Manipulacja wyszukiwarkami internetowymi

Panda Security wykryÅ‚a strony internetowe do promowania faÅ‚szywych programów antywirusowych w wyszukiwarkach. Witryny te wykorzystujÄ… informacje oferowane przez Google Trends. Analizy wykazaÅ‚y także, że szkodliwe serwisy internetowe oferujÄ… różne treÅ›ci w zależnoÅ›ci od sposobu, w jaki użytkownicy docierajÄ… do danej strony. WedÅ‚ug doniesieÅ„ firmy Panda Security, dostawcy rozwiÄ…zaÅ„ zabezpieczajÄ…cych z sektora IT, cyberprzestÄ™pcy manipulujÄ… wynikami wyszukiwarek internetowych w celu rozprzestrzeniania zÅ‚oÅ›liwych kodów, a w szczególnoÅ›ci faÅ‚szywych programów antywirusowych. Przyczyny takiego dziaÅ‚ania sÄ… proste: aby móc dokonać infekcji komputerów, przestÄ™pcy muszÄ… zachÄ™cić użytkowników do odwiedzenia szkodliwych witryn. InteresujÄ…ca jest jednak nowa technika przyciÄ…gania użytkowników na te wÅ‚aÅ›nie witryny.

Google Trends pomaga zwabić ofiary
Dawniej ofiary wabiono na niebezpieczne strony za pomocÄ… masowo rozsyÅ‚anego spamu. Użytkownik czytaÅ‚ treść wiadomoÅ›ci, klikaÅ‚ na zawarte w niej linki, a nastÄ™pnie – nie bÄ™dÄ…c tego Å›wiadomym - byÅ‚ przekierowywany na szkodliwÄ… stronÄ™ www. Jednak z uwagi na rosnÄ…cÄ… nieufność użytkowników wobec wiadomoÅ›ci otrzymywanych od nieznanych nadawców, cyberprzestÄ™pcy zaczÄ™li stosować skuteczniejsze sposoby wabienia nowych ofiar. Jeden z nich polega na wykorzystaniu narzÄ™dzia Google Trends (http://www.google.com/trends), które miÄ™dzy innymi prezentuje najbardziej popularne frazy wyszukiwane w danym dniu (przykÅ‚adowo: „przemówienie inauguracyjne prezydenta Obamy”, czy „nominacje do Oscarów”).

Po uzyskaniu danych o najpopularniejszych frazach i tematach danego dnia, cyberprzestÄ™pcy tworzÄ… blog, który zawiera te sÅ‚owa (np. Obama, Penelope Cruz itp.) oraz materiaÅ‚y wideo, rzekomo powiÄ…zane z tymi informacjami. Te nieetyczne dziaÅ‚ania pozwalajÄ… uplasować faÅ‚szywÄ… stronÄ™ na wyższej pozycji w wyszukiwarce. „Użytkownicy, którzy uwierzÄ… w prawdziwość tych wyników odwiedzajÄ… witrynÄ™, na której sÄ… zachÄ™cani do pobrania kodeka lub innej aplikacji, umożliwiajÄ…cych obejrzenie pliku wideo. KlikniÄ™cie odsyÅ‚acza powoduje jednak pobranie zÅ‚oÅ›liwego oprogramowania, najczęściej faÅ‚szywego programu antywirusowego” – wyjaÅ›nia Maciej Sobianek, specjalista ds. bezpieczeÅ„stwa w Panda Security Polska.

FaÅ‚szywe programy antywirusowe symulujÄ… dziaÅ‚anie prawdziwych systemów zabezpieczeÅ„, próbujÄ…c przekonać użytkowników, że ich komputery zostaÅ‚y zainfekowane zÅ‚oÅ›liwymi kodami. Ofiary zachÄ™ca siÄ™ do zakupu oprogramowania, które pozwoliÅ‚oby usunąć fikcyjne infekcje. CyberprzestÄ™pcy coraz częściej stosujÄ… tego rodzaju oszustwa i uzyskujÄ… znaczne korzyÅ›ci finansowe.


Techniki SEO
Ten typ ataku wykorzystuje zaawansowane technik SEO (Search Engine Optimization). SÄ… to legalne sposoby tworzenia serwisów internetowych, których celem jest zwiÄ™kszenie iloÅ›ci i jakoÅ›ci ruchu na witrynie, a także poprawienie jej pozycji na liÅ›cie wyników wyszukiwania (gÅ‚ównie w wyszukiwarce Google). PrzykÅ‚adem jest witryna www sprzedajÄ…ca faÅ‚szywy program antywirusowy Malwaredoctor, stworzony specjalnie w celu osiÄ…gniÄ™cia wysokiej pozycji w wyszukiwarce (wiÄ™cej informacji znaleźć można na stronie: http://pandalabs.pandasecurity.com/archive/Metatags-in-malware-websites_3A00_-II-part.aspx ).

Oprócz wyżej opisanych standardowych technik pozycjonowania, atakujÄ…cy uciekajÄ… siÄ™ także do sposobów znanych jako Black Hat SEO. SÄ… to nielegalne techniki pozycjonowania, niezgodne z zasadami ustanowionymi przez twórców wyszukiwarek i polegajÄ… na stosowaniu alternatywnej treÅ›ci lub wpÅ‚ywaniu na odczucia użytkowników. Czasami trudno okreÅ›lić, czy dana technika jest prawidÅ‚owa czy też nie, z uwagi na zasady stosowane przez danÄ… wyszukiwarkÄ™.


Sposoby ukrywania ataków
CyberprzestÄ™pcy starajÄ… siÄ™ utrudnić producentom oprogramowania zabezpieczajÄ…cego identyfikacjÄ™ wÅ‚asnych stron. W tym celu stosujÄ… coraz bardziej zaawansowane sposoby przeprowadzania ataków. Na przykÅ‚ad niektóre ze zÅ‚oÅ›liwych witryn jakimi posÅ‚ugujÄ… siÄ™ cyberprzestÄ™pcy, zachowujÄ… siÄ™ inaczej i prezentujÄ… różne treÅ›ci w zależnoÅ›ci od pochodzenia odwiedzajÄ…cego je użytkownika.

W celu ukrycia ataku cyberprzestÄ™pcy stosujÄ… skrypt, który okreÅ›la pochodzenie odwiedzajÄ…cego. Jeżeli użytkownik wprowadzi adres URL witryny którÄ… chce odwiedzić, na pasku adresu przeglÄ…darki prezentowana jest prawidÅ‚owa treść. Jeżeli jednak użytkownik korzysta ze zmanipulowanych wyników wyszukiwarki Google, zostanie przeniesiony na szkodliwÄ… witrynÄ™ www.


MSAntispyware 2009
Laboratorium PandaLabs wykryÅ‚o witrynÄ™ www, która reprezentuje nowy przykÅ‚ad zastosowania techniki Black Hat SEO. Zazwyczaj strony sprzedajÄ…ce faÅ‚szywe programy antywirusowe (zarówno te, które zawierajÄ… okreÅ›lone znaczniki, jak i pozostaÅ‚e) sÄ… tworzone w taki sposób, aby ich pozycja w wyszukiwarkach byÅ‚a jak najwyższa. Jednak w przypadku witryny wykorzystywanej do dystrybucji MSAntispyware 2009 sytuacja wyglÄ…daÅ‚a zupeÅ‚nie inaczej. Wszystkie znaczniki i procesy zaprojektowane zostaÅ‚y w taki sposób, aby strona nie zostaÅ‚a zaindeksowana w wyszukiwarkach. WiÄ™cej informacji znaleźć można na stronie: http://pandalabs.pandasecurity.com/archive/Metatags-in-malware-websites.aspx
Celem takiego postÄ™powania byÅ‚o znaczne utrudnienie analitykom zÅ‚oÅ›liwego oprogramowania oraz producentom zabezpieczeÅ„ dziaÅ‚aÅ„ majÄ…cych udaremnić infekcje z wykorzystaniem blokowania adresów URL.