Rizici na internetu: Black hat SEO (2. deo)

Tekstovi o zaštiti, 14.09.2010, 01:17 AM

Kako dolazi do infekcije kompjutera dok surfujete internetom? Kako sajber-kriminalci zarađuju prevarom internet korisnika? Serijom tekstova koje ćemo objavljivati narednih dana pokušaćemo da vam odgovorimo na neka pitanja.

U prvom tekstu serijala bavili smo se napadima, spamom, reklamnim banerima i primamljivim linkovima. U tekstu koji je pred vama, objasnićemo kako sajber-kriminalci promovišu svoje sajtove i kako izgleda optimizacija sajta na njihov način. U tekstu je dat konkretan primer kako takav SEO funkcioniše u praksi.

Black hat SEO

SEO (Search Engine Optimization - Optimizacija sajta za pretraživače) odnosi se na metode koje se koriste da bi se poboljšala pozicija web sajta u rezultatima pretrage određenih ključnih reči. Danas, pretraživači predstavljaju ključni resurs kada tragamo za informacijama; što je lakše pronaći web sajt, veća je i potražnja za uslugama koje sajt nudi.

Postoje brojne SEO metode koje, sa pozicije pretraživača, mogu biti legitimne i zabranjene. Kaspersky Lab se posebno bavi korišćenjem zabranjenih SEO metoda, poznatih i pod nazivom black hat SEO. Ovakve SEO tehnike obično koriste sajber-kriminalci da bi propagirali maliciozne sajtove.

Evo uopštenog prikaza kako korisnici dolaze u dodir sa na ovaj način “optimizovanim” sajtovima, i kako sajber-kriminalci svoje sajtove čine vidljivijim.

Korišćenjem ključnih reči (keywords), koje mogu biti unošene bilo manuelno ili automatski, sajber-kriminalci prave sajtove koji sadrže relevantni sadržaj (delove teksta, na primer) sa web strana koje se pojavljuju u vrhu rezultata pretrage.

Kako bi se osigurali da se novi web sajt nađe među top rezultatima pretrage, prvo i najpre, kreatori moraju da upotrebe web crawler-e ili web spajdere, da bi ih indeksirali. Najjednostavniji način da otpočnu proces indeksiranja je manuelni, korišćenjem, na primer, strane na Add your URL to Google, gde korisnici mogu uneti svoje web sajtove u indeks pretraživača. Da bi brže obezbedili višu poziciju svom sajtu u rezultatima pretrage, link ka sajtu može biti postavljen na sajtove koji su već poznati pretraživačima, kao što su forumi, blogovi ili društvene mreže. Link ka ciljanoj strani na ovim web sajtovima će biti istaknutiji tokom procesa indeksiranja. Osim toga, sajt može biti "optimizovan" uz pomoć bot (zombi) mreže: zaraženi kompjuteri koji su deo bot mreže, sprovode pretragu korišćenjem određenih ključnih pojmova, i potom biraju web sajt sajber-kriminalaca između ponuđenih rezultata.

Black hat SEO: kreiranje i prezentovanje podataka

Web sajtove koji se promovišu korišćenjem nezakonitih ili sumnjivih metoda pretraživači uklanjaju relativno brzo iz rezultata pretrage. To je razlog zašto sajber-kriminalci, po pravilu, koriste automatske procese za kreiranje i optimizaciju ovakvih sajtova; to ubrzava proces i umnožava broj novih malicioznih web sajtova.

Automatski napravljene web strane mogu se nalaziti bilo gde: na sajtovima sajber-kriminalaca, na legitimnim sajtovima koji su prethodno zaraženi, ili na servisima ili blog platformama sa besplatnim hostingom.

Black hat SEO na delu

Evo jednog primera koji ilustruje black hat SEO "u praksi". (Za uvećani prikaz, kliknite na sliku koju želite da pogledate)

U maju 2010. godine, "memorial history day" je bio jedan od popularnih pojmova pretrage. (To je povezano sa nacionalnim praznikom SAD, Memorial Day, koji se slavi poslednjeg ponedeljka u maju.) Prva strana rezultata pretrage uključuje link koji je Google obeležio kao sumnjiv.

Rezultati Google pretrage za ključne reči “memorial day history.”

Statistika Google Safe Browsing za ovaj sajt otkriva brojne pokušaje napada koji su izvođeni preko ovog sajta.

Google Safe Browsing - statistika za sporni sajt

Pokušali smo da posetimo ovaj sajt unošenjem adrese u address bar-u browser-a, umesto da sledimo link iz rezultata Google pretrage. Sajt je prikazao tekstualni dokument koji sadrži veliki broj delova različitih tekstova koji se odnose na "memorial day history" - upravo ono za čim su već spomenuti web spajderi tragali!

Sadržaj web sajta kada je URL adresa uneta manuelno

Dakle, šta će se dogoditi ukoliko korisnik poseti sajt sledeći link iz rezultata Google pretrage? Rezultat je različit: server preusmerava korisnika ka različitim web sajtovima.

Sadržaj web sajta kada korisnik sledi link iz rezultata Google pretrage

Kao rezultat nekoliko sličnih preusmeravanja, korisnik će na kraju dospeti na sajt koji prikazuje poruku u kojoj se insistira da on/ona treba da download-uju antivirusni program (koji je, naravno, lažan).

Poruka u kojoj se tvrdi da je kompjuter zaražen i da korisnik treba da instalira "antivirusni" program

Vredi napomenuti da kao i krajnja stranica, izvršni fajl je takođe smešten na besplatnom servisu. S obzirom da je za sajber-kriminalce veoma lako da registruju sajt na servisima za besplatni hosting, sve što treba dalje da urade je da pokrenu napad podešen tako da preusmerava korisnike.

Načini infekcije koji su opisani u tekstu iznad uspešni su jedino ako se korisnik složi da download-uje program. Češće nego što se misli, neiskusni ili nepažljivi korisnik će preuzeti (download-ovati) fajl. Na primer, ako se pojavi prozor sa tekstom u kome se tvrdi da je kompjuter korisnika zaražen, korisnik može biti zabrinut, a neiskusni korisnik će možda pokušati da klikne na "remove all threats" ("ukloni sve pretnje") što je pre moguće. Prozor koji predlaže korisniku da download-uje ažuriranje za Adobe Flash Player neće probuditi sumnju jer izgleda veoma legitimno; pored toga, korisnik je već mnogo puta pre toga kliknuo za download takvih standardnih, legitimnih ažuriranja.

Nastaviće se...

Preuzeto sa