Der Pharma Hack

Shownotes

Stell dir vor, du bist ein Kleinunternehmer, der stolz seine WordPress-Website betreibt – eine Plattform, die täglich deine Kunden erreicht und dein Geschäft ankurbelt. Eines Morgens stellst du plötzlich fest, dass deine Website unerklärliche Weiterleitungen zu Online-Apotheken anzeigt und in den Suchergebnissen dubiose Titel erscheinen, die auf pharmazeutische Produkte wie Viagra oder Xanax hinweisen.

Genau das ist Anna passiert, einer engagierten Kleinunternehmerin, die sich in ihrer Branche einen Namen gemacht hat. In dieser Episode erzähle ich dir, wie der sogenannte „Pharma Hack“ – ein spezieller SEO-Spam-Angriff – Annas Website kompromittiert hat, welche typischen Anzeichen es gibt und wie du dich und dein Unternehmen vor solchen schädlichen Angriffen schützen kannst. Bleib dran, denn Sicherheit im Internet ist kein Luxus, sondern ein absolutes Muss!

Was wir heute besprechen:

• Was ein Pharma Hack ist und wie gezielte SEO-Spam-Angriffe funktionieren.
• Wie Hacker Sicherheitslücken in WordPress, Themes oder Plugins ausnutzen, um schädlichen Code einzuschleusen.
• Welche Sofortmaßnahmen – von Updates über Firewalls bis hin zu regelmäßigen Backups – dein Business effektiv schützen.

Verhindere, dass deine Website heimlich für illegale Geschäfte missbraucht wird!

Links

Sucuri: Website Security Checker

WPScan: WordPress Security Scanner

HackerTarget: WordPress Security Scan

VirusTotal: Malware-Scanner

Transkript

Beschreibung Situation und Akteure

Anna betreibt als Kleinunternehmerin einen kleinen Online-Shop, in dem sie handgefertigte Produkte und individuelle Dienstleistungen anbietet. Ihre WordPress-Website ist dabei das Herzstück ihres Geschäfts – sie dient nicht nur der Informationsvermittlung, sondern auch dem direkten Kontakt zu ihren Kunden. Anna ist stolz auf ihren professionellen Auftritt im Netz und legt großen Wert auf den persönlichen Austausch mit ihren Kunden.

Doch eines Tages stellt sie etwas Seltsames fest: Kunden berichten von unerwarteten Weiterleitungen auf dubiose Online-Apotheken, und in den Suchergebnissen tauchen für ihre Marke Titel und Beschreibungen auf, die sich auf pharmazeutische Produkte beziehen – Inhalte, die so gar nicht zu ihrem Angebot passen. Auch auf dem Server ihrer Website entdeckt Anna unbekannte Dateien und Skripte, die sie nie selbst hochgeladen hat. Schnell wird klar: Ihre Website ist Opfer eines Pharma-Hacks geworden, bei dem Angreifer Schwachstellen in ihrem System ausgenutzt haben, um schädlichen SEO-Spam einzuschleusen.

Angriff aus Sicht des Opfers

Ein unbeschwerter Start in den Tag

Anna beginnt ihren Tag wie immer. Sie checkt ihre E-Mails, beantwortet Kundenanfragen und wirft einen kurzen Blick auf das Dashboard ihrer Website, um den aktuellen Traffic und die Kommentare zu überprüfen. Zunächst scheint alles in Ordnung zu sein – bis sie eine E-Mail von einem unzufriedenen Kunden erhält, der berichtet, dass er unerwartet auf eine Seite weitergeleitet wurde, die etwas mit Online-Apotheken zu tun hat.

Sie findet das merkwürdig und beschließt, der Sache auf den Grund zu gehen. Sie schaut sich ihre Website an, klickt alle Links an, aber nirgendwo taucht eine solche Weiterleitung auf.

Aber es lässt ihr keine Ruhe. Sie öffnet einen anderen Browser, löscht alle Cookies und Website-Daten und ruft die Website erneut auf. Und tatsächlich: Plötzlich landet sie auf einer Website, die Medikamente anbietet. Sie ist schockiert!

Kurz darauf stößt Anna auf ein weiteres Indiz: Bei einer kurzen Google-Suche nach ihrem Shop erscheinen plötzlich Titel und Beschreibungen, die auf pharmazeutische Produkte hinweisen. Ein ungutes Gefühl macht sich breit.

Schnell geht sie der Sache auf den Grund. Beim Einloggen auf ihrem Server entdeckt sie unbekannte Dateien und Skripte im Dateisystem – Dateien, die weder zum Standard-WordPress gehören, noch von ihr installiert wurden.

Der “Pharma Hack”

Sie stellt fest, dass es sich um einen gezielten SEO-Spam-Angriff handelt, der als “Pharma Hack” oder „Google Viagra Hack“ bekannt ist.

Der “Pharma Hack” ist eine Art SEO-Spam-Malware, die hauptsächlich WordPress-Seiten angreift. Dabei werden entweder versteckte Spam-Seiten oder Weiterleitungen zu Online-Apotheken, die Viagra, Xanax oder andere, meist gefälschte Medikamente verkaufen, in die betroffene Webseite eingefügt.

Diese manipulierten Seiten erscheinen in den Google-Suchergebnissen, oft ohne dass der Website-Betreiber dies bemerkt.

Der Hacker nutzt Schwachstellen in WordPress, Themes oder Plugins aus, um seine Malware in die Website einzuschleusen. So kann er Besucher unbemerkt umleiten oder Spam-Seiten direkt in die Seitenstruktur einfügen.

Die emotionale Achterbahnfahrt und erste Maßnahmen

In den nächsten Stunden durchlebt Anna einen wahren Albtraum. Jede E-Mail, jeder Anruf und jede Meldung im Backend erinnert sie daran, dass ihre Online-Präsenz massiv kompromittiert wurde. Der Stress wächst, denn sie weiß, dass ein solcher Angriff nicht nur dem Ruf ihres Unternehmens schadet, sondern auch zu einem erheblichen Verlust an Kundenvertrauen und Umsatz führen kann – ganz zu schweigen von ihrem bisher sehr guten SEO-Ranking.

Angriff aus Sicht des Hackers

Auf der anderen Seite steht unser böser Hacker. Er verdient sein Geld unter anderem damit, dass er pharmazeutische Produkte bewirbt oder verkauft.

Da die meisten seiner Kunden über Google kommen, hat er sich eine Taktik überlegt, mit der er ohne großen Aufwand eine gute Platzierung in den Suchergebnissen erreichen kann. Indem er SEO-Spam auf den von ihm gehackten Websites platziert, erhöht er die Sichtbarkeit seiner Angebote bei Google.

Wenn ein Hacker also deine Website für seinen SEO-Spam-Hack auswählt, benutzt er sie als Abkürzung. Er spart sich all die Zeit und Arbeit, die du mit Sicherheit in dein Suchmaschinen-Ranking investiert hast – und stiehlt sie dir quasi einfach.

Die technische Umsetzung des Pharma Hacks

Aber wie funktioniert das?

Der Hacker schleust Malware, also schädliche Software, in die Website ein, die dann Weiterleitungen oder Spam-Seiten auf der Website einrichtet. Dazu nutzt er die üblichen Schwachstellen und infiziert die Dateien und die Datenbank der Website.

Die Dateien, die der Hacker hochlädt, enthalten bösartige Skripte, die die Datenbank mit pharmazeutischen Seiten, pharmazeutischen Links, Spam-Inhalten und Schlüsselwörtern infizieren. Sobald Google die Website mit diesen zusätzlichen Spam-Inhalten indiziert, beginnt die Website für pharmazeutische Suchbegriffe zu ranken.

Wie kommt die Malware in die Website?

Es gibt verschiedene Methoden.

1. Veraltete Software und Sicherheitslücken
   Nicht aktualisierte WordPress-Versionen, Plugins oder Themes können bekannte Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden. Durch das Einschleusen von Schadcode über diese Sicherheitslücken können Angreifer Zugriff auf die Website erlangen.
2. Schwache Passwörter
   Einfache oder häufig verwendete Passwörter erleichtern es Angreifern, durch Brute-Force-Angriffe Zugriff auf Administratorkonten zu erlangen.
3. Unsichere Dateizugriffsrechte
   Wenn die Einstellungen für den Zugriff auf den Server nicht korrekt gesetzt sind, können Hacker leicht auf diese Daten zugreifen. Das bedeutet, dass sie Dateien verändern oder neue, schädliche Dateien hinzufügen können, ohne dass der Besitzer dies bemerkt.
4. Hintertüren
   Nachdem Hacker in eine Website eingedrungen sind, hinterlassen sie oft eine Art geheime Hintertür, eine so genannte Backdoor. Diese Hintertür ermöglicht es ihnen, sich zu einem späteren Zeitpunkt erneut Zugang zu verschaffen, selbst wenn die ursprüngliche Sicherheitslücke geschlossen wurde. Und wenn man bedenkt, dass viele Hacks erst viel später oder manchmal gar nicht entdeckt werden, gibt es da draußen eine Menge WordPress-Backdoors.

Die Möglichkeiten, eine WordPress-Seite zu hacken, sind also vielfältig.

Und es kann jeden treffen. Hacker suchen sich ihre Opfer selten persönlich aus. In der Regel werfen sie mit automatisierten Angriffen ein Netz aus und wer sich darin verfängt, ist dran. Wenn du mehr darüber erfahren möchtest, wie bösartige Hacker heutzutage vorgehen, empfehle ich dir eine meiner letzten Folgen – Episode 16 – So wird WordPress gehackt – hier gehen wir genau auf dieses Thema ein.

Google Ranking

Ziel des “Pharma Hack” ist es, mehr Traffic auf diese dubiosen Apotheken-Websites zu lenken. Google hat nämlich viele Einschränkungen bei der Indizierung und Werbung für regulierte pharmazeutische Produkte. Der Hack ist eine Möglichkeit, diese Beschränkungen zu umgehen.

Das Endziel ist also, den guten Ruf einer unschuldigen Website zu nutzen, um Nutzer auf eine Spam-Website zu locken.

Das Ergebnis ist verheerend. Die Malware nutzt die Ressourcen und das Suchmaschinen-Ranking der Website aus. Wenn dann der Googlebot die Website crawlt, findet er die Malware und die Website landet auf der Blacklist. Wenn der Website-Besitzer dies nicht schnell genug bemerkt, bemerkt der Website-Host die Malware und nimmt die Website offline.

Diese Maßnahmen führen dann dazu, dass das SEO-Ranking ins Bodenlose sinkt, an organischen Traffic überhaupt nicht mehr zu denken ist und die Reputation und Marke der Website nachhaltig geschädigt wird.

Gar nicht gut!

Das Gemeine an solchen Hacks

Beim “Pharma-Hack” können die Symptome fast zufällig auftauchen und wieder verschwinden. Das hat Methode, die Malware will natürlich so lange wie möglich unentdeckt bleiben.

Die meisten Website-Betreiber werden zwar stutzig, wenn mit ihrer Seite etwas nicht stimmt – aber wenn es wieder aufhört, sind sie meist beruhigt und kümmern sich nicht weiter darum. 1:0 für die Malware.

Und je länger das gut geht, desto länger verdient der Hacker mit der Seite Geld.

Wie findest du heraus, ob du von diesem Hack betroffen bist?

1. Scannen der Website
   Überprüfe deine Website mit einem Malware-Scanner. Die Adressen solcher Scanner habe ich dir oben in den Links zusammengestellt.
2. Google deine Website
   Google deine Webadresse (www.hackerfrei.de) zusammen mit Wörtern wie Viagra, Xanax, aber auch mit Begriffen wie “buy prescription online”, “Buy Xanax cheap” oder “Buy Viagra online”. Da vor allem die USA ein Absatzmarkt sind, sind viele der Keywords in englischer Sprache, so dass man auch in Englisch suchen sollte.
3. Google Search Console
   Auch die Google Search Console kann Hinweise geben. Wenn Google Fehler auf deiner Website findet, findest du sie hier.
4. Dateien auf deinem Server überprüfen
   Wenn du den starken Verdacht hast, dass du gehackt worden sein könntest, schau dir die WordPress-Dateien und Ordner auf deinem Server an. Gibt es neue Dateien oder Code in Dateien wie der wp-config.php, der functions.php, der header.php oder footer.php? Dann bist du höchstwahrscheinlich Opfer eines Hacks geworden.
5. Andere Anzeichen
   Steigende Serverressourcen, erhöhter Traffic oder plötzlich auftretende schlechte Engagement-Raten können auf ein Problem hinweisen. Je besser du deine Website, die Besucherzahlen und das Besucherverhalten kennst, desto schneller wirst du Probleme erkennen und desto schneller kannst du reagieren.

Ausgang der Geschichte

Der Wendepunkt: Annas Kampf um die Wiederherstellung

Trotz anfänglicher Panik sucht Anna nach Lösungen.

Zuerst erstellt sie ein vollständiges Backup ihrer Website. Das ist immer gut, denn so hat man etwas in der Hand, falls bei der Reparatur etwas schief geht.

Dann kontaktiert sie ihren Webdesigner, der ihr hilft, den Schadcode zu identifizieren und zu entfernen. Gemeinsam analysieren sie die Logdateien und finden heraus, dass veraltete Plugins die Hauptursache für den Angriff waren. Anna erkennt, dass sie in Sachen IT-Sicherheit einige Dinge vernachlässigt hat – ein teurer Fehler, den sie nun schnell beheben muss.

Gemeinsam machen sie sich an die Wiederherstellung ihrer Website: Zuerst sichern sie – wie bereits erwähnt – alle Daten ihrer Website, um nichts zu verlieren. Dann wird der eingefügte SEO-Spam-Code systematisch entfernt. Alle unbekannten Dateien und Skripte werden gelöscht und das System wird gründlich auf Schwachstellen untersucht.

Ihr Webdesigner sucht sehr gründlich nach Hintertüren. Diese Hintertüren werden nämlich gerne von Hackern hinterlassen, um später auf die Website zugreifen zu können. Dazu gibt es übrigens in ein paar Wochen eine eigene Folge.

Mit Hilfe des Experten aktualisiert Anna alle veralteten Plugins und Themes und ändert sofort alle Passwörter – also nicht nur alle WordPress-Admins und Benutzer, sondern auch die Passwörter ihres Webhosts, ihrer Datenbank, ihres SFTP-Zugangs, usw.. Außerdem installiert sie ein leistungsstarkes Sicherheits-Plugin, das ihre Website in Zukunft kontinuierlich überwacht und verdächtige Aktivitäten blockiert. Durch diese Maßnahmen wird nicht nur der Schadcode entfernt, sondern auch eine solide Basis für den zukünftigen Schutz geschaffen.

Wiederherstellung des Ansehens und der technischen Sicherheit

Die ersten Tage nach der Entdeckung des Hackerangriffs sind stressig. Anna informiert ihre Kunden und Geschäftspartner offen über den Vorfall und erklärt, welche Maßnahmen getroffen wurden, um solche Angriffe in Zukunft zu verhindern. Transparenz ist in solchen Fällen der Schlüssel, um wieder Vertrauen aufzubauen.

Langsam aber sicher kehrt Normalität ein. Die Suchmaschinen beginnen, die korrigierten Inhalte wieder korrekt zu indexieren und der Traffic auf Annas Website stabilisiert sich. Trotz des schweren Rückschlags hat Anna wertvolle Erfahrungen gesammelt, die sie in Zukunft zu einer noch besseren und sichereren Online-Präsenz führen werden.

Learnings

Aus Annas schmerzhaften Erfahrungen mit dem Pharma Hack – auch bekannt als „Google Viagra Hack“ – können viele wichtige Lehren gezogen werden:

1. Achte auf regelmäßige Updates

Plugins und Themes:
Stelle sicher, dass du immer die neuesten Versionen deiner Plugins und Themes verwendest. Veraltete Software ist ein häufiges Einfallstor für Hacker.

2. Sichere Passwörter und mehrstufige Authentifizierung

Sichere Zugangsdaten:
Verwende komplexe, eindeutige Passwörter für alle Administratorkonten und ändere diese regelmäßig.

Zwei-Faktor-Authentifizierung (2FA):
Ergänze den Anmeldeprozess mit einem zusätzlichen Sicherheitsfaktor, um den Zugang weiter zu sichern.

3. Implementiere Sicherheitsmaßnahmen

Sicherheitsplugins:
Installiere Tools, die deine Website in Echtzeit überwachen und dich bei ungewöhnlichen Aktivitäten warnen.

Firewall und regelmäßige Scans:
Setze eine Web Application Firewall (WAF) ein und führe regelmäßige Sicherheits-Scans durch, um mögliche Schwachstellen frühzeitig zu erkennen.

4. Führe regelmäßig Backups durch

Datensicherung:
Backups sind deine Rettung im Notfall. Stelle sicher, dass du immer ein aktuelles Backup deiner Website und Datenbank hast, um im Notfall schnell wieder einsatzbereit zu sein.

Sei proaktiv und bilde dich weiter

Sicherheitsbewusstsein:
Halte dich über aktuelle Angriffsmethoden wie den Pharma Hack auf dem Laufenden und bilde dich regelmäßig im Bereich IT-Sicherheit weiter.

Notfallpläne:
Entwickle einen klaren Notfallplan, der im Falle eines Angriffs alle notwendigen Schritte von der Schadensbegrenzung bis zur Wiederherstellung der Website festlegt.

Fazit

Die Geschichte von Anna und ihrem WordPress-Pharma-Hack zeigt eindrucksvoll, wie schnell und unerwartet eine Sicherheitslücke ausgenutzt werden kann – und welche gravierenden Auswirkungen dies auf die Reputation und den Traffic einer Website haben kann. Der so genannte „Google Viagra Hack“ dient als warnendes Beispiel dafür, dass auch kleine Websites schnell zum Opfer werden können.

Was nimmst du aus dieser Episode mit?

1. Regelmäßige Updates und starke Zugangsdaten sind unerlässlich:
   Vernachlässige nicht die grundlegenden Sicherheitsmaßnahmen, denn oft sind es die kleinen Details, die Hacker ausnutzen.
2. Mehrstufige Sicherheitsmaßnahmen und Backups bieten Schutz:
   Eine Kombination aus Sicherheits-Plugins, Firewalls, regelmäßigen Scans und kontinuierlichen Backups kann im Ernstfall den entscheidenden Vorteil bringen.
3. Transparenz und schnelles Handeln sind der Schlüssel zur Schadensbegrenzung:
   Ein offener Umgang mit Sicherheitsvorfällen und ein gut durchdachter Notfallplan helfen, das Vertrauen deiner Kunden schnell wiederherzustellen.

Anna hat es geschafft, ihre Website wieder in einen sicheren Zustand zu versetzen – und ihre Erfahrung zeigt, wie wichtig es ist, proaktiv in IT-Sicherheit zu investieren, um den negativen Folgen von Cyberangriffen entgegenzuwirken.

Abschluss

Damit sind wir am Ende unserer Geschichte angelangt. 

Ich hoffe, diese Episode hat dir einen wertvollen Einblick in den WordPress Pharma Hack und seine Mechanismen gegeben. Cyberkriminalität betrifft uns alle – große wie kleine Unternehmen. Wichtig ist, dass wir uns ständig informieren, unsere Systeme schützen und bei verdächtigen Aktivitäten schnell reagieren.

Bleib wachsam, halte deine Systeme auf dem neuesten Stand und scheue dich nicht, in Sachen IT-Sicherheit in die Tiefe zu gehen.

Ich wünsche dir einen schönen Tag und hoffe, wir sehen uns nächste Woche wieder.

Deine Frida <3

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Weiterhören

Weitere Folgen

Music

Cyber Duel – Psychronic

Pre-Battle Workout – Pyschronic