KI-gesteuerte SEO-Angriffe gefährden Millionen Nutzer

Cybersicherheitsforscher warnen vor einer neuen Welle raffinierter SEO-Vergiftungsangriffe, die KI-generierte Inhalte nutzen, um Suchmaschinen und sogar Chatbots zu manipulieren. Die Folgen reichen von massivem Ad-Betrug bis zum Diebstahl von Gehaltszahlungen.

Im Frühjahr 2026 zeichnet sich ein gefährlicher Trend ab: Cyberkriminelle perfektionieren die Manipulation von Suchmaschinen. Zwei aktuelle, groß angelegte Kampagnen zeigen, wie Angreifer vertrauenswürdige Plattformen wie Google Discover und sogar KI-Chatbots kapern, um Unternehmensnetzwerke und Privatnutzer ins Visier zu nehmen. Die Methoden markieren einen Paradigmenwechsel – weg von simplen Schadprogrammen hin zu komplexen Betrugsszenarien und Diebstahl lebender Sitzungen.

Angesichts immer raffinierterer Methoden, mit denen Hacker mobile Endgeräte und persönliche Daten über den Google Discover-Feed manipulieren, ist ein proaktiver Schutz für Android-Nutzer unerlässlich. Ein kostenloser PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Smartphone sofort gegen Datendiebstahl und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Pushpaganda: Der Ad-Betrug im persönlichen News-Feed

Am 14. April 2026 enthüllten Sicherheitsexperten von HUMAN die Kampagne „Pushpaganda“. Diese nutzt eine Kombination aus SEO-Vergiftung und KI-generierten Inhalten, um den personalisierten Google Discover-Feed zu infiltrieren. Nutzer von Android und Chrome sehen so gefälschte Nachrichtenartikel in ihrem Stream.

Das Ziel ist simpel, aber wirkungsvoll: Besucher werden auf betrügerische Seiten gelockt und dazu gebracht, permanente Browser-Benachrichtigungen zu aktivieren. Diese nutzen die Angreifer später, um mit gefälschten Rechtsdrohungen und Schadsoftware-Warnungen zu bombardieren. Ein Klick darauf leitet auf weitere Seiten mit Werbeanzeigen um – und generiert so illegale Einnahmen.

Auf dem Höhepunkt der Aktivität erzeugte die Kampagne laut HUMAN etwa zwei Milliarden Werbeanfragen pro Tag und könnte bis zu 40 Millionen Geräte weltweit betroffen haben. Nach einem Start in Indien breitete sich die Bedrohung auf die USA, Australien, Kanada, Südafrika und Großbritannien aus.

Storm-2755: Wenn die Gehaltsabrechnung zum Ziel wird

Bereits am 13. April hatte Microsoft vor dem als Storm-2755 bekannten Akteur gewarnt. Diese Gruppe zielt speziell auf kanadische Angestellte ab. Sie manipuliert Suchergebnisse für Begriffe wie „Office 365“ oder häufige Tippfehler (z.B. „Office 265“). Wer nach dem Login-Portal sucht, landet auf einer täuschend echten Kopie der Microsoft-365-Anmeldeseite.

Der Clou: Storm-2755 setzt auf eine Adversary-in-the-Middle (AiTM)-Konfiguration. Statt nur Passwörter abzugreifen, fängt die Gruppe lebende Sitzungstokens ab. So umgehen sie die Zwei-Faktor-Authentifizierung (2FA) und erhalten sofortigen Zugriff auf authentifizierte Konten – ohne dass Sicherheitswarnungen ausgelöst werden.

Einmal im System, konzentrieren sich die Angreifer auf die Manipulation von Gehalts- und Personalakten. Sie leiten Gehälter auf eigene Bankkonten um. Besonders heikel: Die Gruppe hält sich wochenlang in den Systemen, indem sie die gestohlenen Sitzungen im Hintergrund regelmäßig auffrischt.

KI als Waffe: Vergiftete Suchergebnisse und manipulierte Chatbots

Die Integration von Künstlicher Intelligenz in SEO-Angriffe untergräbt die Zuverlässigkeit von Suchmaschinen grundlegend. McAfee Labs beobachtete einen Anstieg bösartiger Kampagnen, die die Popularität der KI-Plattform DeepSeek ausnutzen. Gefälschte Installer und betrügerische Webseiten werden über vergiftete Suchergebnisse beworben.

Noch bedenklicher ist eine neue Technik namens LLM-Poisoning. Sicherheitsanalysten von Cyjax identifizierten die Kampagne OCRFix, die Nutzer des Open-Source-Tools Tesseract OCR ins Visier nimmt. Den Angreifern gelang es nicht nur, in den normalen Suchergebnissen hoch zu ranken. Sie beeinflussten auch große Sprachmodelle wie ChatGPT dazu, ihre schädliche Seite Nutzern zu empfehlen, die nach der Software fragen.

Besucher der Seite werden mit gefälschten Verifizierungsaufforderungen konfrontiert. Diese tricksen sie aus, PowerShell-Befehle auszuführen, die letztlich Botnet-Trojaner installieren. Diese Entwicklung zeigt einen wachsenden Trend: Angreifer nutzen die vermeintliche Autorität von KI-Chatbots, um ihre schädliche Infrastruktur zu legitimieren.

Während Kriminelle verstärkt Sicherheitslücken in Android-Systemen ausnutzen, lassen viele Anwender ihr Gerät durch veraltete Software angreifbar. Erfahren Sie in diesem kostenlosen Report, wie Sie automatische Updates richtig nutzen und gefährliche Apps erkennen, um Ihr Smartphone rund um die Uhr zu schützen. Android-Sicherheits-Report jetzt gratis herunterladen

Das unsichtbare Risiko: Angreifer leben vom „Land“

Die aktuelle Welle von SEO-Angriffen verdeutlicht einen Shift hin zu Living-off-the-Land-Attacken. Indem sie schädliche Inhalte auf vertrauenswürdigen Cloud-Plattformen hosten und legitime Oberflächen wie Google Discover nutzen, können sich Bedrohungsakteure nahtlos in den normalen Netzwerkverkehr einfügen.

Die Wirksamkeit dieser Kampagnen hängt oft mit der Nutzung von Typosquatting-Domains und täuschend echten Webseiten zusammen. So nutzte die Gruppe Silver Fox in den letzten Monaten Köder mit Microsoft Teams- und Einkommensteuer-Themen, um Organisationen in China und Indien anzugreifen. Durch kyrillische Zeichen oder minimale Zeichenersetzungen in URLs entsteht eine Umgebung, in der der Unterschied zwischen einer legitimen Seite und einem vergifteten Ergebnis für den normalen Nutzer kaum erkennbar ist.

Wie können sich Unternehmen und Nutzer schützen?

Google hat nach eigenen Angaben ein Update bereitgestellt, um die spezifischen Schwachstellen aus der Pushpaganda-Kampagne zu schließen. Das grundlegende Problem der SEO-Manipulation bleibt jedoch eine anhaltende Herausforderung.

Cybersicherheitsexperten raten Unternehmen zu Identitätssicherheitsmodellen, die sich nicht allein auf Sitzungstokens verlassen. Stattdessen sollte die Anmeldeprotokolle in Echtzeit auf Anomalien überwacht werden – etwa erfolgreiche Logins unmittelbar nach fehlgeschlagenen Versuchen von unterschiedlichen Browsern.

Für Privatnutzer lautet der dringende Rat: Nutzen Sie Suchmaschinen nicht, um auf kritische Finanz- oder Verwaltungsdienste zuzugreifen. Statt die erste Trefferzeile anzuklicken, sollten offizielle URLs manuell überprüft und Browser-Lesezeichen für wichtige Seiten genutzt werden. So umgeht man das Minenfeld vergifteter Suchergebnisse und gesponserter Anzeigen.

Angesichts der zunehmenden Integration von KI in die Werkzeuge der Cyberkriminellen wird die Lücke zwischen der Entstehung neuer Schwachstellen und der Implementierung wirksamer Gegenmaßnahmen voraussichtlich noch das gesamte Jahr 2026 eine primäre Sorge bleiben.

de | boerse | 69151557 |