Nachdem ich in diesem (bzw. letztem) Jahr weder Zeit noch Lust für die üblichen Feiertagswünsche hatte:
Erstmals noch eine schöne (Rest-)Weihnachtszeit und ein Frohes und erfolgreiches Jahr 2009!
Weniger erfreulich sind die Infos, die mir ein Kollege freundlicherweise zukommen ließ:
Bei einer normalen Google-Suchanfrage zum Keyword “AdWords” stieß er vor ein paar Tagen auf folgende Anzeigen:
Entscheidend ist das dritte Ergebnis (bzw. das Erste in der rechten Spalte) der Anzeigen. Hier wird mit einer Anzeige-URL geworben, die auf den ersten Blick wie eine offizielle Google-Domain wirkt. “adwords-google.com” scheint dort zu stehen, genauer betrachtet lautet diese aber “advvords-google.com”, also mit zwei “v” anstelle eines “w” geschrieben. In der Google-Standard-Schrift Arial erkennt man praktisch keinen Unterschied, der Power-User mag sich vielleicht noch kurz darüber wundern, warum der Begriff “AdWords” nur in der Überschrift gehighlighted ist, in der Anzeige-URL aber nur der Wortbestandteil “ad”. Auch die Zielseite wirkt relativ unscheinbar:
Praktisch 1:1 der englischsprachigen AdWords-Login-Seite nachempfunden. Mit einem Unterschied:
Diese Seite (bzw. etwas ungewöhnliche Domain) gehört weder zu AdWords, noch zu Google, sondern ist ein geschickt getarnter Phishing-Versuch, um an die Login-Daten von AdWords-Kunden zu gelangen.
Mittlerweile ist die Domain nicht mehr erreichbar (war ohnehin WHOIS Protected), und auch diese oder ähnliche Anzeigen tauchen nicht mehr in den Suchergebnissen auf. Dennoch war die gefährliche Phishing-Anzeige über zumindest ein paar Stunden erreichbar.
Bei Google selbst hielt man es offenbar jedoch nicht für nötig, seine Kunden über diesen gefährlichen Phishing-Versuch zu informieren. Es ist ja auch peinlich, wenn sich solche Anzeigen problemlos in das AdWords-System einspielen lassen, und die eigenen so oft proklamierten Qualitäts-Richtlinien sich als Schall und Rauch herausstellen würden.
Daß soetwas möglich ist war mir schon lange bekannt, zu löchrig ist das AdWords-System, zu leicht lassen sich die wässrigen Sicherheitsmechanismen umgehen. Es war nur eine Frage der Zeit, bis sich Kriminelle dieser Sicherheitslöcher bedienen um Kasse zu machen, gedeckt von der bekannt arroganten und restriktiven Informationspolitik seitens Google.
Dabei wäre es ein Leichtes, solche offensichtlichen Betrugs-Versuche zu stoppen, Stopwords wie wichtige Vertipper oder die Heranziehung der ohnehin schon vorhandenen Auswertung der Zielseite. Auch eine offizielle Warnmeldung ist besser als ein Echo aus der Presse oder Blogosphäre — selbst Microsoft hat das inzwischen erkannt.
Nachdem es sich um eine englischsprachige Anzeige und Zielseite handelte, kann man davon ausgehen, daß diese Anzeige praktisch weltweit geschaltet wurde und auch erschien. Ich möchte gar nicht wissen, wieviele ahnungslose AdWords-Kunden hier ihre sensiblen Login-Daten preisgaben im Vertrauen auf ein vermeintlich sicheres System. Vom finanziellen Schaden einmal abgesehen. Nachdem Google nun auch kaum nachprüfen kann, welche Kunden davon betroffen waren, und man keine offizielle Warnung herausgab, dürften viele immer noch nicht wissen, daß sich möglicherweise Fremde auf Ihre Kosten bei AdWords bedient haben oder immer noch bedienen. Willkommen in der wundbaren Monopol-Welt von Google…
Im Zweifelsfall: umgehend Passwort ändern! Und in Zukunft: Augen auf beim AdWords-Kauf 
M. W. hat sich an den Sicherheitsmechanismen nichts geändert, und solche Phishing-Versuche könnten praktisch jederzeit wiederholt werden.
Ich hoffe von euch hat’s keinen erwischt und ihr habt einen weiterhin erfreulichen Start ins Neue Jahr 
Gebt die Info vielleicht auch weiter an Kollegen, Freunde und Bekannte, die auch AdWords betreiben, insbesondere an die eher unerfahrenen User.
a WordPress rating system
Popularity: 11%
{ 8 Kommentare… lies sie unten oder füge einen hinzu }
Hammer,
finde nur komisch das Adwords selbst nicht ein Filtersystem für solche Domains besitzt.
Es ist wirklich kriminell, wie wenig sich Google um die Sicherheit seiner User schert! Da geht es nur um Marktanteile, und die vertragen nunmal keine schlechte Presse. Zum Glück dient das Internet ja selbst dazu, auf bestehende Sicherheitslücken zumindest aufmerksam zu machen …
Krasse Sache, aber es hätte auch schon beim Laden der Seite aufallen müssen (vorrausgesetzt man ist nicht komplett neu bei Adwords)…
Hat sich schon jemand die Mühe gemacht herauszufinden wem diese Seite gehört?
Wir schreiben das Jahr des Herrn 2009 und am 30. November kommt scheinbar die nächste Google-AdWords-Phishing-Salve übers Netz. Heute haben auch wir diese E-Mail erhalten, aber als Hoster ist uns der versteckt “falsche” Link natürlich sofort aufgefallen. Keep on watchin’
Krasse Sache !!!!!
Danke für den Tipp. Bei Mail´s selbstredend. Aber bei Adword´s. Verry gefährlich. Gut ich gehe nun nicht ausgerechnet über Adword´s in meine Accounts. Aber wer weiss das so genau manchmal im Leben.
Also Klasse Hinweiss
Danke
Das Thema hat Google anscheinend gut in den Griff bekommen. Hoffe damals sind nicht zu viele darauf eingegangen. Momentan ist ja eher Facebook und PayPal Angriffsziel, leider.
Der Beitrag ist zwar schon etwas älter, aber generell könnte das ja mit den internen Filterregeln von FireFox, Chrome, Safari, Opera schnell gelöst werden (Achtung: Pishing Seite). Mann müsste hier nur die Reaktionszeit erhöhen. Und das ginge schnell. Was ich alleine schon täglich an E-Mails als SPAM markiere (Kaspersky), so Daten könnten auch dort einfliessen (und man hat Millionen kostenlose Mitarbeiter
)… Verstehe auch nicht, warum man nicht “schnell” sowas sperren kann. Wenn einer eine MP3 zum download anbietet geht ja auch plötzlich alles ganz schnell…
Viele Grüße
Trotzdem sollte man gerade einem Adwords-Kunden zutrauen URL`s lesen und beurteilen zu können. Ich bin immer der Meinung, das Leuten, die auf Pishing reinfallen ruhig ihr ganzes Geld weggenommen werden sollte. Im Straßenverkehr ist ja auch jeder so vorsichtig um sein Fahrzeug nicht beschädigen – warum geht man dann im Internet mit Klicks so leichtfertig um..?
{ 3 Trackbacks }