Neue Tricks: Das kann passieren, wenn eine Website gehackt wird

Cookie-Hinweise auf gehackter Website als Betrugsmasche

Durch das Inkrafttreten der Datenschutz-Grundverordnung DSGVO hat die Anzahl der Cookie-Hinweise auf Websites weiter zugenommen. Wenige Websites kommen ohne sie aus. Nicht wenige Nutzer klicken diese unnötig Bildschirmfläche raubenden Hinweise sofort weg. Ist eine Website gehackt, führt der Klick zu unerwarteten Ergebnissen, beispielsweise zu Seiten mit irrelevanter oder unerwünschter Werbung. Kennen Sie den Effekt? Sie klicken auf einen Link oder einen Button im Web und landen zunächst bei einem Inhalt, den Sie nicht angefordert hatten. Erst der zweite Klick führt zum gewünschten Ergebnis.

Der Trick: Über dem sichtbaren Inhalt, in diesem Fall dem Cookie-Hinweis, den Sie wegklicken wollten, liegt ein weiteres Element. Da dieses missbräuchlich transparent - durchsichtig - gemacht wurde, können Sie es nicht sehen und klicken darauf.

Funktionsweise von Clickjacking (Quelle: Malwarebytes)

Ursächlich kann ein Missbrauch durch den Server-Betreiber sein - oder die Website hatte Sicherheitslücken, ist gehackt. Heraus kommt in beiden Fällen das Gleiche: Ihr Klick und damit Sie als Nutzer wurden abgepasst und entführt. Im besten Fall dient der Betrug dazu, künstlich einen Klick auf eine Werbeanzeige zu generieren und damit Geld zu verdienen. Im schlimmsten Fall gelangen Sie direkt auf eine Webseite, die Schadcode verteilt und damit Ihren Browser oder Rechner mit Viren infiziert.

Gefälschtes Captcha auf gehackter Website

Mit einem Captcha schützt sich der Betreiber einer Website vor automatischen Skripten. Solche Skripte versuchen beispielsweise, Passwörter durch eine Vielzahl von Loginversuchen zu hacken. Andere Skripte füllen Kontaktformulare, Kommentarfelder oder Newsletter-Anmeldungen mit sinnlosen oder falschen Daten aus und machen uns damit allen das Leben schwer. Solche Skripte werden "Bots" genannt. Sie sind verantwortlich für den Einzug von Captchas Einzug im Web. Captchas sind diese kleinen Felder, die man anklicken muss, um zu "beweisen", dass man ein Mensch ist. Verständlich und sinnvoll, dass es diese Captchas gibt. Sie sind für den Betreiber eines Blog oder einer Webseite eine große Hilfe.

Browser Notifications wider Willen

Fake Captchas sind einer der neuesten Tricks zur Überlistung argloser Internetnutzer. Der Ablauf: Ist eine Website gehackt, wird dem Besucher ein Element angezeigt, das wie ein Captcha aussieht. Tatsächlich dient dieses Fake Captcha nicht der Abwehr von Skripten oder Bots. Vielmehr handelt es sich um ein sogenanntes Browser Notification Optin. Eingeschleust wurde es im aktuellen Fall durch einen WordPress Hack.

Gefälschtes Captcha

Was das ist? Schnell erklärt: Sie kennen die eingeblendete Frage, ob eine Website Ihnen künftig Benachrichtigungen anzeigen darf. Bejaht, erhalten Sie während des Surfens Benachrichtigungen über neue Inhalte der Websites, die Sie erlaubt haben. Nutzer, denen das ein paar Mal passiert ist, werden in der Regel künftig dankend ablehnen. An dieser Stelle greift der Trick. Klicken Sie das gefälschte Captcha, erteilen Sie damit einer Website die Berechtigung, Ihnen auch in Zukunft solche Benachrichtigungen auf den Bildschirm zu schicken.

Hilfe: Mehr Sicherheit für Webmaster und Website-Besucher

Folgende Verhaltensregeln können das Web sicherer machen. Um zu verhindern, dass Webmaster zu ratlosen Eigentümern gehackter Websites und Sie als Internet-Surfer zum Opfer einer gehackten Website werden.

Beide Seiten sollten folgende Tipps für mehr Sicherheit beachten:

5 Verhaltensregeln für Website-Besucher

1. Konfrontiert Sie eine Website mit unerwarteten Popups oder Aufforderungen, ignorieren Sie diese. Vermeiden Sie den Klick auf Schaltflächen, die unerwartet auftauchen.
2. Nicht jeder Cookie-Hinweis muss mit OK bestätigt werden. Es ist bequemer und sicherer, wenn Sie Cookie-Hinweise geflissentlich ignorieren.
3. Sie haben Spannendes gefunden - eine aktuelle Meldung? Die Website, die sich öffnet, überflutet Ihren Bildschirm direkt mit zahlreichen Bannern, Balken, Popups und Geblinke? Direkt schließen. Dann legt der Betreiber dieser Website womöglich mehr Wert auf schnelle Werbeumsätze als auf den Nutzen für die Website-Besucher.
4. Moderne Browser fragen im Hintergrund Sicherheits-Datenbanken ab. Ob Firefox oder Chrome: Ist bekannt, dass eine Website gehackt wurde, werden Sie gewarnt. Setzen Sie sich nicht über die Warnung hinweg.
5. Unsicher? Es existieren Datenbanken, mit denen Sie den letzten bekannten Sicherheits-Status beliebiger Websites abfragen können. Dazu gehören der Google Safe Browsing Status und VirusTotal , welche die Ergebnisse zahlreicher Malware Labs zusammen tragen. Neben URLs lassen sich dort Dateien auf Malware überprüfen, indem man sie hochlädt.

5 Tipps für Website-Betreiber

1. Binden Sie wenige externe Inhalte auf Ihrer Website ein, ob CSS, Schriftarten oder Javascript. Empfehlenswert ist, die zur Funktion Ihrer Website notwendigen Skripte lokal auf Ihrem eigenen Webserver zu hosten. Das ist datensparsamer und vor allem sicherer als das Nachladen von externen Quellen.
2. Installieren Sie eine Web Application Firewall sowie einen serverseitigen Malware Scanner, der Ihre Website regelmäßig überprüft.
3. Registrieren Sie Ihre Website bei Google Search Console und beachten Sie alle Benachrichtigungen, die Sie von dort erhalten. Damit erfahren Sie frühzeitig von Problemen.
4. Vermeiden Sie die Installation zahlreicher und vor allem dubioser Plugins in Ihrem Content Management System. Ziehen Sie bei der Auswahl von Plugins die offiziellen Repositories zu Ihrem Content Management System und Erfahrungswerte aus der Community in Betracht.