Patrick PilotteHeutzutage kann ein Unternehmen auch ohne Telefonnummer auskommen. Manche benötigen nicht einmal einen physischen Standort. Aber keine bei den Suchmaschinen gelistete Website? Das ist undenkbar!
Im Juni ist aber devolutions.net genau das passiert. Fünf chaotische Tage lang wurde unsere gesamte Domain aus Bing, der Standard-Suchmaschine für Microsoft Edge, entfernt. Wer nach uns suchte, sah statt unserer Website die Websites von Drittanbietern.
Hier ist die Insider-Geschichte zu den Geschehnissen: Eine massive, von Menschen betriebene Spam-Kampagne, die unsere Abwehrmaßnahmen umging, unser Forum überflutete und unsere Suchpräsenz auf Bing still und heimlich vergiftete – und wie wir darum gekämpft haben, sie zurückzugewinnen.
So fing es an…
Am 19. Juni gegen 2:00 Uhr (Ortszeit) morgens bemerkte unser Team einen starken Anstieg der Aktivitäten im Forum – und das nicht im positiven Sinn. Als wir endlich eingreifen konnten, waren bereits 5.000 Spam-Nachrichten erstellt worden. Diese Beiträge enthielten betrügerische Inhalte: Links zu dubiosen Websites und Telefonnummern, die bei Anrufen zu Betrügern führten, die sich als technischer Support ausgaben.
Die Datenbank unseres Forums hatte mit der Belastung zu kämpfen. Die Leistung verschlechterte sich rapide, bis zum fast völligen Ausfall. Was diese Kampagne von den meisten anderen unterschied, war, dass sie von Menschen gesteuert wurde. Das waren keine Bots. Echte Menschen haben über 500 Konten manuell registriert und dabei alle unsere automatisierten Schutzmechanismen umgangen – einschließlich Cloudflare Turnstile CAPTCHA, das nicht dazu gedacht ist, echte Menschen zu blockieren.
OSINT-Erkenntnisse
Unser OSINT-Team bestätigte schnell, dass es sich nicht um einen einzelnen Angriff handelte. Dieselbe Gruppe postete auf zahlreichen öffentlichen Plattformen – DeviantArt, Bluesky, Foren, Kleinanzeigen und mehr. Nach 15 verschiedenen externen Websites hörten wir auf zu zählen. Das Ziel schien Suchmaschinen-Missbrauch zu sein – das Erstellen von Backlink-Trails, um die Sichtbarkeit betrügerischer Websites und -dienste in Suchmaschinen zu verbessern.
Wir haben über 400 eindeutige IP-Adressen verfolgt, die meisten davon aus Indien, darunter auch mehrere private Internetanbieter. Bei einem Großteil der Angriffe wurden auch VPN-Dienste wie Private Internet Access genutzt. Zur Überprüfung haben wir sogar zwei der betrügerischen Telefonnummern angerufen:
- Eine Person gab sich als Xerox-Support aus und forderte uns auf, eine Fernwartungssoftware zu installieren.
- Die zweite Person gab an, ein „Expedia-Angebot“ zu haben, hatte aber keine Ahnung, was Expedia ist – und wollte trotzdem Remote-Zugriff haben.
Interne Nebenwirkungen
Während der Bereinigung fiel uns etwas Merkwürdiges auf: Unser interner Chatbot begann, mit Inhalten aus den Spam-Beiträgen zu antworten. Die Eingabe von „Hi“ löste betrügerische Antworten aus. Dies bestätigte ein echtes Risiko: LLM-Kontamination durch öffentliche Inhalte, insbesondere in Umgebungen, in denen Nutzerbeiträge intern indexiert oder gespiegelt werden.
Auf Bing zum Geist werden
Einige Tage später stellten wir einen starken Rückgang des Webverkehrs von Bing fest. In den Bing Webmaster Tools sah alles normal aus – bis auf einen seltsamen Sitemap-Fehler. Wir dachten zunächst, es läge an einem Problem mit den Tools, bis wir feststellten, dass die Daten korrekt waren: Fast niemand sah unsere Inhalte. Die wenigen verbleibenden Impressionen und Klicks stammten ausschließlich aus bezahlter Werbung, da forum.devolutions.net und devolutions.net aus dem Index von Bing entfernt worden waren.
Wir waren praktisch unsichtbar geworden – wer in Bing nach Devolutions suchte, würde uns niemals finden, sondern nur Websites von Drittanbietern, die über Devolutions berichten. Das ist ein großes Problem, da Microsoft Edge unter Windows standardmäßig Bing verwendet.
Erschwerend kommt hinzu, dass ChatGPT hinter den Kulissen von Search GPT Bing verwendet, sodass es tiefgreifende Auswirkungen hat, wenn man auf Bing nicht auffindbar ist. Überraschenderweise würde ChatGPT unsere Website immer noch finden, aber es wäre nicht abzusehen, für wie lange noch.
Während des Spam-Vorfalls hatten wir viele Anrufe für Suchanfragen wie „Expedia-Kundendienst“, die auf den Spam im Forum verwiesen, sodass wir nur vermuten können, dass die Bing-Algorithmen forum.devolutions.net und seine übergeordnete Domain, devolutions.net, als unerwünscht markiert haben. Die Betrüger nutzten die Bekanntheit unserer Website, um ihre gefälschten Kundeninformationen in den Suchergebnissen zu platzieren, aber letztendlich wurden wir dadurch einfach blockiert.
Das haben wir getan
- Ab dem 19. Juni um 10:30 Uhr Forenbeiträge auf WAF-Ebene blockiert
- Für alle erstmaligen Forenbeiträge einen Moderationsschritt hinzugefügt
- Durch direkte Datenbankbereinigung alle Spam-Beiträge gelöscht
- Über OSINT und Bedrohungsdaten Angriffsvektoren dokumentiert
- Von Bing Entfernung der Domain bestätigt
- Bing-Support kontaktiert
Der letzte Punkt – die Kontaktaufnahme mit dem Bing-Support – war am stressigsten. In den Bing Webmaster Tools gibt es ein Support-Formular, das man ausfüllen kann. Aber sobald man eine Ticketnummer hat, kann man nur noch warten. Überraschenderweise scheint es bei Bing keine Möglichkeit zu geben, einen Premium-Support zu erwerben. Wir hätten gerne bezahlt, um das Problem zu eskalieren!
Ohne Namen zu nennen (um nicht andere auf die Idee zu bringen), gelang es uns, während des Urlaubs jemandem aus dem Bing-Team über LinkedIn-Direktnachrichten zu kontaktieren. Dadurch erlangte unser Ticket intern Aufmerksamkeit und wir erhielten einige Tage später die Antwort, dass die Sperre aufgehoben sei. Dennoch waren wir gegenüber der Situation viel länger hilflos, als uns lieb war.
Zeitleiste (Ortszeit EST)
| Zeit | Ereignis |
|---|---|
| ~02:00 Uhr | Plötzlicher Anstieg von Spam im Community-Forum |
| 03:00–05:00 Uhr | Über 5.000 betrügerische Beiträge veröffentlicht; Datenbank beginnt zu platzen |
| 10:30 Uhr | WAF-Regel implementiert, um alle Forenbeiträge zu blockieren |
| ~12:00 Uhr | Erste Moderationsschritte für Beiträge hinzugefügt |
| +2 Tage | Rückgang des Bing-Verkehrs beobachtet und untersucht |
| +3 Tage | Bestätigung der Entfernung der Domain aus dem Bing-Suchindex; Bing-Support kontaktiert |
| +5 Tage | Bestätigung von Bing, dass die Domain wieder in den Suchindex aufgenommen wurde |
Das haben wir gelernt
- Menschliche Angriffe kümmern sich nicht um Ihr CAPTCHA. Automatisierte Schutzmechanismen wurden problemlos umgangen. Eine manuelle Überprüfung war notwendig.
- Fehlerhafte Daten verunreinigen alles – einschließlich KI. Interne KI-Systeme müssen über Schutzmechanismen gegen Aufnahme fehlerhafter oder nicht moderierter Daten verfügen.
- Das Vertrauen in Suchmaschinen ist fragil. Eine Flut minderwertiger Inhalte kann schnell zu Ihrer Entfernung aus der Liste führen – und das ohne Vorwarnung.
- IP- und Passwortfilter sind gegenüber realen Angreifern schwach. Sie stehen in der Pyramide des Schmerzes weit unten und sind leicht zu umgehen.
- Unterschätzen Sie Bing nicht, nur weil es Google gibt. Den Wert einer Sache erkennt man erst, wenn man sie verliert – achten Sie auf Bing.
Abschließende Überlegungen
Dieser Vorfall hat uns daran erinnert, dass es bei der Sicherheit nicht nur darum geht, Bots zu stoppen – es geht darum, sich in die Lage Ihres Gegners zu versetzen, insbesondere wenn es sich dabei um Menschen handelt. Wenn Sie eine öffentliche Plattform betreiben, sollten Sie sich fragen: „Was passiert, wenn die Bösewichte keine Automaten sind?“ Möglicherweise müssen Sie es am Ende auf die harte Tour lernen, so wie wir.