Hlavní navigace

Zemetřesení v Haiti přineslo otrávené vyhledávání

 Autor: 29
Lukáš Tomek 29. 1. 2010

Zemětřesení na Haiti přineslo nejen tisíce lidských obětí, ale také poskytlo účinný prostředek pro internetové zločince. Podvodné prosby o pomoc jsou dostatečně známé, méně se ale upozorňuje na takzvané „otrávené hledání“. Právě teď se s ním setkáte prakticky všude.

Útočníci používají stále stejnou strategii, kterou si masově vyzkoušeli zejména v roce 2005, kdy na území USA udeřil hurikán Katrina. Základem je mít „kauzu“, o kterou se zajímají lidé a zadávají příslušné dotazy do vyhledávače. Cílem je zejména propašování malwaru na počítač oběti.

Po tom, co se odehraje událost, o kterou se zajímá celý svět, útočníci analyzují klíčová slova a časté dotazy. Na ty potom optimalizují pomocí BlackHat SEO technik stránky, které zamoří výsledky vyhledávání a pomocí sociálního inženýrství vnucují napadenému například instalaci trojanu.

Otrávená je hned první desítka v Googlu

O úspěšnosti techniky útočníků svědčí vyhledání několika „long tail“ dotazů do Googlu, případně dalších vyhledávačů. „Long tail“ dotazy neobsahují jen vysoce konkurenční základní slova, ale přidávají k nim další, které uživatelé vyhledávače použijí pro zpřesnění dotazu. Útočníkům se tak daří husarské kousky – a někdy „long tail“ nemusí být ani tak „long“. Tak třeba Google.com a dotaz „Twitter Haiti earthquake“. Výsledky vyhledávání jsou zde:

haiti 1 - google

Poslední dva výsledky jsou „otrávené“, což je na první desítku výsledků v SERP Googlu u poměrně konkurenčního dotazu obrovský úspěch. Podle společnosti Sunbelt Software zatím existuje zhruba 50 častých dotazů na zemětřesení v Haiti, které obsahují otrávené výsledky v Google, Yahoo a dalších vyhledávačích.

Při kliknutí na odkaz se dostaneme na stránku, která provádí jakýsi bezpečnostní „scan“ stránky a nabízí odstranění nalezených virů.

Zdá se, že autor svoje sociální inženýrství promyslel velmi dobře. Nejdřív se objeví animace s hláškou „Inicializuji ochranný systém“, pak se prohlížeč sám minimalizuje a okénko ve Windows prohlásí, že systém je vystaven útoku viru a je třeba ho zkontrolovat (stačí kliknout na OK). Když okénko zavřete, prohlížeč se maximalizuje a nabídne pohled na propracovanou animaci ve stylu Windows 7, která simuluje jakousi kontrolu a vyhazuje červené hlášky o nalezených virech. Ať se snažíte zavřít stránku jakkoliv, vždy jen „vyběhne“ okno nabízející stažení spustitelného souboru. Při snaze zavřít panel se sice objeví okno, které je ale zajímavým způsobem upraveno o jednu větu navíc. Popsaný „kumšt“ si můžete prohlédnout zde:

haiti 2 - scan viru

Google samotný, prohlížeč (Firefox), spyware (Spybot) ani antivirus (Avast) při popsaném procesu nemají žádné námitky.

haiti 3 - okénko

Ve chvíli, kdy jste stránku jednou navštívili, se vám to znova už nepovede, pokud si nevymažete historii. Při opakovaných pokusech navštívit tuto stránku nebo jakoukoliv stránku napadenou stejným způsobem jste přesměrováni na nevinný web, který se tváří jako nepovedený vyhledávač. Součástí maskování je také jiná tvář připravená pro návštěvníky, kteří zadají odkaz přímo do vyhledávače a také robota Googlu a jiný pro návštěvníky příchozí z výsledků vyhledávání – tedy typická BlackHat SEO technika. Stránka pro robota obsahuje vygenerovaný text bohatý na klíčová slova v určeném poměru. Pro stránku umístěnou na http://deadsea-cosmetics.net vypadá hustota klíčových slov následovně:

haiti 4 - keywords

Optimalizace na frázi „Twitter Haiti earthquake“ je jasně patrná. Je také poměrně zajímavé, že k útoku jsou použity „unesené“ weby, které hackerům vlastně slouží jako hosting zadarmo. Například výše uvedená hacknutá stránka http://deadsea-cosmetics.net upozorní jen na porušený index.php. Na stránce http://deadsea-cosmetics.net/fo­rum/index.php je však vidět celé „unesené fórum“ zneužité pro síť zpětných odkazů. Vzhledem k jejich struktuře lze soudit, že útočníci pocházeli z Ruska a použili zranitelnost v publikačním systému pro správu fóra Simple Machines. K útoku zřejmě použili zranitelnost známou od května 2009, šlo o injektáž PHP kódu, který bylo možné do fóra dostat pomocí uploadu zdánlivého obrázku JPG nebo GIF. Nefiltrované vstupy a chyba v kódu způsobily spuštění útočného skriptu PHP a poskytly útočníkovi širokou kontrolu nad webem.

Cílem útoku je vaše peněženka

Útok na výsledky vyhledávání Googlu (které zatím nejsou dostatečně pročištěné) vedou k instalaci kódu pod názvem UDS:DangerousOb­ject.Multi.Ge­neric. Jde o takzvaný Rogue AV, Fraudload neboli zkrátka falešný antivir. Po proniknutí do počítače upozorňuje program uživatele na údajné hrozby v jeho počítači. Následně se snaží uživatele v podstatě psychickým nátlakem donutit ke koupi „bezpečnostního“ softwaru. Podvodníci používají pro falešné antiviry velmi podobné grafické prvky, názvy a označení jako komerční produkty, upozorňuje Filip Navrátil ze společnosti Eset software. Za nesmyslný nákup požadují podvodníci až 100 dolarů. Konečným cílem je ovšem získání informace o kreditní kartě a napadení bankovního účtu.

„Odlehčenou“ součástí falešného antiviru bývají trojany, software, který využívá výpočetní výkon pro další nekalé činnosti a nahrávání nového a nového malwaru do stroje. Falešné antiviry v současné době představují skutečný trend na poli virových hrozeb. Za celý rok 2008 bylo odhaleno kolem 90 tisíc falešných antivirů, dnes toto číslo překračuje půl milionu.

Anketa

Myslíte si, že jste schopni rozeznat, že na vámi navštívených stránkách "není něco v pořádku"?

Našli jste v článku chybu?

12. 2. 2010 18:48

Alim (neregistrovaný)
Ne nejsou

Jedná se o počítačové piráty. Spousta novinářů toto zaměňuje přitom hacker znamená úplně něco jiného. Než o něčem začnou psát, měli by si aspoň nastudovat význam odborných výrazů a ne použít cizí slovo, o kterém evidentně nevědí co znamená, jen proto, že dobře zní.

1. 2. 2010 7:38

uživatel si přál zůstat v anonymitě
Otravene vyhledavani prinesl Google a ne zemetreseni v Haiti ;-)
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů