Domain wurde unerlaubt gespiegelt – Inhaltsdiebstahl – Phishing

In letzter Zeit gab es hier keine neuen Artikel, weil unsere Domain von einer Hackerseite gespiegelt worden war. Unter einem anderen Namen, waren alle Seiten inklusive des Blogs erreichbar. Bei jedem Aufruf einer Unterseite aktualisierte die fremde Seite die jeweiligen Inhalte.

Schloss und https, meist grün angezeigt, verhindern phishing - gespiegelte Seiten Die Applikation liegt auf appspot.com, gehört also zum Google-Netzwerk. Die Anwendung kommt laut Googlesuche auf rund 120.000 Seiten, die gespiegelt werden. Die Ergebnisse lauten alle auf appname.appspot.com/www.gespiegelteDomain.tld

Spiegelseiten in der Googlesuche

Bemerkt habe ich die Übernahme, beim Prüfen, wie die eigenen Seiten und das Blog zu für uns wichtigen Suchbegriffen gelistet sind. Da die Hauptdomain appspot.com sehr viel größer ist und die auch die spiegelnde Domain mit deutlich über 100.000 Webseiten natürlich mehr Inhalt hat, als eine einzelne Domain, bewertete Google sie als die wichtige, zuerst zu listende Domain. Die gespiegelte Kopie tauchte somit vor den Ergebnissen zu unserer Seite auf.

Prüfen was wohl das Ziel ist

Spiegeln einer Webseite ist ja manchmal durchaus erwünscht (siehe wikipedia Spiegelserver für wikileaks), aber für uns war das ganz eindeutig nicht der Fall.

gespiegelte Seite im Google-Cache

Zu prüfen, was die Ersteller der Kopien planen, gestaltete sich schwierig. Offenbar übertreiben sie es mit der Anzahl an Spiegelseiten, sehr häufig sieht man nicht die gespiegelten Seiten, sondern nur das Ergebnis: „503 Error Over Quota This application is temporarily over its serving quota. Please try again later.“.

Werbung konnte ich bisher auch keine auf den Seiten finden, das ist ja sonst häufig der Fall, wenn Seiten gespiegelt werden, dass die Ersteller die Seiten neu mit Werbung ausliefern und daran verdienen.

Vorsicht! Phishing möglich

Wir vermuteSo muss unsere Seite aussehen, https://www.miradlo.den Phishing, denn die Kopien enthalten ebenfalls die Login-Seiten der gespiegelten Seiten. Wer sich also dort einloggt und nicht bemerkt, dass er nicht auf der Seite ist, die an sich gewünscht war, gibt dort seine Daten ein und die Ersteller der Spiegelseiten kommen so zumindest an diese Daten. Häufig setzen Nutzer ja an vielen Stellen dieselben Zugangsdaten, so kann es leicht dazu kommen, dass mit den Daten einer gespiegelten Seite der Zugang zu vielen weiteren Seiten eines Nutzers möglich ist.

Jeder kann selbst bei unseren Seiten anhand des gesicherten https, dem damit verbundenen Schloss, meist grün angezeigt und der Adresse im Original https://www.miradlo.de, feststellen, ob es wirklich die richtige Seite ist.

Diese Regel sollte man bei allen Seiten befolgen, bei denen man eigene Zugangsdaten eingibt. Jede Webseite kann kopiert werden und optisch eben genau so aussehen, wie das Original. Nur die Adressleiste zeigt zuverlässig, auf welcher Seite man sich befindet.

Lösung um das Spiegeln zu verhindern

Direkt nachdem ich die Ergebnisse sah, schrieb ich einen Abusereport für diese Anwendung an Google. Mir wurde auch mehrfach umgehend geantwortet.

Zunächst hieß es, sie müssten es erst einmal selbst untersuchen. Bei meiner nächsten Nachfrage schrieb man mir, der Entwickler habe jetzt Zeit zu erklären, warum er die Seiten spiegelte. Zuletzt war die Antwort, der Entwickler habe nicht geantwortet, es sei jetzt eingeleitet, die Anwendung zu entfernen.

Stand heute ist die Anwendung noch immer erreichbar, seit meiner ersten Anfrage sind es jetzt drei Wochen. Ich hatte gehofft, die Anwendung würde umgehend gesperrt.

Da das nicht der Fall war, brauchten wir eine eigene Lösung. Wir haben ein Skript eingesetzt, welches verhindert, dass unsere Seiteninhalte geladen werden, wenn sie auf einer anderen Domain angezeigt werden sollen.

Beim Testen was auf der gespiegelten Kopie passiert, war sofort klar, dass jede Änderung dort unmittelbar übernommen wurde. Ein Skript welches etwas verhindert ist ja keine Garantie. Jede Lösung, die wir nutzen, kann prinzipiell auch wieder umgangen werden. Deshalb haben wir zunächst keine neuen Inhalte mehr erstellt. Ich wollte nicht riskieren, dass die Kopie womöglich so weit vorne in den Suchergebnissen erscheint, dass zu befürchten wäre, dass Kunden versehentlich die Seite finden. Es kann zwar im Moment nichts passieren, die Seite schaltet direkt zu unserem Original, aber zumindest bleibt ein kurzes Flackern bis die Umleitung steht.

Mittlerweile ist die Kopie in den Suchergebnissen wieder klar hinter unseren Originalseiten. Google will jetzt auch reagieren, deshalb kann ich jetzt wieder auch wieder bloggen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Beim Kommentieren werden Daten gespeichert, bitte die Datenschutzerklärung beachten.