PandaLabs обнаружила веб-страницы, которые используют технологии оптимизации сайтов для поисковых систем (SEO) или Google Trends для продвижения через поисковые системы поддельных антивирусных продуктов, способных заражать пользовательские компьютеры.
Раньше пользователей завлекали на вредоносные сайты при помощи массово рассылаемого спама. В этом случае потенциальная жертва читает электронное письмо, заходит по представленным в письме ссылкам, после чего перенаправляется на вредоносные веб-страницы. В настоящие дни пользователи стали более осторожными, поэтому эффективность традиционного способа стала снижаться.
В результате преступники стали использовать новые, более эффективные способы. В частности, они задействовали инструмент Google Trends, который, содержит список самых популярных поисковых запросов в течение дня (все, что угодно: от вступления Обамы на должность Президента США до победителей в различных номинациях Оскар).
После того, как преступники узнают самые популярные поисковые запросы, они создают блог, содержание которого наполнено словами и словосочетаниями из популярных поисковых запросов (например, Обама, Пенелопа Круз и т.д.), а также видеоматериалами, относящимся к этим тематикам. В результате этого, используя технологии оптимизации сайта под поисковые запросы, преступники значительно увеличивают шансы блога оказаться в числе первых в результатах поиска по данным популярным запросам.
Луис Корронс, технический директор PandaLabs: “Пользователи, которые доверяют полученным результатам поиска, попадут на веб-страницу, где им будет предложено загрузить кодек или дополнительный программный модуль для просмотра видео. Если они соглашаются загрузить, то на их компьютеры будет загружена вредоносная программа, как правило, ложный антивирус”.
Ложные антивирусы позиционируют себя как настоящие продукты и пытаются убедить пользователей в том, что их компьютеры заражены вредоносным ПО. Впоследствии жертвам предлагается купить ложный антивирус, который будет способен уничтожить несуществующие инфекции. Кибер-преступники в основном получают выгоду с этого типа мошенничества.
Также кибер-преступники используют технологии оптимизации сайтов для поисковых систем (SEO, Search Engine Optimization). Данные законные технологии веб-программирования предназначены для того, чтобы сделать позиции веб-сайта более привлекательными в результатах поиска в поисковых системах, что позволяет увеличить объем и качество трафика. Преступники используют технологии оптимизации, добиваются высоких позиций веб-сайта в результатах поиска и, как следствие, огромного количества переходов.
Кроме технологий SEO, преступники задействуют также технологии, известные как "Black Hat SEO", которые можно отнести к нелегальным техникам позиционирования поисковых систем, использующие «обходные» политики поисковых систем, представляющие альтернативный контент или влияющие на историю работы пользователя в Сети. Правда, иногда бывает трудно определить, какие из технологий законные, а какие нет, так как это может зависеть от конкретного поискового движка.
Злоумышленники стараются сделать так, чтобы обнаружение вредоносного сайта было как можно более сложным для разработчиков решений безопасности. Для этого они начали использовать усовершенствованные способы запуска атак. Некоторые из создаваемых преступниками вредоносных страниц ведут себя по-разному и отображают разное содержание в зависимости от происхождения пользователя, который их посещает.
Для скрытия атаки на веб-странице вставляется сценарий, который определяет происхождение пользователя. Если пользователь набирает URL-адрес в адресной строке браузера, то отображается настоящий контент. Но в том случае, если пользователь воспользовался поисковиком (например, Google), ему вместо настоящего сайта открывается вредоносная веб-страница.
Недавно лаборатория PandaLabs обнаружила веб-страницу, которая использует совершенно другую модель. Как правило, страницы, предлагающие приобрести ложный антивирус, либо не содержат специальные теги, либо содержат те, которые предназначены для улучшения индексирования страницы в поисковых системах. Однако страница с предложением приобрести MSAntispyware 3000 была построена совершенно иначе: все теги и процессы были разработаны таким образом, чтобы предотвратить индексирование страницы в поисковых движках.
Причина подобного подхода заключается в том, чтобы доступ к этому веб-сайту нельзя было блокировать при помощи таких технологий, как блокировка URL-адресов через запросы поисковиков с помощью специальных параметров.