Nach­dem ich in die­sem (bzw. letz­tem) Jahr weder Zeit noch Lust für die übli­chen Fei­er­tags­wün­sche hatte:

Erst­mals noch eine schöne (Rest-)Weihnachtszeit und ein Fro­hes und erfolg­rei­ches Jahr 2009!

Weni­ger erfreu­lich sind die Infos, die mir ein Kol­lege freund­li­cher­weise zukom­men ließ:

Bei einer nor­ma­len Google-Suchanfrage zum Key­word “AdWords” stieß er vor ein paar Tagen auf fol­gende Anzeigen:

Ent­schei­dend ist das dritte Ergeb­nis (bzw. das Erste in der rech­ten Spalte) der Anzei­gen. Hier wird mit einer Anzeige-URL gewor­ben, die auf den ers­ten Blick wie eine offi­zi­elle Google-Domain wirkt. “adwords-google.com” scheint dort zu ste­hen, genauer betrach­tet lau­tet diese aber “advvords-google.com”, also mit zwei “v” anstelle eines “w” geschrie­ben. In der Google-Standard-Schrift Arial erkennt man prak­tisch kei­nen Unter­schied, der Power-User mag sich viel­leicht noch kurz dar­über wun­dern, warum der Begriff “AdWords” nur in der Über­schrift gehigh­ligh­ted ist, in der Anzeige-URL aber nur der Wort­be­stand­teil “ad”. Auch die Ziel­seite wirkt rela­tiv unscheinbar:

Prak­tisch 1:1 der eng­lisch­spra­chi­gen AdWords-Login-Seite nach­emp­fun­den. Mit einem Unter­schied:
Diese Seite (bzw. etwas unge­wöhn­li­che Domain) gehört weder zu AdWords, noch zu Google, son­dern ist ein geschickt getarn­ter Phishing-Versuch, um an die Login-Daten von AdWords-Kunden zu gelangen.

Mitt­ler­weile ist die Domain nicht mehr erreich­bar (war ohne­hin WHOIS Pro­tec­ted), und auch diese oder ähnli­che Anzei­gen tau­chen nicht mehr in den Such­er­geb­nis­sen auf. Den­noch war die gefähr­li­che Phishing-Anzeige über zumin­dest ein paar Stun­den erreichbar.

Bei Google selbst hielt man es offen­bar jedoch nicht für nötig, seine Kun­den über die­sen gefähr­li­chen Phishing-Versuch zu infor­mie­ren. Es ist ja auch pein­lich, wenn sich sol­che Anzei­gen pro­blem­los in das AdWords-System ein­spie­len las­sen, und die eige­nen so oft pro­kla­mier­ten Qualitäts-Richtlinien sich als Schall und Rauch her­aus­stel­len wür­den.
Daß soet­was mög­lich ist war mir schon lange bekannt, zu löch­rig ist das AdWords-System, zu leicht las­sen sich die wäss­ri­gen Sicher­heits­me­cha­nis­men umge­hen. Es war nur eine Frage der Zeit, bis sich Kri­mi­nelle die­ser Sicher­heits­lö­cher bedie­nen um Kasse zu machen, gedeckt von der bekannt arro­gan­ten und restrik­ti­ven Infor­ma­ti­ons­po­li­tik sei­tens Google.
Dabei wäre es ein Leich­tes, sol­che offen­sicht­li­chen Betrugs-Versuche zu stop­pen, Stop­words wie wich­tige Ver­tip­per oder die Her­an­zie­hung der ohne­hin schon vor­han­de­nen Aus­wer­tung der Ziel­seite. Auch eine offi­zi­elle Warn­mel­dung ist bes­ser als ein Echo aus der Presse oder Blo­go­sphäre — selbst Micro­soft hat das inzwi­schen erkannt.

Nach­dem es sich um eine eng­lisch­spra­chige Anzeige und Ziel­seite han­delte, kann man davon aus­ge­hen, daß diese Anzeige prak­tisch welt­weit geschal­tet wurde und auch erschien. Ich möchte gar nicht wis­sen, wie­viele ahnungs­lose AdWords-Kunden hier ihre sen­si­blen Login-Daten preis­ga­ben im Ver­trauen auf ein ver­meint­lich siche­res Sys­tem. Vom finan­zi­el­len Scha­den ein­mal abge­se­hen. Nach­dem Google nun auch kaum nach­prü­fen kann, wel­che Kun­den davon betrof­fen waren, und man keine offi­zi­elle War­nung her­aus­gab, dürf­ten viele immer noch nicht wis­sen, daß sich mög­li­cher­weise Fremde auf Ihre Kos­ten bei AdWords bedient haben oder immer noch bedie­nen. Will­kom­men in der wund­ba­ren Monopol-Welt von Google…

Im Zwei­fels­fall: umge­hend Pass­wort ändern! Und in Zukunft: Augen auf beim AdWords-Kauf
M. W. hat sich an den Sicher­heits­me­cha­nis­men nichts geän­dert, und sol­che Phishing-Versuche könn­ten prak­tisch jeder­zeit wie­der­holt werden.

Ich hoffe von euch hat’s kei­nen erwischt und ihr habt einen wei­ter­hin erfreu­li­chen Start ins Neue Jahr
Gebt die Info viel­leicht auch wei­ter an Kol­le­gen, Freunde und Bekannte, die auch AdWords betrei­ben, ins­be­son­dere an die eher uner­fah­re­nen User.

Popu­la­rity: 13%