По ту сторону запроса: как мошенники используют «поисковое отравление» для обмана пользователей
Как выглядит «поисковое отравление»
Многие ошибочно считают, что все сайты, расположенные на верхних местах в результатах поиска в интернете, содержат достоверную информацию и им можно доверять. Но это не всегда так, пояснил «Известиям» эксперт Kaspersky GReAT Георгий Кучерин. Аферисты могут использовать технологию «поискового отравления», чтобы размещать создаваемые ими нелегитимные сайты на первых страницах выдачи.
Злоумышленники манипулируют содержимым своих онлайн-ресурсов так, что те занимают высокие позиции в выдаче, рассказывает специалист.
Фишинговый сайт, созданный мошенниками, может оказаться на первой странице поиска и внешне не отличаться от настоящего ресурса. При этом он будет содержать ссылки на фишинговые страницы, вредоносное программное обеспечение и другие опасные объекты, дополнил в беседе с «Известиями» руководитель BI.ZONE Threat Intelligence Олег Скулкин. Злоумышленники также могут использовать малвертайзинг — закупку рекламы для показа фишинговых страниц на высоких позициях в поисковых системах.
Мошенники пытаются перехватить свою жертву «за шаг» до того, как она найдет то, что ищет, в интернете. Слово «отравление» здесь применяется из-за вредоносных недостоверных сайтов, пояснил «Ямал-Медиа» директор и партнер компании «Интеллектуальный Резерв» («ИТ-Резерв) Павел Мясоедов.
По его словам, преступники выкупают какие-то объявления и баннеры либо тратят деньги на оптимизацию ложных сайтов, что требует и времени, и финансовых вливаний. С учетом того, что старые схемы начинают хуже работать, мошенникам сейчас интересны именно высокие позиции в выдаче поисковой системы.
«Злоумышленники перекупают верхние позиции, оптимизируют свои фишинговые ресурсы. В итоге человек, доверяя поисковику и видя сайт в верхних строках выдачи по запросу, переходит на него и думает, что, если он попал туда с поисковика, то ресурсу можно доверять. Далее мошенники пытаются сподвигнуть свою жертву на какое-то действие, например на оплату определенной услуги», — пояснил Павел Мясоедов.
Как «поисковое отравление» используется в Рунете
«Поисковое отравление» — один из любимых приемов аферистов. Они часто применяют его и в российском сегменте интернета», — рассказал «Известиям» Георгий Кучерин. При этом люди не только лишаются денег, но и предоставляют атакующим данные своих банковских карт, которые в дальнейшем используются в незаконных целях.
Злоумышленники применяют «поисковое отравление» и для распространения «зловредов» — вредоносных программ, созданных для похищения информации и вымогательства. Специалисты по кибербезопасности постоянно замечают вредоносные ссылки в ответах поисковых систем на запросы, относящиеся к скачиванию программного обеспечения, как правило зарубежного — в частности, офисных пакетов Microsoft Office. После ухода иностранных компаний многие российские пользователи ищут такие программы на сторонних ресурсах для бесплатного скачивания. Однако безопасность никто не гарантирует.
Эксперты «Лаборатории Касперского» во время одной из кампаний борьбы со «зловредами», зафиксировали, что мошенники применили «поисковое отравление», чтобы заражать устройства жертв майнером SilentCryptoMiner, который использует мощности скомпрометированных компьютеров для получения криптовалюты. Подобным образом атакующие распространяют и стилеры — вредоносные программы для кражи учетных данных: паролей от аккаунтов в соцсетях или онлайн-банках.
А для атак на организации в Рунете злоумышленники уже более десяти лет используют «поисковое отравление» для продвижения вредоносных сайтов с шаблонами бухгалтерских документов.
«Мошенники перекупают баннеры по не самым ходовым запросам, они пытаются как-то оптимизировать их. Поисковик не сразу понимает, что сайт ложный, пока не поступила жалоба. Для него это выглядит как обычный ресурс. Суть действий аферистов сводится к тому, что у вас отравили результаты выдачи по поисковому запросу, то есть мошенники каким-то образом через SEO-оптимизацию смогли вывести свой ложный сайт на высокие позиции. По ходовым запросам сделать так в короткий период не получится. В этом случае полноценная SEO-оптимизация сайта может занять до полугода», — рассказал Павел Мясоедов.
Злоумышленники используют целенаправленные формы SEO-отравления, такие как spear-фишинг, чтобы атаковать конкретные группы пользователей, например IT-администраторов. Эта стратегия помогает настраивать атаки под целевую аудиторию, что усложняет их обнаружение и блокировку.
Мошенники применяют различные методы SEO-отравления. Один из распространенных подходов — тайпсквоттинг (typosquatting), который нацелен на пользователей, допускающих опечатки при вводе адреса сайта или кликающих на ссылки с ошибками в URL. Злоумышленники регистрируют доменные имена, похожие на легитимные.
Например, пользователь ищет TeamViewer (программу для удаленного подключения к компьютерам), вводя в поисковую строку «team viewer». Не проверив URL первой ссылки, он может перейти на поддельный сайт, где ему предложат загрузить файлы, зараженные вредоносным ПО. Такие домены часто занимают верхние позиции в результатах поиска.
«Фраза о том, что сайтам не всегда можно доверять, не совсем корректная. Никому нельзя доверять, надо жить в среде нулевого доверия. Перед тобой враг. Видишь сайт? Значит, он вражеский. Пусть попробует доказать, что это не так. Иначе потом будут грустные открытия. Надо изначально проявлять бдительность. Существует механизм, который называется редирект, на популярных CMS, системах управления сайтом. Он есть, и иногда он включен — например, это давняя болячка Битрикс. Если на сайте включен редирект, то вам злоумышленник может подсунуть ссылку, которая будет начинаться, как честная ссылка на адрес на честном государственном сайте. Вы ее нажимаете, открывается экран, который полностью похож на то, что вы ждете, якобы это государственный сайт. На самом деле вас унесло на другое место. Человека можно обмануть еще и потому, что периодически админы плохо настраивают редирект на официальных сайтах», — пояснил «Ямал-Медиа» российский ученый, преподаватель, подполковник спецслужб в отставке, IT-специалист по информационной безопасности, OSINT и конкурентной разведке Андрей Масалович.
По его словам, поисковые запросы, которые поднимают рейтинг, существуют. Общая формула у Яндекса — это ИКС, у Гугла она, как и раньше, называется PageRank. Считается, что это суммарное количество хайпа и прочего интереса, проявленного к сайту: сколько раз его лайкали, смотрели, репостили, искали, нажимали и так далее.
«Здесь есть хитрость — если какие-то суперраскрученные ресурсы начинают массово куда-то отправлять народ, у этого сайта резко взлетит рейтинг. Подсунуть какой-нибудь массовый ресурс, ссылочку или даже купить место под эту ссылочку совсем не трудно. Например, если какой-нибудь многомиллионный канал вдруг похвалит какой-то сайт, то народ на него пойдет, и в поисковой выдаче он взлетит наверх».
Андрей Масалович
российский ученый, преподаватель, подполковник спецслужб в отставке, IT-специалист по информационной безопасности, OSINT и конкурентной разведке
Второй способ, который используют мошенники, — спекуляция на каком-нибудь крайне экзотическом запросе. К примеру, ваша собственная фамилия — это крайне экзотический запрос, и под него очень легко сделать поисковую выдачу, чтобы по запросу выскакивал конкретный сайт, даже если он совсем не раскрученный.
«Его начнут предлагать на экране, чтобы человек ввел именно такой запрос: не просто пластиковые окна, а теплые пластиковые окна или не просто путевка, а путевка в Турцию за три рубля. Под такой запрос аферисты могут вылепить схему, чтобы по этому редкому запросу вылетал нужный сайт, причем он будет бить по всем, в том числе и по лидерам рынка», — раскрыл схему работы мошенников на онлайн-ресурсах Андрей Масалович.
Кто и как использует «поисковое отравление» в Сети
Актуальные темы, связанные с «поисковым отравлением», для бухгалтерского сектора сейчас использует группа Watch Wolf. Мошенники занимались SEO‑продвижением фейковых страниц, похожих на ресурсы для скачивания шаблонов документов, рассказал «Известиям» Олег Скулкин.
По его словам, жертва загружала документ якобы в одном из популярных форматов (DOC или XLS), но скачивала архив, после открытия которого на компьютер устанавливалось ПО DarkWatchman. Оно скрытно собирало информацию о системе, а затем загружало троян удаленного доступа Buhtrap. С помощью вредоносной программы Watch Wolf выводила средства со счетов компании.
Опасность подобных схем заключается прежде всего в их массовости и доверии пользователей к топу поисковой выдачи, уверен руководитель группы аналитиков по информационной безопасности «Лиги цифровой экономики» Виталий Фомин. Обычно от «поискового отравления» страдают люди старшего поколения, не разбирающиеся в цифровых угрозах. Представители среднего возраста как правило стремятся быстрее найти информацию и переходят по самым интересным заголовкам.
В результате этого некоторые из них остаются на этих ресурсах, потому что вредоносные сайты трудно отличить от безопасных. На них практически нет орфографических ошибок, темы хорошо освещены, а сайт не вызывает подозрения.
В таких ситуациях злоумышленники могут реализовывать любые сценарии. К примеру украсть деньги, персональные данные, взломать устройство жертвы и перехватить смс и пуш-уведомления, предостерегает ведущий аналитик департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 Евгений Егоров.
Иногда мошеннические схемы направлены на корпоративных сотрудников, способных случайно занести вредоносное ПО в сеть компании. По данным «СерчИнформ», 52% промышленных организаций сталкиваются с утечками информации именно из-за невнимательности сотрудников. Последствия могут оказаться достаточно серьезными: кража персональных данных и денег, заражение устройств, а также шантаж с целью вымогательства за конфиденциальные сведения или доступ к файлам, отметил Виталий Фомин.
Как защититься от «поискового отравления»
Для защиты от «поискового отравления» необходимы совместные действия пользователей и владельцев сайтов, пояснила в беседе с «Известиями» аналитик исследовательской группы Positive Technologies Анастасия Осипова. Пользователям важно не доверять первым попавшимся ссылкам, особенно если они кажутся подозрительными. Также следует проверять URL сайта перед вводом конфиденциальной информации, обращая особое внимание на опечатки, закодированные символы, которые обычно начинаются со знака «%», и подозрительные фразы, которые могут включать призывы к действию, номера телефонов или адреса e-mail.
Особенно осторожными следует быть тем, кто использует криптовалюту для покупок в интернете, потому что мер защиты от аферистов слишком мало. После того, как человек передаст свой биткойн мошенническому сайту, у него практически нет шансов вернуть свои деньги.
На сайты служб поддержки лучше заходить напрямую, используя закладки или официальные ссылки, не кликая по результатам поиска, советует интернет-аналитик и эксперт компании «Газинформсервис» Марина Пробетс. Стоит быть осторожным с запросами о предоставлении личной информации или доступа к компьютеру.
В числе важных мер предосторожности — регулярное обновление антивирусного ПО и использование надежных паролей.
В договорах, которые компании заключают со своими подрядчиками, указаны контактные данные служб техподдержки и телефоны, по которым можно связаться с их сотрудниками. При этом такая информация не всегда отражается на публичных сайтах компаний. Поэтому в экстренных ситуациях не надо искать координаты техподдержки в интернете — стоит заранее вписать их в план действий на случай ЧП и иметь под рукой, добавил эксперт по кибербезопасности Angara Security Никита Новиков.
«Пока никакого универсального средства защиты от «поискового отравления» нет, потому что поисковики работают автономно. На них максимум могут быть встроенные в браузер защиты от трекинга в интернете или от несогласованных скачиваний. Но все эти встроенные инструменты защиты в браузер не мониторят поисковую строку и результаты выдачи. Нужно смотреть, куда вы переходите, и иметь на компьютере включенный антивирус, потому что уже при переходе на фишинговый сайт он может остановить скачивание какого-нибудь вируса».
Павел Мясоедов
директор и партнер компании «Интеллектуальный Резерв» («ИТ-Резерв)
Все механизмы манипуляций мошенников с алгоритмами выдачи достаточно просты и понятны, но единственное, чем с ними можно бороться, — это бдительность. Потому что ссылка, экран и шлюз платежной системы будут выглядеть как настоящие. Вроде человек сам набрал запрос, и поисковик его честно выдал, но в итоге он попал не туда, предостерегает Андрей Масалович.
«Вероятно, скоро поисковики начнут блокировать ложные поисковые выдачи. Попытки мошенников протащить новую схему — это не массовые случаи, а скорее точечные. Фраза «поисковое отравление» появилась совсем недавно, и вряд ли она долго просуществует в обиходе», — заключил Павел Мясоедов.
Ранее мы писали о том, как аферисты обманывают самозанятых.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».