Злоумышленники прибегают к методу поискового отравления для обмана пользователей. Для этого они манипулируют результатами поиска с помощью программ и расширений, взламывают сайты и используют черные методы SEO, чтобы размещать в органической выдаче ссылки на фишинговые и другие вредоносные страницы.
Рассказываем подробнее, что это такое, чем опасно и как понять, что мошенники показывают вам фальшивые ссылки.
Особенности SEO-отравления
Поисковое отравление — это кибератака, при которой злоумышленники используют технику манипуляции поисковой выдачей для продвижения вредоносных страниц. Они создают или модифицируют контент и применяют агрессивные стратегии SEO, которые искусственно улучшают ранжирование по популярным ключевым словам.
Сайты, принадлежащие мошенникам, могут имитировать реальные официальные ресурсы популярных брендов. Контент также может быть создан максимально схожий с оригиналом (или полностью скопирован), чтобы не вызывать подозрений у жертвы.
К примеру, в 2022 году эксперты по кибербезопасности обнаружили атаку с поисковым отравлением: в выдаче Google 15 тыс. вредоносных сайтов. Они отлично ранжировались в топе выдачи и занимали высокие позиции по ВЧ-ключам. Пользователи переходили по ссылкам и попадали на мошеннические ресурсы с загрузкой вредоносов и кражей учетных данных.
Цель отравления результатов поисковой выдачи
Пользователи могут искать шаблоны юридических документов, «крякнутый» Microsoft Word, популярную мобильную игру, но в итоге терять личные данные, управление устройством и деньги.
Вот основные цели, которые преследуют злоумышленники при поисковом отравлении:
- Распространение вредоносных программ: вирусы, шпионы, вымогатели, автокликеры.
- Получение доступа к устройству.
- Угон аккаунтов и кража данных авторизации от различных сервисов.
- Проведение мошеннических схем с подарочными картами, фальшивыми промокодами и несуществующими скидками.
- Распространение дезинформации.
- Репутационный ущерб.
- Перехват СМС и пуш-уведомлений.
- Перенаправление трафика через партнерские и рекламные платформы.
Мошенники вкладываются финансово, тратят время на продвижение своих посадочных страниц, но цель оправдывает средства. Масштабные атаки способны открывать хакгруппам доступ к любым данным пользователей.
Пример, как это работает
- Типичная SEO-атака начинается с выбора цели.
- Далее злоумышленники подбирают популярные ключевые или брендовые фразы, а также запросы, которые находятся в тренде. Это может быть что угодно: от терминов, связанных с новостями и развлечениями, до загрузок программного обеспечения и медицинских рекомендаций. Например, «microsoft word скачать бесплатно», «саммит на аляске новости» и т. д.
- Далее хакеры решают, создавать ли собственный сайт в качестве посадочной и продвигать его на поиске или искать уязвимости в существующих ресурсах из топа выдачи, взламывать их и перенаправлять трафик на свои вредоносные страницы.
- Как только посетители попадают на посадочную страницу мошенников, они сталкиваются с такими киберугрозами, как загрузка ПО, программы-вымогатели, попытки фишинга с целью кражи личной информации, мошеннические интернет-магазины, где жертвы оставляют свои контактные и банковские данные и даже заказывают товары, которые оказывают контрафактными или вовсе не существуют.
Методы поискового отравления
Алгоритмы поисковых систем ранжируют страницы в выдаче на основании внешних и внутренних факторов. Чтобы ускорить процесс и вывести ресурс в топ, мошенники прибегают к различным методам. В первую очередь — «черным» методам SEO.
1. Черное SEO: «фаршировка» ключами и скрытый текст
Контент страниц переспамливается ключевыми словами, которые аномально много раз повторяются в тексте. В связи с этим он становится нечитаемым для рядовых пользователей, однако видимым поисковыми алгоритмами.
Но. Цель злоумышленников — не просто с помощью поискового отравления повысить позиции на поиске, а убедить жертву выполнить определенное действие. Если он увидит контент, состоящий из абракадабры, то навряд ли скачает программу или документ. Для этого злоумышленники используют скрытый текст и другие уловки.
2. Malvertising
Malvertising — это вредоносная реклама, в данном случае на поиске, ссылка с которой ведет на мошеннические сайты.
Например, в январе этого года эксперты из Malwarebytes обнаружили схему, при которой киберпреступники создавали страницы на домене sites.google.com, копировали внешний вид рекламной платформы Google Ads, использовали фишинговую рекламу на поиске и похищали данные авторизации пользователей, которые переходили по ссылкам.
3. Cloaking
Клоакинг — это отображение разного контента или URL в зависимости от того, кто перешел на страницу: посетитель и поисковый робот. Пользователи видят обычный контент, а краулерам мошенники «скармливают» другую версию страницы — с переоптимизацией.
4. Фермы ссылок
Ссылочная ферма — это сеть сайтов, которые ссылаются друг на друга для повышения цитирования как одного из ключевых факторов ранжирования. Ссылки могут искусственно повышать рейтинг ресурса, предполагая, что он более релевантен и авторитетен, чем есть на самом деле.
5. Заражение устройства или браузера
В этом случае отравление выдачи может реализовываться только на стороне пользователя, когда тот по незнанию устанавливает вредоносную программу, расширение или мобильное приложение.
6. Сайты с плагиатом
Мошенники используют скрейпинг для воровства контента с других трастовых сайтов и размещают его на своих страницах, чтобы обмануть поиск и выйти в топ. Цель — быстро и легко (за чужой счет) разместить контент, который можно оптимизировать для поиска, переманивая трафик.
7. Редиректы
Редиректы используют рейтинг страниц в поисковых системах для перенаправления жертв на мошеннические ресурсы. Вот несколько распространенных методов, которые используют злоумышленники:
- Открытые уязвимости в коде легитимного сайта позволяют хакерам перенаправлять пользователей на любой домен по своему выбору.
- Межсайтовый скриптинг (XSS).
- Подделка запросов на стороне сервера (SSRF) позволяет злоумышленникам отправлять обработанные запросы с уязвимого сервера, которые потенциально могут быть использованы для перенаправления.
Также мошенники прибегают к методу тайпсквоттинга — выводят в топ поиска сайт с названием домена, очень похожим на какой-нибудь популярный ресурс: банк, соцсеть, рекламная платформа и т. д.
Примеры отравления выдачи
Операторы BATLOADER использовали Google Ads для доставки вредоносов
Ранее в нашем блоге мы рассказывали про мошенническую кампанию Batloader. Киберпреступники размещали в Google Ads рекламу, чтобы приводить трафик на сайты с вредоносными программами Vidar Stealer и Ursnif. Рост числа подобных объявлений в поисковых системах произошел на фоне заявления компании Microsoft, когда та приняла решение о блокировке макросов в Office по умолчанию из файлов, загруженных из интернета.
Операторы Gootloader заманивали жертв через Google Ads бесплатными шаблонами юридических документов
Злоумышленники размещали через рекламную платформу Google объявления с рекламой популярных и бесплатных юридических шаблонов. Пользователь искал, к примеру, «шаблон соглашения о неразглашении» и переходил по объявлению из поиска на мошенническую страницу, скачивая документ с опасной «начинкой».
Как проверить свой сайт на поисковое отравление: 5 признаков
Вот ключевые признаки, которые могут говорить о том, что сайт взломан и/или его пытаются «вытащить» в топ для поискового отравления:
1. Предупреждения браузера
Один из основных признаков — браузер показывает предупреждение о том, что сайт может быть небезопасен. Например, что он был скомпрометирован или распространяет вредоносы. Если вы используете антивирус, то он, вероятнее всего, и вовсе заблокирует переход.
Современные браузеры и антивирусные программы легко обнаруживают подозрительное поведение веб-ресурсов, такое как несанкционированное выполнение скриптов, попытки автоматической загрузки файлов или перенаправления на известные вредоносные домены. Они предупреждают пользователей в виде уведомлений, блокировки загрузок или переходов по ссылкам.
Однако, как правило, предупреждения браузера работают с некоторым опозданием, поскольку необходимо подкрепление фактами. Уведомления появляются только в том случае, если об атаке стало известно или кто-то из пользователей сообщил о проблеме. В результате многие жертвы по-прежнему попадают в ловушку поискового отравления.
2. Странные результаты поиска и аномальный трафик по нерелевантным ключам
Вы заметили, что сайт начал ранжироваться в поиске по нерелевантным запросам, по которым идет всплеск органических визитов на новые страницы. Также вы видите в поисковой выдаче сайты, которые ранжируются выше ваших, но не отличаются качественным и проработанным контентом.
Для этого злоумышленники нередко используют манипуляцию обратными ссылками или прибегают к черному SEO. В том числе они могут спамить ссылками на ваш ресурс, из-за чего поисковые системы его понижают в результатах выдачи.
3. Изменения в дизайне
Вы заметили, что на вашем сайте изменился дизайн, появились новые контентные блоки, кнопки, ссылки, всплывающие окна и баннеры. Скорее всего, вас взломали и используют для накруток.
Цель — эксплуатация трафика в злонамеренных целях. Посетители могут сталкиваться с редиректами, которые перенаправляют их на мошеннические ресурсы. Подобные изменения вносятся без вашего ведома или согласия.
4. Вводящий в заблуждение контент
Это могут быть статьи, блоги или посадочные страницы, переоптимизированные ВЧ-запросами. Такой контент не несет полезной смысловой нагрузки, поскольку создан специально для поисковых роботов, а не людей, чтобы лучше ранжироваться в поиске и приводить органический трафик.
Если манипуляции произведены с чужим сайтом, то из-за этого теряется доверие как постоянных, так и новых пользователей, которые переходят из выдачи. Что еще хуже, такой контент часто служит воротами для более вредоносных действий: перенаправление на мошеннические ресурсы или загрузка программ.
5. Загрузка программного обеспечения и всплывающие окна
Всплывающие окна, неожиданно появляющиеся на экране, обманом убеждают жертву скачать программу или файл. Например, это могут быть сообщения с требованием обновить браузер или расширение.
Это вводит пользователей в заблуждение, заставляя их думать, что они выполняют плановое и необходимое легитимное обновление. Однако после перехода по кнопке или клику по ссылке на устройство загружается вредонос.
Что делать пользователям
Быть внимательными в сети нужно не только владельцам сайтов, но и самим пользователям. Большую часть вредоносных действий можно предотвратить, если:
- Перед кликом по ссылке в выдаче обращать внимание на адрес сайта и название: опечатки, дополнительные слова, закодированные символы. Сверяйте с официальным доменом.
- Добавлять часто посещаемые официальные сайты в закладки или текстовые документы и переходить из них.
- При попытке переадресации вы сразу закрыли вкладку.
- Заметили быстрое изменение контента в рамках одного ресурса и тут же покинули его.
- Вы используете только основные и популярные поисковые системы, не загружаете ПО с пиратских площадок и сомнительных телеграм-ботов.
- У вас установлен антивирус, который проверяет поисковую выдачу на безопасность.
FAQ
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
