Zum Inhalt springen
Frei ab Juli
Sicherheit neu

Der Pharma-Hack bekommt ein KI-Upgrade – und das ist wirklich unangenehm

JFM · 7 min · 0 Kommentare Permalink

Alles fing harmlos an. Einer meiner Kunden meldete sich bei mir. Vor ein paar Jahren hatte ich seine Website entwickelt, meinen angebotenen Wartungsvertrag hat er abgelehnt. Er wolle sich lieber selber kümmern. Da es sich um einen kleinen Kunden mit einem kleinen Einzelhandelsgeschäft handelte, war das nicht ungewöhnlich.

Es klingelte also mein Telefon und am anderen Ende war mein Kunde. Ich habe ihn noch gut in Erinnerung, da man an seinem Laden zwangsläufig vorbeikommt, wenn man in unsere Innenstadt Einkäufe erledigt.

Er war ein wenig verzweifelt. Kunden berichteten ihm, dass auf seiner Website Viagra angeboten wird. Immer wieder wird dies von Kunden erwähnt, er selbst sieht aber nichts ungewöhnliches. Seit mehreren Monaten bekommt er immer mal wieder diesen Hinweis.

Nun ist der Pharma-Hack nichts Neues. Viele Internetseiten sind davon betroffen. Auf vielen Internetseiten wird unbemerkt Viagra verkauft. Es trifft Ärzte und Apotheken genauso wie Kommunen und Städte.

Ich habe ihm versprochen, mir das anzusehen und ihm dann zu berichten. Ein Screensharing später hatte ich einen Auftrag zur Bereinigung und immerhin einen quartalsweisen Wartungsvertrag in der Tasche. Immerhin.

Aber ich hatte plötzlich Interesse, mich mal wieder mit dem Pharma-Hack auseinanderzusetzen. Ich war doch überrascht, wie viele Seiten tatsächlich aktiv kompromittiert sind. Aber was mir besonders ins Auge gefallen ist: KI-generierte Texte, die exakt auf die Inhalte der gehackten Website passen.

Was ist der Pharma-Hack eigentlich?

Kurz zur Grundlage, für alle die das noch nicht kennen.

Beim Pharma-Hack schleusen Angreifer versteckten Code in eine legitime Website ein. Das Ziel: Suchmaschinen wie Google sollen die Seite für Suchanfragen rund um verschreibungspflichtige Medikamente anzeigen – Viagra, Cialis, Xanax, das volle Programm. Der Besucher, der dann draufklickt, landet entweder auf einer Spam-Seite oder sieht Inhalte, die der eigentliche Betreiber nie dort hingelegt hat.

Das Heimtückische daran: Der Webseitenbetreiber sieht davon gar nichts. Die Hacker nutzen sogenanntes Cloaking. Das heißt, der Code erkennt, ob gerade ein Mensch oder ein Suchmaschinen-Bot die Seite besucht. Dem Bot zeigt er den Spam, dem echten Besucher die normale Website. Genau deshalb hat mein Kunde monatelang nichts bemerkt – er war ja immer als normaler Benutzer eingeloggt.

Warum machen die das? Ganz einfach: Eine etablierte Website hat bereits Vertrauen bei Google. Dieses Vertrauen kapern die Angreifer, um ihre Pharma-Spam-Seiten in den Suchergebnissen nach oben zu bringen. Sie arbeiten quasi mit geliehener Reputation. Sucuri hat 2024 über 422.000 mit SEO-Spam infizierte Websites in ihrem Scanner gefunden – WordPress macht dabei erschreckende 96 Prozent aller betroffenen CMS-Systeme aus.

Wie kommen die überhaupt rein?

Der häufigste Einstiegspunkt sind veraltete Plugins. 2024 wurden allein im WordPress-Ökosystem über 7.600 Sicherheitslücken in Plugins entdeckt – im Vergleich zu gerade mal 7 im WordPress-Kern selbst. Das Plugin-Problem ist also riesig und vollkommen unterschätzt.

Daneben kommen die klassischen Verdächtigen: schwache Passwörter, veraltete Themes, fehlende Updates. Im Fall meines Kunden: das letzte Plugin-Update lag über ein Jahr zurück. Na dann.

Einmal drin, sorgen die Angreifer dafür, dass sie auch drin bleiben. Sie verstecken Dateien im /images-Ordner (da schaut niemand nach PHP-Dateien), verschleiern ihren Code mit Base64-Kodierung, legen sich Hintertüren an und richten Cronjobs ein, die die Infektion automatisch erneuern, falls jemand aufräumt. Das macht eine Bereinigung ohne gründliche Systemkenntnis fast unmöglich – man putzt und eine Woche später ist alles wieder da.

Der neue Trick: KI schreibt den Spam

Und jetzt kommt der Teil, der mich wirklich überrascht hat.

Der klassische Pharma-Hack war bisher ziemlich plump. Da wurden einfach irgendwelche generischen Viagra-Seiten in die Website injiziert. Sah man sich den Quellcode an oder schaute mit einem Googlebot-User-Agent auf die Seite, sah man zwar Spam, aber den hätte man sofort als fremdartig erkannt. Kein Bezug zur eigentlichen Website.

Das hat sich geändert.

Was ich bei meinem Kunden und bei mehreren anderen infizierten Seiten gesehen habe: Die eingeschleusten Inhalte sind kontextuell auf die gehackte Website zugeschnitten. Mit anderen Worten: Da hat jemand KI eingesetzt, um Texte zu generieren, die zur bestehenden Seite passen und gleichzeitig Pharma-Keywords enthalten.

Ein konkretes Beispiel, das ich so oder so ähnlich mehrfach gesehen habe: Ein Zahnarzt betreibt eine Website. Klassisch: Leistungen, Team, Kontakt, vielleicht ein paar Infotexte über Zahngesundheit. Nach der Infektion tauchen in den Suchergebnissen plötzlich Seiten auf, auf denen dieser Zahnarzt scheinbar als Experte für Männergesundheit auftritt. Mit Texten über erektile Dysfunktion, Testosteronmangel, und natürlich: wo man die entsprechenden Mittel kaufen kann.

Der Text liest sich nicht wie generischer Spam. Er enthält den echten Namen der Praxis, den richtigen Ort, teilweise sogar Bezüge auf die tatsächlichen Leistungen der Seite. Er klingt wie ein echter Artikel – nur dass der Zahnarzt davon keine Ahnung hat und mit dem Inhalt absolut nichts zu tun hat.

Das ist das KI-Upgrade des Pharma-Hacks.

Warum ist das so viel gefährlicher?

Beim alten Pharma-Hack hat Google die Spam-Seiten mit der Zeit erkannt und abgestraft. Die Texte waren generisch, wiederholend, offensichtlich maschinell produziert – zumindest aus heutiger Sicht.

Kontextuell angepasste, KI-generierte Texte sind deutlich schwieriger zu erkennen. Sie haben eine sprachliche Qualität, die generischen Spam-Texten fehlt. Sie wirken relevant für den Nutzer der Suchanfrage. Und sie missbrauchen die echte Reputation einer echten Website mit echten lokalen Signalen.

Für den betroffenen Betreiber ist das eine doppelte Katastrophe. Erstens: Seine Seite wird für absurde Inhalte genutzt. Zweitens: Wer den Namen des Zahnarztes googelt, findet ihn plötzlich in einem Kontext, der seinem Ruf massiven Schaden zufügen kann. Patienten, die das sehen, werden sich wundern. Vielleicht nie wieder buchen. Und der Zahnarzt wundert sich, warum seine Praxis plötzlich weniger Neupatienten hat.

Wie erkenne ich, ob meine Seite betroffen ist?

Das ist leider nicht ganz trivial, aber es gibt ein paar einfache Tests:

Google-Suche: Einfach mal viagra site:deinedomain.de bei Google eingeben. Wenn da Ergebnisse kommen, ist die Antwort klar. Gleiches mit anderen Keywords wie cialis, pharmacy oder je nach Kontext sogar dem Namen der Praxis plus Medikamentenbegriff. Die Spam-Seiten erscheinen dabei oft erst auf Seite 3 oder 4 der Suchergebnisse, weil Google schon eine gewisse Qualitätsfilterei betreibt.

Googlebot simulieren: In Firefox oder Chrome gibt es Browser-Extensions zum Wechsel des User-Agents. Wenn man den auf Googlebot/2.1 (+http://www.google.com/bot.html) setzt und dann die eigene Seite aufruft, sieht man, was der Suchmaschinen-Bot sieht. Wenn dort plötzlich anderer Inhalt erscheint als normal: Bingo.

Google Search Console: Falls man dort angemeldet ist (und das sollte man sein), gibt es unter „Sicherheitsprobleme“ direkte Hinweise, wenn Google etwas Verdächtiges gefunden hat.

Was tun, wenn’s passiert ist?

Erstmal tief durchatmen. Dann systematisch vorgehen.

Backup machen – auch vom infizierten Zustand. Klingt seltsam, aber wenn beim Aufräumen etwas schiefläuft, ist man froh, noch eine Version zu haben. Danach alle Dateien nach verdächtigen PHP-Dateien durchsuchen, insbesondere in Ordnern wie /images, /includes oder /misc. Auf seltsame Dateinamen achten: .cache.php, .class.php, .old.php – da versteckt sich gerne Schadcode.

Die .htaccess-Datei prüfen. Dort stehen oft die Weiterleitungsregeln, die den Googlebot auf die Spam-Inhalte umleiten. Ein typisches Muster sieht so aus:

RewriteCond %{HTTP_USER_AGENT} (google|yahoo|bing)
RewriteRule ^(.*)$ schadcode.php?$1 [L]

Auch die Datenbank nicht vergessen. In wp_options nach Einträgen wie fwp, wp_check_hash oder ftp_credentials suchen – das sind bekannte Marker von Pharma-Hack-Infektionen.

Und dann: alle Passwörter ändern, alle Plugins und Themes aktualisieren, im Idealfall auf eine saubere Backup-Version zurückgehen und danach über einen Wartungsvertrag nachdenken. Mein Kunde hat das mittlerweile auch getan.

Fazit: Der Pharma-Hack wird erwachsen

Der Pharma-Hack ist kein neues Problem. Er begleitet WordPress seit Jahren. Aber mit dem Einsatz von KI zur Texterstellung hat er eine neue Qualität bekommen. Die Zeiten, in denen man den Spam sofort als fremd erkannte, weil er so offensichtlich generisch war, sind vorbei.

Wer heute eine Website betreibt – egal ob Zahnarzt, Anwalt, Gemeinde oder Einzelhändler – und sich nicht regelmäßig um Updates und Sicherheit kümmert, riskiert nicht nur eine Spam-Schleuder zu werden. Er riskiert, dass sein Name in einem Kontext auftaucht, den er nie gewollt hat. Und das kann dauerhaften Schaden an der Online-Reputation anrichten, lange bevor er überhaupt davon erfährt.

Mein Kunde hat das auf die harte Tour gelernt. Hoffentlich ist dieser Artikel der einfachere Weg für alle anderen.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Markdown erlaubt · keine Anmeldung nötig