HARD CORE SECURITY LAB

Katastrofa prezydenckiego samolotu w Smoleńsku wzbudziła ogromne zainteresowanie internautów, niestety było to również jedno z tych wydarzeń, które komputerowi przestępcy starają się wykorzystać do osiągnięcia własnych korzyści. Nie od dziś wiadomo, że crackerzy manipulują wynikami zwracanymi przez wyszukiwarki internetowe, starając się wypromować własne serwisy stworzone z myślą o rozprzestrzenianiu złośliwego oprogramowania. Jak to jednak możliwe, że niemal natychmiast po tragicznych wydarzeniach, przestępcom udaje się pośród wyników zwracanych na najpopularniejsze w danej chwili zapytania umieszczać odnośniki do własnych witryn?

W związku z tragicznymi sobotnimi wydarzeniami, bardzo często wyszukiwanymi obecnie hasłami w Google są te dotyczące katastrofy prezydenckiego samolotu oraz śmierci Lecha Kaczyńskiego. Przyjrzyjmy się więc wynikom zwracanym w ostatnim czasie przez Google na zapytania (w języku polskim oraz angielskim) dotyczące prezydenckiego wypadku:
Jak widać, pośród czołowych wyników pojawiały się w ostatnim czasie witryny niebezpieczne, zdolne do zainfekowania naszych komputerów. Zazwyczaj promowane w ten sposób strony internetowe zostały przez crackerów utworzone z myślą o dystrybucji oprogramowania typu scareware. Witryny pojawiające się pośród pierwszych wyników zwracanych w odpowiedzi na popularne w danej chwili zapytania z pewnością są bardzo często odwiedzane, spełniają więc świetnie rolę nośnika złośliwego oprogramowania. Jak to jednak możliwe, że przestępcom udaje się tak szybko wypromować w wyszukiwarkach przygotowane przez siebie strony internetowe?

Wszystko zaczyna się od śledzenia popularnych w danym czasie fraz wyszukiwania (przykładowo: „nominacje do Oscarów, „śmierć Jacksona”, czy też w ostatnim czasie „śmierć prezydenta Kaczyńskiego”) z pomocą takich narzędzie jak Google Trends. Gdy crackerzy poznają już bieżące preferencje internautów, przystępują do wypromowania własnych witryn w najpopularniejszych wyszukiwarkach (szczególnie w wyszukiwarce Google) za pomocą technik określanych mianem Blackhat Search Engine Optimization.

Legalne metody pozycjonowania SEO (ang. Search Engine Optimization) są żmudne i w żadnym razie nie pozwoliłyby przestępcom na osiągnięcie wysokich pozycji w wynikach zwracanych przez wyszukiwarki w bardzo krótkim czasie. Crackerzy uciekają się więc do metod nieetycznych oraz nielegalnych. Co najciekawsze, w swym procederze, przestępcy korzystają z gotowych, zautomatyzowanych narzędzi (Blackhat SEO kits, występujące najczęściej w postaci zestawu skryptów PHP), pozwalających na utworzenie całej sieci tysięcy wzajemnie powiązanych za sobą witryn.

Poszczególne witryny są specjalnie przygotowane, zazwyczaj zawierają duże nagromadzenie słów kluczowych oraz stosują tzw. cloaking. Oznacza to, że złośliwe witryny zachowują się inaczej i prezentują różne treści w zależności od tożsamości odwiedzającego je użytkownika. Pakiety Blackhat SEO kits pozwalają na umieszczenie w poszczególnych witrynach skryptów rozpoznających tożsamość odwiedzającego i w zależności od tego czy jest to internauta, czy też robot wyszukiwarki, prezentują odpowiednią treść. Internauta otrzymuje treści niebezpieczne, zdolne do zainfekowania jego komputera, natomiast roboty otrzymują zawartość udającą legalną witrynę silnie związaną z określonym przez crackerów tematem. Poza tym, do każdej z takich witryn prowadzą odnośniki pochodzące z setek lub tysięcy innych tego typu witryn.

Wszystko to powoduje, że złośliwe witryny pojawiają się bardzo szybko wśród pierwszych wyników zwracanych na najpopularniejsze w danym czasie zapytania. W związku z tym internauci masowo odwiedzają niebezpieczne strony, w wyniku czego wiele słabiej zabezpieczonych systemów ulega zainfekowaniu. Niejednokrotnie są to trojany zdolne do wykradania haseł lub prywatnych danych, czy też też oprogramowanie (scareware, ransomware) stworzone z myślą o wyłudzaniu pieniędzy od naiwnych użytkowników Internetu.

Ciągle rosnąca popularność tego typu ataków świadczy o tym, że cały proceder jest opłacalny, czyli nadal wielu internautów łapie się na sztuczki stosowane przez crackerów. Przede wszystkim unikajmy odwiedzania tego typu witryn. Pomóc w tym mogą nam ostrzeżenia wyświetlane przez samą wyszukiwarkę lub też mechanizmy stosowane w najnowszych przeglądarkach internetowych (np. Google Safebrowsing):

Osoby zainteresowane szczegółami stosowanych przez crackerów technik Blackhat Search Engine Optimization zachęcam do zapoznania się z obszernym raportem firmy SophosLabs, który to szczegółowo opisuje wszystkie techniki stosowane w tego rodzaju atakach.