Da qualche mese una delle piu rilevanti attivita' di cybercrime in internet e' quella dell'inclusione, in siti compromessi di pagine con layout quasi sempre simile a blogs, allo scopo di creare links a: malware, falsi Av, pharmacy, quando effettuiamo una ricerca in rete.
Un post su Chris Mosby at myITforum.com riassume bene questa situazione che coinvolge (vedi le decine di post pubblicati su questo blog al riguardo negli ultimi mesi e settimane) molti siti anche IT che vengono compromessi per questo scopo.
Il post descrive in dettaglio quanto puo accadere quando un cybercriminale attacca un sito: puo' inserire iframes con codice malevolo, puo' tentare di rubare dati ecc... ma la cosa che forse fara' sara' quella di una azione di SEO Poisoning nei riguardi del sito colpito.
Search engine optimization (SEO) e' un insieme di tecniche utilizzate per ottenere la comparsa ai primi posti dei risultati di una ricerca, dei links relativi ad un determinato sito web.
"Black hat SEO" e' invece il metodo utilizzato per ottimizzare una ricerca con tecniche non consentite normalmente e per fini malevoli. (tecniche definite come cloaking, keyword stuffing, link farming ecc...)
In effetti che vantaggi ha un cybercriminale a portare un sito ai primi posti di una ricerca ?
Ha molti vantaggi, in quanto la prima cosa che fara' sara' inserire , (di solito in maniera totalmente nascosta ad un normale visitatore del sito colpito) decine se non centinaia di pagine il cui contenuto il piu' delle volte e' linkato o copiato da siti legittimi e feed.(ecco un esempio tratto da precedente post)
Chiaramente ognuna di queste pagine e' “inclusa” nel sito senza il consenso del reale proprietario del sito e senza che questo ne sia al corrente (da quanto si vede attualmente in rete ben pochi amministratori di siti web IT si accorgono di queste inclusioni, basta vedere i siti che hanno online questi contenuti 'aggiunti' da mesi.....!!!)
Una volta che il motore di ricerca avra' indicizzato queste pagine, con keywords che di solito trattano argomenti recenti (es notizie dell'ultima ora, ecc...) una ricerca portera' a trovare ai primi posti i links a queste pagine incluse.
Le parole chiave nella URL, le parole chiave nel titolo, e il relativo contenuto ingannano, per cosi' dire gli algoritmi dei motori di ricerca portando la paginaWeb in alto nei risultati.
In altre parole, questa falsa pagina Web ha 'giocato' l'algoritmo del motore di ricerca portandolo a credere che il contenuto sia rilevante, rispetto a cio' che viene cercato.
Il blog analizza anche diverse tecniche di “cloaking”
Il “cloaking” e' una tecnica informatica mediante la quale, grazie a particolari script, e' possibile mostrare ai motori di ricerca un contenuto differente da quello che realmente il sito propone agli utenti, consentendo cosi' al sito stesso di ottenere migliori posizionamenti all'interno delle ricerche.
A questo punto, ad esempio usando referrer di provenienza, il cybercriminale puo' conoscere se la richiesta della pagina fasulla avviene tramite motore di ricerca ( e in particolare anche quale...Google, Yahoo, .....), e comportarsi di conseguenza, presentando diverse alternative come risposta al link seguito. (sono molti anche i casi in cui viene analizzato l'IP di provenienza (geolocalizzazione dell'IP) con 'risposte diverse' a seconda della provenienza del visitatore.(es. Qui in Thai quasi sempre non vengono rese visibili le pagine con links a files eseguibili che vengono proposti invece a visitatori IT)
L'inclusione di script offuscati all'interno di queste pagine 'virtuali' inserite nei siti legittimi permette poi un redirect automatico, molte volte senza che chi ha cliccato sul link dei risultati del motore di ricerca, possa vedere i contenuti della pagina nascosta ed inclusa.
In pratica si viene subito rediretti in maniera del tutto 'trasparente' da Google alla pagina del falso scanner AV o del player che necessita dell'immancabile file eseguibile per visionare il filmato proposto.
Notate inoltre che un redirect multiplo, come accade in questi casi, impedisce quasi sempre che applicazioni quali ad esempio “Google safe browsing” possano rilevare un pericolo nei links proposti ed intervenire.
Il post su Chris Mosby at myITforum.com analizza poi in quale modo venga forzato il crawler del motore di ricerca ad individuare come rilevanti i links che puntano a queste pagine incluse.
Il modo piu' semplice e quello di sottoporre manualmente il sito ai crawlers dei motori di ricerca ma sicuramente non e' valido quando si tratta di migliaia di pagine.
Un altro metodo e' quello dell'uso, ad esempio, del file Sitemaps che contiene i links alle pagine del sito web.
I motori di ricerca attribuiscono importanza anche ai link ad un sito web che esistono su altri siti web.
Questi collegamenti “backlinks” ("a ritroso") sono indice della popolarita' di un sito web.
Ecco intervenire allora un altro dei metodi utilizzati per aumentare la rilevanza dei links a pagine incluse in siti legittimi e cioe' l'uso delle tecnica che sfrutta le cosiddette “Link Farm” (letteralmente fattorie di links)
Si tratta di creare decine o centinaia di pagine che contengano links e parole chiave rilevanti (anche in questo caso news di attualita' ecc...) che puntino alle pagine incluse e nascoste viste prima, e di rendere questi links invisibili al visitatore ma non al motore di ricerca (questo si puo' fare ad esempio attraverso l'uso di (display:style=”none”) come abbiamo visto ieri nel caso dei falsi blog myblog.it.
Per aumentare il grado di occultamento di questi links si puo' anche utilizzare “user agent” per evitare che chi visualizzasse il sorgente della pagina possa vedere la lunga serie di links (in pratica il lungo elenco dei links verra' proposto solo al 'bot' del motore di ricerca e non ad un browser che caricasse la pagina (stratagemma facilmente aggirabile per chi vuole analizzare un sito dubbio, forzando l'user agent es a Googlebot attraverso uno dei tanti addons presenti es. in Firefox)
Per concludere, un bell'esempio di uso di “links farm” + pagine nascoste incluse + uso di redirect (con filtro di IP, referer ....) a falsi scanner AV, fake player o falsi motori di ricerca.... lo potete vedere nel post di ieri al riguardo di Myblog.it e dei falsi blog con links a malware.
Aggiornamento su links a falsi scanner Av in blogs myblog.it
In riferimento alla stretta relazione tra migliaia di links inseriti in maniera nascosta su falsi blog myblog e le pagine nascoste su altri siti compromessi con redirect a fake scanner AV ecco alcuni dettagli rilevati in rete oggi.
Questo un nuovo blog myblog.IT creato da poco, per facilitare la presenza di links nei risultati di ricerca in rete
con un dettaglio del sorgente della homepage del blog che presenta inclusi piu' di 2.000 (duemila!) links composti da parole chiave e relative url che puntano tutte a pagina nascosta su altro sito compromesso.
Questi invece due dei tanti risultati ricercando con Google dove si nota la stretta relazione tra parole chiave trovate e links presenti su myblog.
ed anche
La pagina nascosta a cui si accede dalla ricerca (o dal link diretto su myblog.it ma nascosto)
a sua volta punta, anche in questo caso, a un sito che seleziona, differenti falsi scanner AV, player video fasulli, falsi motori di ricerca....ecc.... come gia descritto in precedenza.
Edgar
Nessun commento:
Posta un commento