Cyberprzestępcy manipulują wynikami wyszukiwarek internetowych

Według doniesień firmy Panda Security, cyberprzestępcy manipulują wynikami wyszukiwarek internetowych w celu rozprzestrzeniania złośliwych kodów, a w szczególności fałszywych programów antywirusowych. Przyczyny takiego działania są proste: aby móc dokonać infekcji komputerów, przestępcy muszą zachęcić użytkowników do odwiedzenia szkodliwych witryn. Interesująca jest jednak nowa technika przyciągania użytkowników na te właśnie witryny.
Cyberprzestępcy manipulują wynikami wyszukiwarek internetowych

Google Trends pomaga zwabić ofiary

Dawniej ofiary wabiono na niebezpieczne strony za pomocą masowo rozsyłanego spamu. Użytkownik czytał treść wiadomości, klikał na zawarte w niej linki, a następnie – nie będąc tego świadomym – był przekierowywany na szkodliwą stronę www. Jednak z uwagi na rosnącą nieufność użytkowników wobec wiadomości otrzymywanych od nieznanych nadawców, cyberprzestępcy zaczęli stosować skuteczniejsze sposoby wabienia nowych ofiar. Jeden z nich polega na wykorzystaniu narzędzia Google Trends (http://www.google.com/trends), które między innymi prezentuje najbardziej popularne frazy wyszukiwane w danym dniu (przykładowo: “przemówienie inauguracyjne prezydenta Obamy”, czy “nominacje do Oscarów”).

Po uzyskaniu danych o najpopularniejszych frazach i tematach danego dnia, cyberprzestępcy tworzą blog, który zawiera te słowa (np. Obama, Penelope Cruz itp.) oraz materiały wideo, rzekomo powiązane z tymi informacjami. Te nieetyczne działania pozwalają uplasować fałszywą stronę na wyższej pozycji w wyszukiwarce. – Użytkownicy, którzy uwierzą w prawdziwość tych wyników odwiedzają witrynę, na której są zachęcani do pobrania kodeka lub innej aplikacji, umożliwiających obejrzenie pliku wideo. Kliknięcie odsyłacza powoduje jednak pobranie złośliwego oprogramowania, najczęściej fałszywego programu antywirusowego – wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa w Panda Security Polska.

Fałszywe programy antywirusowe symulują działanie prawdziwych systemów zabezpieczeń, próbując przekonać użytkowników, że ich komputery zostały zainfekowane złośliwymi kodami. Ofiary zachęca się do zakupu oprogramowania, które pozwoliłoby usunąć fikcyjne infekcje. Cyberprzestępcy coraz częściej stosują tego rodzaju oszustwa i uzyskują znaczne korzyści finansowe.

Techniki SEO

Ten typ ataku wykorzystuje zaawansowane technik SEO (Search Engine Optimization). Są to legalne sposoby tworzenia serwisów internetowych, których celem jest zwiększenie ilości i jakości ruchu na witrynie, a także poprawienie jej pozycji na liście wyników wyszukiwania (głównie w wyszukiwarce Google). Przykładem jest witryna www sprzedająca fałszywy program antywirusowy Malwaredoctor, stworzony  specjalnie w celu osiągnięcia wysokiej pozycji w wyszukiwarce (więcej informacji znaleźć można na stronie: http://pandalabs.pandasecurity.com/archive/Metatags-in-malware-websites_3A00_-II-part.aspx).

Oprócz wyżej opisanych standardowych technik pozycjonowania, atakujący uciekają się także do sposobów znanych jako Black Hat SEO. Są to nielegalne techniki pozycjonowania, niezgodne z zasadami ustanowionymi przez twórców wyszukiwarek i polegają na stosowaniu alternatywnej treści lub wpływaniu na odczucia użytkowników. Czasami trudno określić, czy dana technika jest prawidłowa czy też nie, z uwagi na zasady stosowane przez daną wyszukiwarkę.

Sposoby ukrywania ataków

Cyberprzestępcy starają się utrudnić producentom oprogramowania zabezpieczającego identyfikację własnych stron. W tym celu stosują coraz bardziej zaawansowane sposoby przeprowadzania ataków. Na przykład niektóre ze złośliwych witryn jakimi posługują się cyberprzestępcy, zachowują się inaczej i prezentują różne treści w zależności od pochodzenia odwiedzającego je użytkownika.

W celu ukrycia ataku cyberprzestępcy stosują skrypt, który określa pochodzenie odwiedzającego. Jeżeli użytkownik wprowadzi adres URL witryny którą chce odwiedzić, na pasku adresu przeglądarki prezentowana jest prawidłowa treść. Jeżeli jednak użytkownik korzysta ze zmanipulowanych wyników wyszukiwarki Google, zostanie przeniesiony na szkodliwą witrynę www.

MSAntispyware 2009

Laboratorium PandaLabs wykryło witrynę www, która reprezentuje nowy przykład zastosowania techniki Black Hat SEO. Zazwyczaj strony sprzedające fałszywe programy antywirusowe (zarówno te, które zawierają określone znaczniki, jak i pozostałe) są tworzone w taki sposób, aby ich pozycja w wyszukiwarkach była jak najwyższa. Jednak w przypadku witryny wykorzystywanej do dystrybucji MSAntispyware 2009 sytuacja wyglądała zupełnie inaczej. Wszystkie znaczniki i procesy zaprojektowane zostały w taki sposób, aby strona nie została zaindeksowana w wyszukiwarkach. Więcej informacji znaleźć można na stronie: http://pandalabs.pandasecurity.com/archive/Metatags-in-malware-websites.aspx. Celem takiego postępowania było znaczne utrudnienie analitykom złośliwego oprogramowania oraz producentom zabezpieczeń działań mających udaremnić infekcje z wykorzystaniem blokowania adresów URL.