26. April 2007

Damit wird es einfach, eine Anzeige scheinbar auf ein vertrauenswürdiges Ziel zu lenken. Tatsächlich aber wird ein Link verwendet, der zunächst auf eine Site führt, die wiederum eine bekannte Sicherheitslücke des Microsoft Internet Explorers ausnutzt. Dieses Problem wird noch dadurch verschärft, dass bei der Einblendung von Adwords-Anzeigen zumindest teilweise die Darstellung des Ziel-URLs (unten links im Browser) unterbleibt.

Das wahre Ziel einer Anzeige wird also von Google selbst verschleiert. So kann es in einem von den Exploit Prevention Labs genannten Beispiel kommen, dass ein Anwender nach der Verbraucherschutz-Organisation Better Business Bureau (BBB) sucht und tatsächlich bei Google eine Anzeige eingeblendet wird, die scheinbar auf die BBB-Site verweist.

Tatsächlich aber macht der Browser des Anwender zunächst einen kleinen "Umweg", bei dem eine Hintertür auf dem PC eingerichtet wird sowie ein Post-Logger, der Anwendernamen und Passwörter von Web Sites aufzeichnet. Und das vermutlich eben auch für den Zugriff auf die Adwords-Konten, auf denen dann wiederum neue Kampagnen der Betrüger eingerichtet werden.

Somit können diese Opfer doppelt geschädigt werden: Erstens durch den Missbrauch der Zugangsdaten von Bankkonten oder Online-Händlern und zweitens durch die Schaltung teuerer Adwords-Kampagnen.

Ein betroffener Adwords-Kunde gibt dazu an, dass auf seinem Konto von den Betrügern Kampagnen geschaltet wurden, die zu siebenstelligen Monatsrechnungen geführt hätten. Dem wird zwar vermutlich durch beispielsweise das Limit der Kreditkarte ein Riegel vorgeschoben. Aber auch dieser Schaden kann schmerzhaft sein.