venerdì 24 maggio 2013

Sito con particolari pagine di 'Referer spamming' ai danni di blogs Blogspot (23 maggio)

Il 'Referer spamming' ai danni di blogs Blogspot  non e' certo una novita' (vedi post del 1 febbraio 2011) ma da qualche giorno sembra nuovamente molto attivo attraverso un dominio 'dedicato' in maniera mirata proprio a colpire i blogs Blogspot.

Come vedremo, la notevole differenza tra le precedenti azioni di spamming di referer e quella odierna e' dovuta al fatto che si tratta di  pagine web che attraverso script producono un vero e proprio  'bombardamento di referer”  ai danni di una lista variabile di indirizzi Blogspot inclusa nel codice delle stesse e per di piu' utilizzando il PC di chi le visita.

Per iniziare ecco una breve descrizione del piu' comune 'Referer spamming':

Traducibile sommariamente in lingua italiana anche come 'spam dei log o delle statistiche' od in maniera piu' divertente come 'bombardamento di referer”,  il 'Referer spamming'  e' uno spamdexing (spamming dedicato ai motori di ricerca) che consiste nel fare  ripetute richieste ad un sito Web utilizzando una URL di referer, che punta al sito che lo spammer vuole pubblicizzare.

Per completezza ricordo che il 'referer' (scritto a volte anche come 'referrer') e' semplicemente l'URL di un elemento che conduce all'elemento corrente: ad esempio, il referer di una pagina HTML puo' essere un'altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente e' venuto a conoscenza di una pagina. Il referer e' parte integrante di una request HTTP inviata dal browser al webserver. (fonte Wikipedia).
Un gestore di statistiche relative a sito WEB potra' quindi, tramite il referer, identificare da quale sito e pagina e' giunto il visitatore.

Poiche' molti siti pubblicizzano le statistiche degli accessi e comunque dette statistiche possono essere anche indicizzate dai motori di ricerca e' evidente quindi lo scopo di far apparire nelle liste delle statistiche l'URL da diffondere che sara' cosi' piu' facilmente elencata dai risultati di una  ricerca in rete tramite Google, Bing ecc......

Tra l'altro questa campagna di spamming dedicata a blogs Blogspot, non risparmia neanche le statistiche di questo blog, come vediamo da un attuale parziale screenshot delle stesse:
Anche se con una percentuale di 'fake accessi” molto ridotto rispetto ad esempio a referer legittimi derivati da ricerche Google, ecco infatti il sito 'topblogstories.com' comparire ben posizionato ai primi posti dei Referring Sites di questo blog.


In dettaglio 'topblogstories.com' e' un sito dai contenuti porno il cui layout delle pagine che propone sembra essere solo costituito di links a foto porno tratte da sito con whois Ucraino e links ad altre pagine dello stesso sito 'topblogstories.com'   (forms e pulsanti di scelta presenti non parrebbero essere attivi o meglio re-linkano altre pagine dello stesso sito 'topblogstories.com'  ).

Un whois mostra 


'topblogstories.com'  sfrutta anche la geo-localizzazione degli IP poiche' con IP Thai abbiamo 


mentre es. forzando via proxy un IP italiano 


con evidente diverso testo, a seconda dell'IP utilizzato.

Che si tratti di una azione di spamming dei referer recente lo vediamo analizzando il  dominio usato:


Come si nota la data di registrazione risale a pochi giorni fa mentre il Registrant  e' a nome di  Annette Sciverit.
Ora, se andiamo a ricercare in rete riferimenti ad Annette Sciverit  troviamo che la stessa appare come registrant es di  


con


 cosa che conferma come si tratti di una azione di spamming dei referer gestita dai medesimi personaggi che gestiscono pharmacy ecc.....

Piu' interessante e' comunque esaminare le pagine linkate dal 'Referer spamming' nelle statistiche del blog, pagine che rivelano un codice particolare e mai visto in precedenti azioni che hanno anche colpito questo blog.

Il codice della pagina mostra infatti questo script


 che riporta una lunga lista di riferimenti ad URL blogspot, lista che ad ogni nuovo caricamento della pagina cambia seguendo un ordine alfabetico.
Es a due successivi caricamenti della pagina abbiamo


seguito da 


ecc.........


Come si nota differenti URLS sempre tutte di blogs Blogspot che vengono utilizzate per attuare un vero e proprio  'bombardamento di referer' ai danni appunto dei blogs presenti nella lista e sfruttando PC e connessione Internet di chi sta visitando il sito 'topblogstories.com'.

Analizzando in dettaglio il codice possiamo notare come lo script sfrutti una immagine nascosta sulla pagina


che possiamo vedere in chiaro alterando il codice html della pagina stessa


immagine che riproduce il logo Google, ed e' tratta da sito Google.

Lo script presente richiama la funzione che tenta di leggere una immagine su uno dei blog in elenco, a brevi intervalli di tempo (codice in giallo).


Lo scopo non e' tanto quello di sostituire l'immagine dal logo Google con quella che potrebbe essere presente sul blog colpito,  ma piuttosto quello di segnalare al gestore di statistiche del blog preso di mira, che lo stesso viene visitato da 'topblogstories.com'.
Inoltre la funzione presente viene eseguita ad ogni caricamento della pagina e quindi poiche' la lista di URL varia, avremo di conseguenza un nuovo indirizzo blogspot da colpire  ogni volta che la pagina viene visitata.

Qui vediamo sommariamente riassunto come si sviluppa l'esecuzione dello script  partendo da una delle pagine proposte e di cui e' stato modificato il sorgente per evitare un eventuale spam ai danni di utenti blog Blogspot.
I codice cosi' modificato e' stato hostato su servizio free web e la pagina caricata nel browser.

Ecco la pagina con source modificato


 dove e' stato sostituito il link a reali blog con un link a questo blog 


Caricando la pagina nel browser e attribuendo un referer di fantasia (ma non troppo),


se gli script sono abilitati,  viene generato un vero e proprio 'bombardamento di referer' attraverso il richiamo del sito linkato (quello es .di questo blog) in maniera continua ed a brevi intervalli di tempo.
Come vediamo da questa sessione Fiddler catturata al momento dell'esecuzione dello script ogni volta che lo script richiama il sito Blogspot,  l'URL e' diversa nella parte random generata dall'omonima funzione.

video

Contemporaneamente le statistiche del blog hanno registrato un accesso da parte di utenti con provenienza il fake referer usato (notate come in pochi secondi si siano create ben 12 'visite fake' al blog)


Chiaramente quando realmente in azione lo script su una delle pagine di 'topblogstories.com' caricate , il gestore delle statistiche del blog vedra' un accesso da parte del sito 'topblogstories.com'   o meglio vedra' il referer relativo a 'topblogstories.com' ed andra' cosi' ad incrementare il numero di visite da parte del sito porno con conseguente maggiore 'visibilita'' ai motori di ricerca proprio del sito 'topblogstories.com'.

E' probabile che lo spamming di referer odierno non sia solo gestito tramite gli script inclusi nel codice delle pagine del sito porno ma in definitiva si tratta di un ingegnoso sistema che sfrutta i visitatori del sito porno ed i loro PC come involontari esecutori di ulteriore 'Referer Spamming' ed il tutto in maniera assolutamente trasparente per chi visita il sito.

Che attualmente ci sia una diffusione abbastanza elevata di questo spamming lo possiamo vedere da diversi commenti anche sul forum di Blogger


Uno dei danni piu' rilevanti generati dall'odierno 'Referer spamming'  e' quindi una certa inattendibilita' delle statistiche relative al blog colpito, in quanto i risultati sono falsati dalla presenza di riferimenti a 'topblogstories.com'.
Appare invece meno chiaro quale possa essere l'interesse a creare queste statistiche alterate in quanto la maggior parte dei report, almeno per quanto si riferisce a quelli Blogspot, sono accessibili solo dopo aver effettuato il login alla pagina di amministrazione del blog e quindi visibili solo a chi lo gestisce.

In altre parole, ed al momento, non parrebbero esistere evidenti segnali di una indicizzazione di report statistici Blogspot comprendenti anche il link al sito porno in questione, da parte dei motori di ricerca.

Edgar

1 commento:

Enrico Isopi ha detto...

complimenti, molto chiaro