Hijacking

Was ist Hijacking?

Unter Hijacking versteht der IT-Fachmann allgemein die Übernahme von Systemelementen der eigenen IT-Infrastruktur, die durch gezielte netzwerkbasierte Hackerangriffe herbeigeführt wird. Hierbei verliert der Besitzer teilweise oder vollständig die Kontrolle über das jeweilige Element. Ein typisches Beispiel ist das sogenannte Browser-Hijacking, bei dem der Webbrowser durch eingeschleusten Schadcode sein Verhalten verändert: Webseiten-Aufrufe werden umgeleitet oder Webseiten-Darstellungen werden modifiziert. Weitere Formen des Hijackings sind u. a. URL-, DNS- und TCP-Hijacking, bei denen die Netzwerk-Kommunikation im Internet durch Hacker verändert wird. Im ursprünglichen Wortsinne bedeutet Hijacking “Entführung”, wobei hier meist die kriminelle Übernahme von Flugzeugen gemeint ist.

Browser-Hijacking

Bei dieser Form des Hijackings werden durch eine kleine Schadsoftware (Malware) auf allen installierten Browsern die Standardeinstellungen überschrieben. Dies fällt z. B. dann auf, wenn beim Start des Browsers eine veränderte Startseite zu sehen ist. Dies ist meist eine Webseite des Hijackers, auf welcher der Browser möglicherweise weitere Infektionen durch Malware und Trojaner erleidet. Die ursprüngliche Schadsoftware gelangt meist durch Downloads von vermeintlich kostenloser Software aus unsicheren Quellen auf den Computer.

Weitere Auffälligkeiten eines gekaperten Browsers sind die Suchergebnisse von Suchmaschinen. So wird man bei Suchanfragen bei Bing, Google, Yahoo usw. auf Suchmaschinenseiten des Hijackers umgeleitet, die äußerlich sehr ähnlich gestaltet sind wie die Originale. Die Suchergebnisse und das Ranking sind jedoch völlig andere und verweisen wiederum häufig auf mit Schadcode infizierte Webseiten.

Die Reparatur von gekaperten Browsern erweist sich häufig als sehr schwierig, da sich der entsprechende Schadcode meist sehr gut in den Tiefen und noch dazu an vielen Stellen des Betriebssystems versteckt.

Costumer-Hijacking

Eine Unterkategorie des Browser-Hijackings bildet das Customer-Hijacking. Dies beruht auf eine illegale Form des invasiven Marketings. Durch Schadcode auf dem PC wird der User automatisch auf Webseiten umgeleitet, sobald er nach bestimmten Produkten recherchiert. Durch PopUps oder eingeblendete Landingpages wird der User dazu animiert, diese Webseite zu besuchen und dort Waren zu kaufen.

Content-Hijacking

Beim Content-Hijacking übernimmt ein Webseitenbetreiber Inhalte von Webseiten anderer Anbieter. Dieses Vorgehen ist ein Mittel, um Mitbewerber beim Suchmaschinen-Ranking Schaden zuzufügen und sich selbst rechtswidrige Vorteile zu verschaffen. Der Angreifer kopiert Inhalte seines Mitbewerbers auf seine eigene Website; durch gezielte SEO-Maßnahmen wird erreicht, dass die ursprüngliche Website wegen Duplicate Content seitens der Suchmaschinen abgestraft wird. Die Original-Webseite erhält dadurch weniger Besucher, was z. B. im Fall eines Online-Shops zu Umsatzeinbußen führen kann.

Domain-Hijacking

Bei dieser Form des Hijackings übernimmt ein Angreifer bei einem Registrar eine fremde Domain, indem er sich in betrügerischer Absicht durch Identitätsdiebstahl als rechtmäßiger Inhaber der Domain ausgibt. Anschließend leitet er die URL-Anfragen an diese Domain auf sein eigenes Webangebot um. Der Hijacker hat somit die volle Kontrolle über die Domain und kann frei über Inhalte oder Redirecting via HTTP-Statuscodes verfügen. In aller Regel handeln Domain-Registrare bei solchen Betrügereien schnell und stellen den ursprünglichen Zustand wieder her. Mitunter wird ein solcher Domain-Diebstahl aber auch erst durch Sicherheitsschwachstellen beim Registrar ermöglicht. So ist es vor einigen Jahren einem Hacker gelungen, die Domain google.com zu übernehmen, um kurzzeitig statt der gewünschten Suchmaschine eine fragwürdige Webseite anzeigen zu lassen. Dies wurde ermöglicht durch einen Fehler in einer automatisierten Registrierungsprozedur.

URL-Hijacking

Hier werden URLs, deren Webinhalte offensichtlich ein hohes Pageranking haben, mittels eines Hackerangriffs auf andere Webseiten umgeleitet (siehe Statuscode 302 Found) mit der Folge, dass die URL aus den Suchmaschinen gelöscht wird. Stattdessen erscheint ab sofort das neue Adressziel mit gutem Ranking bei Google & Co.

TCP-Hijacking

Beim TCP-Hijacking werden nicht etwa IP-Adressen gestohlen, sondern es handelt sich um eine erfolgreiche Übernahme (oder auch Unterbrechung) einer bestehenden TCP-Verbindung. Bei dieser Methode werden auch häufig Spoofing-Techniken (Vortäuschen von Identitäten im Netzwerk) verwendet, um die Verbindung zu übernehmen. Dies ist eine typische Form des Man-in-the-Middle-Angriffs. Die eine Seite der TCP-Verbindung wird entweder auf ein falsches Ziel umgeleitet oder aber auf das tatsächlich gewünschte Ziel, wobei der Traffic über einen Rechner des Angreifers geleitet wird, sodass dieser den gesamten Datenverkehr beobachten, mitschneiden, auswerten oder ggf. modifizieren kann. Diese Form des Hijackings kommt häufig bei Phishing-Attacken zum Einsatz.

DNS-Hijacking

Ein DNS-Server liefert die IP-Adresse zu einer angefragten Domain. Welcher DNS-Server genutzt werden soll (meist ein DNS-Server des jeweiligen Internetproviders), ist in der Netzwerkkonfiguration des Nutzer-PCs hinterlegt. Durch einen gezielten Hackerangriff wird die DNS-Konfiguration dergestalt verändert, dass der Rechner künftig auf den DNS-Server eines Hackers zugreift. Dieser liefert dann veränderte IP-Adressen, sodass der User nicht mehr das gewünschte Ziel erreicht, sondern auf einen anderen Webserver geleitet wird. Dieses Verfahren wird in einigen totalitären Staaten verwendet, um unliebsame Webseiten unerreichbar zu machen (in Staaten, in denen Twitter, YouTube usw. nicht gerne gesehen werden, wird man z. B. auf eine Info-Seite der Regierung geleitet – veranlasst durch entsprechende Einträge des staatlich reglementierten DNS-Servers).


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte