Stellen Sie sich vor: Sie haben die Frist für Ihre Steuererklärung verpasst. Sie öffnen Ihre Lieblingssuchmaschine und tippen den Namen des Steuerformulars ein, das Sie suchen. Genervt und in Eile klicken Sie auf die erste PDF-Datei, die die Suchmaschine ausspuckt. Es erscheint ein Captcha, das Sie auffordert, zu bestätigen, dass Sie kein Roboter sind. Sie versuchen, das Kästchen anzukreuzen, aber plötzlich werden Sie auf eine Webseite umgeleitet, die Ihnen alle möglichen Pop-ups zeigt, von denen keines besonders beruhigend aussieht. Mit etwas Pech könnte Ihr Gerät jetzt infiziert sein. Sie sind einem Clickbait-PDF zum Opfer gefallen, einer neuen Art von Phishing-Masche, die darauf abzielt, Ihre Daten zu stehlen.
Die neueste Phishing-Masche, getarnt als PDF
Clickbait-PDFs sind ein perfektes Beispiel für das sprichwörtliche "Katz-und-Maus-Spiel" im Bereich der Cybersicherheit: Hacker:innen denken sich neue Angriffe aus und wenden sie an, Cybersicherheitsforscher:innen entwickeln Gegenmaßnahmen, um die Angriffe zu stoppen, Hacker:innen wiederum umgehen die Gegenmaßnahmen und so setzt sich der Kreislauf endlos fort. Phishing-Betrug an sich ist nichts Neues - die meisten Benutzer:innen sind wahrscheinlich schon einmal Phishing-E-Mails begegnet. Diese geben zum Beispiel vor, von der eigenen Bank zu stammen, und fordern dazu auf, Anmeldedaten einzugeben oder zweifelhafte Websites zu besuchen, die Geräte infizieren können. Doch da E-Mail-Programme zunehmend besser in der Lage sind, Phishing-Mails zu erkennen und auszusortieren, und Webbrowser bösartige Webseiten immer effektiver blockieren, suchen Betrüger:innen nach neuen Wegen, um Benutzerdaten zu stehlen. „Diese bestehenden Schutzmechanismen funktionieren ziemlich gut, so dass die Angreifer:innen dem System voraus sein müssen und versuchen müssen, nicht entdeckt zu werden", sagt Giada Stivala, Doktorandin und Forscherin am CISPA. Stivala und ihre Kolleg:innen waren die ersten, die Clickbait-PDFs eingehend untersuchten. Ihre Ergebnisse stellten sie auf der ACSAC-Konferenz 2023 in Austin, Texas vor.
Clickbait-PDFs umgehen Erkennungsmechanismen
„Mit der Einführung von Clickbait-PDFs haben Internet-Betrüger:innen eine neue Möglichkeit gefunden, der Gegenseite einen Schritt voraus zu sein. PDFs waren bereits dafür bekannt, dass sie eine Bedrohung für Benutzer:innen darstellen können, aber diese PDFs enthielten dann Malware", sagt Giada Stivala. Diese Dateien wurden in der Regel per E-Mail an Benutzer:innen verschickt und führten, wenn sie geöffnet wurden, Programmcode aus, der dann das jeweilige Gerät infizierte. Da diese Art von Angriffen bereits bekannt und erforscht ist, sind Malware-Scanner inzwischen recht gut darin, sie als solche zu erkennen und Benutzer:innen zu warnen. Clickbait-PDFs enthalten jedoch keine Malware. Vom Code her sind sie nicht von harmlosen PDF-Dateien, wie zum Beispiel einem echten Steuererklärungsformular, zu unterscheiden. Da normale Erkennungsmechanismen nicht in der Lage sind, die bösartige Absicht hinter den Dateien zu erkennen, werden diese ganz normal in Suchergebnissen aufgeführt. Benutzer:innen, die dann nach einer bestimmten Datei suchen, zum Beispiel einer Bedienungsanleitung für einen Drucker, könnten so bei einer einfachen Suchanfrage auf ein Clickbait-PDF stoßen, erklärt Stivala.
Darauf ausgelegt, „Klicks zu stehlen"
Giada Stivala und ihre Kolleg:innen wurden ursprünglich von einem Industriepartner angesprochen, der mit großen Mengen an Kundendaten arbeitet und dessen Scanner plötzlich einen Anstieg an PDF-Dateien registriert hatten. Da diese PDFs keine Schadsoftware enthielten, war ihr eigentlicher Zweck unklar. Bei der Untersuchung dieser Dateien stieß Stivala auf eine Fülle unterschiedlicher Betrugsversuche: PDFs, die sich als Videoplayer ausgeben, um die neuesten Filme kostenlos zu streamen oder solche, die sogar kostenlose Bitcoin mit nur einem Klick versprechen. Die Dateien sind darauf ausgelegt, „Ihren Klick zu stehlen", wie Stivala es ausdrückt. Die Betrüger machen sich die Tatsache zunutze, dass alle gängigen Browser heutzutage über integrierte PDF-Unterstützung verfügen, so dass sich eine PDF-Datei ähnlich wie eine normale Webseite öffnet. Ahnungslose Benutzer:innen erkennen möglicherweise nicht einmal den Unterschied zwischen der Anzeige einer PDF-Datei und einer Webseite in ihrem Browser. Ein einziger Klick auf eine dieser PDFs reicht aus, um die Benutzer auf so genannte "Angriffswebseiten" zu führen, die ihre Geräte und Daten gefährden können. Diese Seiten ähneln dann dem, was Benutzer:innen bei einem herkömmlichen Phishing-Versuch per E-Mail vorfinden würden. Die Herausforderung für Betrüger:innen besteht nämlich oft darin, Benutzer:innen überhaupt erst dazu zu bringen, ihre bösartigen Webseiten aufzurufen. „In gewisser Weise ändert sich der Teil des Angriffs nach der PDF-Datei nicht. Aber die PDF-Datei selbst stellt eine Neuheit dar, weil es schwieriger ist, sich dagegen zu schützen", sagt Stivala.
SEO-Poisoning nährt Clickbaiting-Angriffe
Um sicher zu stellen, dass tatsächlich jemand auf ihre Clickbait-PDFs stößt, wenden Betrüger:innen eine Methode an, die als "Black Hat Search Engine Optimization (SEO)" oder "SEO Poisoning" bezeichnet wird. „Suchmaschinenoptimierung ist nicht per se schlecht. Sie kann aus völlig ethischen und legalen Gründen eingesetzt werden", sagt Stivala. Es handelt sich im Wesentlichen um eine Methode zur Optimierung einer Webseite, um sicherzustellen, dass sie in Suchergebnissen weit oben platziert wird. Ein Unternehmen kann dies zum Beispiel aus Marketinggründen tun. Beim SEO-Poisoning werden jedoch bösartige Webseiten so optimiert, dass sie in den Suchergebnissen höher platziert werden, obwohl sie für die Suchanfrage der Nutzer:innen entweder irrelevant oder für dessen Geräte geradezu gefährlich sind. Das funktioniert zum Beispiel, indem man eine Menge Schlüsselwörter in eine Seite einbaut. Wenn Nutzer:innen dann nach einer Seite suchen, auf der sie einen Film kostenlos streamen können, wird die Seite durch die Aufnahme von Schlüsselwörtern wie dem Namen des Films höher eingestuft. Noch schlimmer ist allerdings, dass es den Betrüger:innen gelang, ihre PDFs auf die Server legitimer Websites hochzuladen, die zwar unzureichend gesichert waren, aber einen guten Ruf hatten: zum Beispiel die Seiten lokaler Unternehmen oder Schulen. Da diese Seiten nicht bösartig zu sein scheinen, stuften die Suchmaschinen diese Dateien in den Suchergebnissen höher ein. Und da Malware-Scanner die Dateien nicht als bösartig einstuften, wurden die betroffenen Website-Betreiber:innen in den meisten Fällen nicht alarmiert. „Sie wussten nicht einmal, dass sich diese Dateien auf ihren Servern befanden, bevor wir Anti-Phishing-Organisationen und Website-Betreiber:innen benachrichtigten", sagt Stivala.
Aufmerksamkeit ist der beste Schutz
Nachdem das Forschungsteam des CISPA diese Einrichtungen benachrichtigt hat, scheint sich die Lage verbessert zu haben und es werden weniger dieser Clickbait-PDFs in Suchergebnissen angezeigt. Giada Stivala arbeitet derzeit an einer Folgestudie, um festzustellen, wie groß diese Bedrohung noch ist. Doch wie können sich die Nutzer:innen bis dahin am besten vor dieser Art von Angriffen schützen? „Es gibt kein Patentrezept", sagt Stivala. „Diese Angriffe nutzen das schwächste Glied der Kette aus, und das ist in der Regel der Mensch." Benutzer:innen können damit beginnen, auf winzige Hinweise zu achten, zum Beispiel, wenn die URL im Browser eine PDF-Datei anzeigt, wo eigentlich eine normale Webseite sein sollte. Und ganz allgemein sollten sich Benutzer:innen darüber bewusst sein, dass es sich wahrscheinlich um einen Phishing-Betrug handelt, wenn etwas zu schön erscheint, um wahr zu sein. Zum Beispiel wenn behauptet wird, die neuesten Filme kostenlos anzubieten oder Bitcoin verschenkt werden sollen. Das gilt sowohl für Webseiten als auch für PDFs.
