Кибер-преступники умело используют поисковики для распространения вредоносного ПО, в частности, поддельных антивирусных продуктов: для инфицирования пользователей преступникам необходимо привлечь их внимание к вредоносным сайтам.
Раньше пользователей завлекали на вредоносные сайты при помощи массово рассылаемого спама. В этом случае потенциальная жертва читает электронное письмо, заходит по представленным в письме ссылкам, после чего перенаправляется на вредоносные веб-страницы. В настоящие дни пользователи стали более осторожными при чтении спама или писем, полученных от незнакомых отправителей, а потому эффективность традиционного способа стала снижаться.
В результате этого преступники стали использовать новые, более эффективные способы. Они используют инструмент Google Trends, который, между прочим, содержит список самых популярных поисковых запросов в течение дня (все, что угодно: от вступления Обамы на должность Президента США до победителей в различных номинациях Оскар).
После того, как преступники узнают самые популярные поисковые запросы, они создают блог, содержание которого наполнено словами и словосочетаниями из популярных поисковых запросов (например, Обама, Пенелопа Круз и т.д.), а также видеоматериалами, относящимся к этим тематикам. В результате этого, используя технологии оптимизации сайта под поисковые запросы, преступники значительно увеличивают шансы блога оказаться в числе первых в результатах поиска по данным популярным запросам.
Ложные антивирусы позиционируют себя как настоящие продукты и пытаются убедить пользователей в том, что их компьютеры заражены вредоносным ПО. Впоследствии жертвам предлагается купить ложный антивирус, который будет способен уничтожить ложные инфекции. Кибер-преступники в основном получают выгоду с этого типамошенничества.
Технологии оптимизации сайтов для поисковых систем (SEO)
Описываемый тип вредоносных атак основывается на усовершенствованных технологиях оптимизации сайтов для поисковых систем (SEO, Search Engine Optimization). Данные законные технологии веб-программирования предназначены для того, чтобы сделать позиции веб-сайта более привлекательными в результатах поиска в поисковых системах, что позволяет увеличить объем и качество трафика. Описываемый случай как раз и рассказывает о том, как преступники, используя технологии оптимизации, добиваются высоких позиций веб-сайта в результатах поиска и, как следствие, огромного количества переходов.
Кроме технологий SEO преступники используют также технологии, известные как «Black Hat SEO», которые можно отнести к нелегальным техникам позиционирования поисковых систем, использующие «обходные» политики поисковых систем, представляющие альтернативный контент или влияющие на историю работы пользователя в Сети. Правда, иногда бывает трудно определить, какие из технологий законные, а какие нет, так как это может зависеть от конкретного поискового движка.
Запутывание пользователей
Злоумышленники стараются сделать так, чтобы обнаружение вредоносного сайта было как можно более сложным для разработчиков решений безопасности. Для этого они начали использовать усовершенствованные способы запуска атак. Некоторые из создаваемых преступниками вредоносных страниц ведут себя по-разному и отображают разное содержание в зависимости от происхождения пользователя, который их посещает.
Для скрытия атаки на веб-странице вставляется сценарий, который определяет происхождение пользователя. Если пользователь набирает URL-адрес в адресной строке браузера, то отображается настоящий контент. Но в том случае, если пользователь воспользовался поисковиком, ему вместо настоящего сайта открывается вредоносная веб-страница.
Другой пример: MS Antispyware 3000
Недавно была обнаружена веб-страница, которая использует совершенно другую модель. Как правило, страницы, предлагающие приобрести ложный антивирус, либо не содержат специальные теги, либо содержат те, которые предназначены для улучшения индексирования страницы в поисковых системах. Однако страница с предложением приобрести MSAntispyware 3000 была построена совершенно иначе: все теги и процессы были разработаны таким образом, чтобы предотвратить индексирование страницы в поисковых движках.
Это делается для того, чтобы доступ к этому веб-сайту нельзя было блокировать при помощи таких технологий, как блокировка URL-адресов через запросы поисковиков с помощью специальных параметров.