Nutzer vortäuschen, die Gerätesoftware sei nicht aktuell. So soll er dazu gebracht werden, unerwünschte Software zu installieren.
- Nicht ausreichend gekennzeichnete Drittanbieter-Dienste: Bei einem Drittanbieter-Dienst wird eine Website oder ein Dienst im Auftrag einer anderen Rechtspersönlichkeit betrieben. Wenn du (als Drittanbieter) eine Website im Auftrag einer anderen Partei (Erstanbieter) betreibst, ohne die Beziehung klar herauszustellen, könnte die Website als durch Social Engineering manipuliert gemeldet werden. Beispiel: Du (Erstanbieter) betreibst die Website einer Wohltätigkeitsorganisation und verwendest eine Spendenmanagement-Website (Drittanbieter), um Spenden zu sammeln. In diesem Fall muss deutlich erkennbar sein, dass es sich bei der Spendenmanagement-Website um eine Drittanbieter-Plattform handelt, die im Auftrag der Wohltätigkeitsorganisation handelt. Andernfalls könnte dies als Social Engineering eingestuft werden.
Google Safe Browsing warnt Nutzer vor dem Besuch von Seiten, auf denen immer wieder Social Engineering-Inhalte gefunden werden.
Webseiten gelten in folgenden Fällen als durch Social Engineering manipuliert:
- Wenn sie durch Auftreten oder Erscheinungsbild vortäuschen, dass der Inhalt von einer vertrauenswürdigen Instanz wie etwa dem eigenen Gerät, dem Browser oder einer bestimmten Website stammt.
- Wenn sie versuchen, Nutzer zu Handlungen zu verleiten, zu denen sie sich nur von einer vertrauenswürdigen Institution bzw. Instanz bewegen lassen würden, z. B. ein Passwort anzugeben, den technischen Support anzurufen oder Software herunterzuladen.
Social Engineering in eingebetteten Inhalten
Social Engineering kann auch in Inhalten vorkommen, die auf ansonsten vertrauenswürdigen Websites eingebettet sind. Meistens handelt es sich dabei um Werbeanzeigen. Eingebettete Social-Engineering-Inhalte werden von Google als Richtlinienverstoß der Hostseite angesehen.
Manchmal sind solche Inhalte für Nutzer auf der Hostseite sichtbar, wie die Beispiele zeigen. In anderen Fällen enthält die Hostseite keine sichtbare Werbung, sondern leitet die Nutzer über ein Pop-up, ein Pop-under oder andere Methoden an Social-Engineering-Seiten weiter. Die eingebetteten Social-Engineering-Inhalte werden jedoch von Google in beiden Fällen – d. h. ob sichtbar oder unsichtbar – als Richtlinienverstoß der Hostseite angesehen.
Aber ich praktiziere gar kein Social Engineering!
Betrügerische Social-Engineering-Inhalte können auch über eingebettete Ressourcen auf die Seite gelangen, zum Beispiel über Bilder, andere Komponenten von Drittanbietern oder über Werbung. Derartige betrügerische Inhalte können Besucher der Website z. B. dazu verleiten, unerwünschte Software herunterzuladen.
Es ist auch möglich, dass Hacker die Kontrolle über eine harmlose Website erlangen und Social-Engineering-Inhalte auf der Website hosten oder über sie verbreiten. Die Hacker können den Inhalt der Website verändern oder der Website zusätzliche Seiten hinzufügen. Das passiert häufig bei Versuchen, an personenbezogene Daten wie zum Beispiel Kreditkartendaten von Nutzern zu gelangen. Ob deine Website als Website identifiziert wurde, die Social-Engineering-Inhalte hostet oder verbreitet, kannst du im Bericht zu Sicherheitsproblemen der Search Console feststellen.
Wenn du annimmst, dass deine Website gehackt wurde, sieh dir unsere Hilfe für gehackte Websites an.
Beispiele für Social-Engineering-Verstöße
Beispiele für betrügerische Inhalte
Hier einige Beispiele für Webseiten mit Social Engineering:
Beispiele für betrügerische Anzeigen
Hier einige Beispiele für betrügerische Inhalte in eingebetteten Anzeigen. Diese Anzeigen präsentieren sich als Teil der Seite und sind nicht als Werbeanzeigen zu erkennen.
Problem beheben
Wenn auf deiner Website Social-Engineering-Inhalte (betrügerische Inhalte) festgestellt werden, sorge dafür, dass keine dieser Praktiken auf deine Seite zutrifft. Führe anschließend diese Schritte aus:
-
Sieh in der Search Console nach.
- Sieh in der Search Console nach, ob du weiterhin als Inhaber der Website eingetragen bist und ob nicht neue, verdächtige Inhaber hinzugefügt wurden.
-
Überprüfe den Bericht „Sicherheitsprobleme“ darauf, ob für deine Website betrügerische Inhalte (darunter fällt Social Engineering) gemeldet wurden. Wenn im Bericht Beispiele für markierte URLs aufgeführt sind, rufe einige der im Bericht aufgeführten URLs auf. Verwende dazu jedoch einen Computer, der sich nicht im selben Netzwerk wie der Server deiner Website befindet. Geschickte Hacker können ihre Angriffe vorübergehend aussetzen, wenn sie einen Besucher als den Eigentümer der angegriffenen Website erkennen.
Wenn der Bericht keine Beispiel-URLs enthält und du sicher bist, dass deine Website keine Social-Engineering-Inhalte (betrügerische Inhalte) enthält, kannst du im Bericht „Sicherheitsprobleme“ eine Überprüfung anfordern.
- Entferne die betrügerischen Inhalte. Vergewissere dich, dass keine Seite auf deiner Website betrügerische Inhalte enthält. Falls du denkst, dass Safe Browsing zu Unrecht vor einer Webseite warnt, melde dies bitte hier.
-
Untersuche die in deiner Website enthaltenen Ressourcen von Drittanbietern. Keine der auf der Website eingebetteten Ressourcen von Drittanbietern, z. B. Werbung oder Bilder, darf betrügerische Inhalte enthalten.
- Die auf Ihrer Website eingeblendeten Werbeanzeigen werden in Werbenetzwerken unter Umständen rotierend geschaltet. Es kann daher nötig sein, eine Seite mehrmals zu aktualisieren, bevor Social-Engineering-Werbung zu sehen ist.
- Manche Werbeanzeigen werden auf Mobilgeräten anders als auf Computern eingeblendet. Mit dem URL-Prüftool kannst du dir deine Website sowohl in der Computervariante als auch in der Variante für Mobilgeräte ansehen.
- Halte dich bei allen Drittanbieter-Diensten, z. B. Zahlungsdiensten, die auf deiner Website verwendet werden, an die Richtlinien für Drittanbieter-Dienste.
- Fordere eine Überprüfung an. Wenn du die Social-Engineering-Inhalte vollständig von deiner Website entfernt hast, kannst du im Bericht „Sicherheitsprobleme“ eine Sicherheitsüberprüfung anfordern. Eine Überprüfung kann mehrere Tage dauern.
Richtlinien für Drittanbieter-Dienste
Wenn du auf deiner Website einen Drittanbieter-Dienst verwendest, sollten die folgenden Bedingungen erfüllt sein, damit er nicht als Social Engineering eingestuft wird:
- Auf jeder Seite der Drittanbieter-Website ist die Marke des Drittanbieters enthalten. Diese sollte gut sichtbar sein, damit die Nutzer ohne Weiteres erkennen können, wer die Website betreibt. Die Marke eines Drittanbieters kann beispielsweise oben auf der Seite eingefügt werden.
- Gib auf jeder Seite mit Erstanbieter-Branding explizit die Beziehung zwischen dem Erstanbieter und dem Drittanbieter an. Stelle außerdem einen Link bereit, über den Nutzer weitere Informationen erhalten können. Beispiel:
Dieser Dienst wird von beispiel.de im Namen von beispiel.wohltätigkeitsorganisationen.de gehostet. Weitere Informationen
Als Faustregel für eine nutzerfreundliche Website gilt, dass ein Nutzer, der sich die Seite isoliert ansieht, jederzeit direkt erkennen kann, auf welcher Website er sich befindet und in welcher Beziehung der Erstanbieter und der Drittanbieter zueinander stehen.
Wenn du als Search Console-Nutzer Probleme mit hartnäckigen oder nicht behebbaren Sicherheitsproblemen auf deiner Website hast, kannst du dich jederzeit an uns wenden.