Negative SEO

Kategorie(n): IT-Security, SEO

Die Konkurrenz-Seite in Google abschießen❓ ⇒ Ja, das geht❗

Aber es gibt viel Schlimmeres…

Negative SEO – wenn es gefährlich wird

Heute hängen Existenzen und Arbeitsplätze an guten Positionen in Google’s Suchindex: Grund genug sich darüber ernsthaft Gedanken zu machen.

Ist es wirklich so einfach den Mitbewerber existenziell zu schädigen?

Es gibt viele Möglichkeiten die Konkurrenz zu schädigen und böse Links ist nur 1 davon.

Viele Möglichkeiten für Negative SEO

Sortiert von den weicheren zu den härteren Methoden:

• Sehr viele gefälschte positive Bewertungen können als Spam-Maßnahme des eigentlichen Betreibers gewertet werden und zur Abstrafung führen (hier vom SEO-Trainee ein Bericht dazu)
• Software mit Schadcode (hier ein WordPress-Plugin, das selbst Schadcode eingeschleust hat, aber angeboten wurde um WordPress-Themes nach verdächtigem Code zu durchsuchen → richtig Böse!
• Tausende gekaufte schlechte Links auf die Konkurrenzseite legen (hier ein Testbericht dazu)
• Millionen schlechter Links aus Foren, Gästebüchern, Blogs etc. mittels Tools wie XRumer und/oder Scrapebox um die Konkurrenz ins Outback zu senden (hier ein Test von Trafficplanet dazu und hier die Bewertung von SEObook dazu) – ist aber alt!
• Seite hacken und Porno einschmuggeln war früher mal sehr beliebt, gibts auch heute noch!
• Seite hacken und noindex-Tag auf die Seiten schmuggeln oder robots.txt umstellen fällt oft erstmal nicht auf
• Seite hacken und Schadsoftware in die Seite einbauen (Cloaking)
• Unsicherer(er) HTML-Code hier ein PDF-Download ⇒ Black-Hat » HTML5 Top 10 Threats Stealth Attacks and Silent Exploits

Wer ist gefährdet durch Negative SEO?

Rand Fishkin von SEOmoz hatte dazu aufgerufen SEOmoz bzw. seine Privatseite zu bomben um Negative SEO zu testen ⇒ Can your site lose its rankings because of competitors negative SEO?

Gerade wegen seiner persönlichen Bekanntheit halte ich einen Test auf einer dieser beiden Seiten für nicht repräsentativ – meiner Meinung nach haben große Brand-Seiten von Google einen „Bonus“ der bei der Algo-Berechnung extra mit einfließt, erst Recht seit Panda & Co. Negative-SEO ist an Brand-Seiten wie Amazon oder BMW nicht möglich. Eine kleine Seite wiederum kann man bereits mit ein paar Hundert Backlinks abschießen.

Kleine und mittlere Firmen sind also weniger in Gefahr, weil die Konkurrenz oft gar nicht weiß daß (wie) das geht. Andererseits öffnet Unwissenheit gerade hier Tür und Tor: man ist unvorsichtig, weil unvorbereitet.

Vielleicht kommt ein Angriff an einer Stelle, wo man ihn nicht erwartet?

Kann bei euch jemand im Unternehmen rumlaufen, sich an einen laufenden PC setzen, einen Stick einstecken und keiner der Mitarbeiter wird die Person Fragen, was sie da gerade tut oder davon abhalten?

Sicherheitslücken 1.0

Bereits 2011 (!!!) habe ich auf den Vortrag von Jayson E. Street hingewiesen, der eindringlich für große Unternehmen vor solchen Sicherheitslücken warnt ⇒ Steal Everything, Kill Everyone, Cause Total Financial Ruin! Or: How I walked in and misbehaved.

Wahrscheinlicher geht jemand durch die Vordertür in die Firma und loggt sich ein oder klaut einen Laptop vom Mitarbeiter im Hotel oder loggt sich über dein Smartphone ein, als dass er wirklich den Server von außen hackt.

Beliebt ist auch: einen Stick auf dem Mitarbeiter-Parkplatz zu platzieren und hoffen, daß jemand neugierig ist was drauf ist und ihn – im schlimmsten Fall – direkt ins Firmennetzwerk einsteckt!

Seit der Einführung der Nofollow-Links in 2005 geht es um (Back-)Links.

Und bis heute investieren Unternehmen mehr Geld in (Google-)Werbeanzeigen als in IT-Security, Content und SEO!

Google und die Links

Bereits bei früheren Updates von Google bekamen Online-Abteilungen großer Unternehmen Panik – ich möchte nur mal die Russenlinks und den Linkzar erwähnen. Ob zu Recht oder Unrecht sei dahingestellt: wenn ich dauernd die Spielregeln ändere, sorge ich für Bewegung im Spiel. Heute so, morgen so. Mach es mit oder flieg aus dem Index.

Extreme Negative SEO

Noch mehr und noch härter? Kein Problem: Extreme Negative SEO – leider nur noch über WaybackMachine erreichbar ⇒ SearchEngineWatch » Extreme Negative SEO – Know Your Vulnerabilities! – ich fand den Text damals schon super und hab ihn jetzt auf Englisch übernommen, damit er nicht verloren geht!

HTML 5: Negative SEO on ‘Roids

Or: how your website code can be turned against you

1. CORS Attacks & CSRF Exploit The long and short of this exploit is the ability to have your domain and another domain get together and have a party without your knowledge. CORS (or Cross Origin Resource Sharing) is where the ability to add an extra HTTP of header of origin that can establish a stealth connection then by using a POST method can set „withCredentials“ to true. How could this vulnerability be used? Someone could upload a file to your site without your knowledge. From the somewhat benign, „I am running a Viagra Store on your PR 10 .edu“ to the potentially lethal, let me add some porn to your site where you would not notice it and see you get put in the Google Adult Filter.
2. XSS With HTML 5 Tags, Attributes and Events Exploit New tagging features in HTML5 are accessed via JavaScript. This access creates variants for XSS (Cross Site Scripting Attacks) and may bypass the existing XSS filters. Media tags (video), Autofocus, Form and Buttons, and MathML are all particularly vulnerable. In this case it is especially important to be careful during dynamic reloading and the implementation of these new tags and feature to help prevent accidental exposures. How could this vulnerability be used? Primarily for an XSS or Cross Site Scripting Attack, otherwise known as code injection. Now think, what are the many ways someone could harm my site if they could inject code into it. First and foremost, get you a malware warning from Google and subsequent web browsers, quickly pushing you off your traffic and rankings. From here the possibilities are too large to list.
3. Third Party/Offline HTML Widgets and Gadgets Exploit The base for this exploit is a poisoning of the browser’s cache. This can then be used to „watch“ the activities of the user offline. How could this vulnerability be used? With this exploit an unscrupulous user can lead you to a site where code is downloaded and kept offline. This offline code „watches“ your activities and reports back those activities. Sounds like an excellent way to grab data on a competitor’s SEO strategy to me.

Now, get your tin foil, let’s take it to the extreme! Ready?

Negative SEO Extreme: Hardware/Firmware Hacking

Or: how your mobile device could lead to your SEO demise

Now here is one that will probably keep you up at night! But don’t let it. Out of all the ones discussed so far, this is the least likely to happen as someone has to be near you to initiate the attack.

However, if I thought about it I know others far more gifted in the dark arts are probably already working on it. And if you have a site that is extremely competitive with others and they already play in the mud, this is a must know because the future of hacking is not only on the web, but also through your device.

Smartphone Hacking

NFC (Near Field Communications) Chip Attacks

I am going to concentrate on the NFC chip today because it was the discussion at Blackhat. However, these same concepts are said to be possible with other features built into your smartphone (Features such as S-Beam or Bump).

So what is an NFC chip and why do you need to be concerned?

NFC chips are the chips that allow you to make payments from your phone by waving it in the air, waving it like „you just don’t care“!

OK well maybe you care, but just didn’t know that that single act is one of the most insecure things you can do with your phone if you do not know whether everyone within 3 feet of you is a good guy.

(Supposed limit is 3 centimeters, tested limits were 1.3 meters)

This video shows you how features such as the NFC and S-Beam work. Pretty cool isn’t it? Also, highly vulnerable.

In the most simplistic of terms, the NFC chip (and other functions) allows your phone, via radio frequency to communicate with other devices. The problem is, this isn’t a secure method of data transmission if someone knows what he or she is doing.

What is even more concerning is that – if I were so inclined – I could stand up to 1.3 meters away from you and make your phone „do things“. Oh noting of course you don’t have to activate this feature on your phone to be attacked. The phone merely has to be on to be vulnerable in most cases. (Though lock screen status seems to have an effect.)

What it means in laymen terms is I can get into your device, at the root level and I can activate functionality inside of it without you knowing.

What can I make your phone do? Well it depends on the phone and the operating system, but some of the „things“ that I can make your phone „do“ are share documents, read files, and open browsers.

For all the details read PDF-Download ⇒ Exploring the NFC Attack Surface from Blackhat.

Opening Browsers

Why would opening browsers be bad?

Here is just a small list of issues that being able to open a browser might create, especially if you store your passwords in the browser fields.

So you might inadvertently give someone access to:

1. Access to Webmaster Tools.
2. Access to the delist tool in Webmaster Tools.
3. Access to your site and inject code, malware, etc.
4. Access to your site where changes could be made.
5. Ability to open a browser of their choice, go to a website and download an executable file that does whatever it is scripted to do as though you went there yourself.

Well you get the idea. Smartphones, NFC chips all are highly insecure right now, so the best thing to do is keep your phone close, your log-ins in your real world memory and never turn on the beaming capabilities if you are in a commercially hostile environment.

They also only have single factor authentication, so if you leave your phone out anything stored in the NFC chip can be easily accessed with your PIN, either given or hacked.

Hotel Room

Sometimes people forget the biggest type of hacking involves nothing more than getting into your stuff in the real world. Now for 99 percent of you this isn’t even the remotest of concerns on an SEO level, but for many in the search industry, travel is part of the job.

When you’re traveling, you should be able to just lock up all your valuable data in your room. No one can get to it there, right? Well, one hotel key hack, revealed at Blackhat/Defcon, showed that it „only takes $50 and a junior level understanding of programming.“

This hotel key hack affects one of the largest hotel key providers in the U.S. An even bigger concern: it is unfixable unless the actual hotel locks are changed.

Whether you’re a site owner, developer or SEO, these are things you need to know. The SEO waters are only going to get rougher.

For help on protecting your site against the above mentioned vulnerabilities, see:

1. Using Fetch as Google Bot to find Hacked Sites (Anmerkung: das ist heute die Google Search Console)
2. More HTML 5 Attacks and how to prevent them ⇒ PDF-Download ⇒ Black-Hat » Attacking with HTML5
3. Protecting your site against XSS Cross Site Scripting Prevention Cheat Sheet
4. Wikipedia NFC ⇒ Near Field Communication

Was kann man also tun?

Wenn das Kind schon im Brunnen liegt:

1. Eine Google-Warnung (deshalb IMMER die Google Search Console freischalten!) ernst nehmen und dann:
2. Selber nix tun, gar nix!
3. Wer Hilfe auf 1-2 Tage erwartet oder versprochen bekommt: besser eine gute SEO-Agentur beauftragen.

Wer einen Platz 1 in Google verspricht oder Homepage optimieren für 245.- im Monat – ist sicher keine gute SEO-Agentur.

Wer darauf reinfällt ist selbst Schuld!

Kann man sich vor Negative SEO schützen?

Nein, grundsätzlich nicht. Und: Der SEO ist nicht Schuld, wenn das passiert.

• Backups ✚ Updates machen!!!

Regelmäßige Software-Updates und Verschlüsseln sind DIE einfachsten Maßnahmen, damit Hacker nicht in das System eindringen können.

Werbegelder generieren nur einmalig Besucher, gute SEOs bringen nachhaltigen Erfolg. Wer 5.000.- und mehr im Monat für Werbung und 500.- für SEO ausgibt um Umsatz in den Shop zu bekommen, sollte seinen Geschäftsansatz überdenken.

Ein Problem❓ » Besser mit einem Profi❗

Alexandra Lindner ⇒ DIE SEOwoman » über 15 Jahre Erfahrung!

➤ Meine Leidenschaft ist mein Beruf 💗

Kontakt: 301[at]seo-woman.de