Wyszukiwarka Google w rękach hakerów

Przeczytaj także: Phishing: metody ataków

Może objawić się pod postacią kodeka video, lub jako fałszywy program antywirusowy. Wyniki badań G Data Security Labs sugerują, że serwer z którego prowadzone są ataki znajduje się w Indiach. Aktualnie atak wymierzony jest w użytkowników wyszukujących w Internecie treści pornograficzne.

Według G Data, profil fałszowanych wyników wyszukiwania może objąć również tematykę sportową, samochodową, a także związaną z szukaniem pracy. Tomasz Zamarlik z G Data Software komentuje: „W ostatnich dniach obserwujemy silny wzrost groźnych wyników wyszukiwania Google. Niemal 10 procent napływających raportów o zagrożeniach wiąże się pośrednio lub bezpośrednio z manipulacją wyników wyszukiwania Google. Wystarczy jedno kliknięcie aby użytkownik został zwabiony w pułapkę. Skutecznie chronione są tylko komputery użytkowników wyposażone w oprogramowanie skanujące strony HTTP.“

Metoda działania pułapki

Sprawcy próbują ukryć złośliwy kod stosując zapis w kodzie szesnastkowym. Przeglądarka bez problemu może przetwarzać kod szesnastkowy, ale dla ludzi i wyszukiwarek nie jest on zrozumiały. W ten sposób złośliwe programy mogą obejść filtry zabezpieczające wyszukiwarki Google. Złośliwy kod zaszyfrowany w ten sposób umieszczany jest wewnątrz strony internetowej, do której prowadzi wynik wyszukiwania. Taka technika nazywa się Cross-Site-Scripting. Jeśli użytkownik Google kliknie wynik wyszukiwania, otworzy się wyszukiwana strona, ale będzie wzbogacona o fragment skryptu pochodzący z jednej z indyjskich domen internetowych. Zmanipulowane linki rozpowszechniane są przez autorów złośliwych skryptów na blogach, forach, portalach społecznościowych i stronach z krakami. Dzięki temu strony są indeksowane przez wyszukiwarki i są pojawiają się często w wynikach wyszukiwać. Eksperci zauważają, że prowadzi to do absurdalnych sytuacji – przykładem może być mało popularna strona internetowa amerykańskiego uniwersytetu, która nagle zaczęła pojawiać się w wynikach wyszukiwania na pierwszych miejscach.

Skrypt pobierany z indyjskich stron internetowych jest również w dużym stopniu zaszyfrowany. Sfałszowane strony nie są tworzone statycznie, zależnie od różnych czynników mogą wyglądać inaczej i zawierać różne treści. Podczas testów, eksperci G Data Security Labs najczęściej natykali się na strony oferujące fałszywe kodeki, a także fałszywe programy antywirusowe. Wszystkie stosowane triki sprowadzają się jednak do pobrania i uruchomienia złośliwego pliku.

Profilaktyka

Aby uchronić się przed atakiem, eksperci zalecają:

1. Regularne aktualizowanie systemu operacyjnego i oprogramowania antywirusowego
2. Włączenie skanowania stron internetowych
3. Blokowanie skryptów JavaScript w przeglądarce (np. przy pomocy dodatku NoScript w przeglądarce Firefox)
4. Surfowanie przy użyciu konta użytkownika o ograniczonych uprawnieniach.