Hlavní navigace

Zemetřesení v Haiti přineslo otrávené vyhledávání

Autor: 29
Lukáš Tomek

Zemětřesení na Haiti přineslo nejen tisíce lidských obětí, ale také poskytlo účinný prostředek pro internetové zločince. Podvodné prosby o pomoc jsou dostatečně známé, méně se ale upozorňuje na takzvané „otrávené hledání“. Právě teď se s ním setkáte prakticky všude.

Útočníci používají stále stejnou strategii, kterou si masově vyzkoušeli zejména v roce 2005, kdy na území USA udeřil hurikán Katrina. Základem je mít „kauzu“, o kterou se zajímají lidé a zadávají příslušné dotazy do vyhledávače. Cílem je zejména propašování malwaru na počítač oběti.

Po tom, co se odehraje událost, o kterou se zajímá celý svět, útočníci analyzují klíčová slova a časté dotazy. Na ty potom optimalizují pomocí BlackHat SEO technik stránky, které zamoří výsledky vyhledávání a pomocí sociálního inženýrství vnucují napadenému například instalaci trojanu.

Otrávená je hned první desítka v Googlu

O úspěšnosti techniky útočníků svědčí vyhledání několika „long tail“ dotazů do Googlu, případně dalších vyhledávačů. „Long tail“ dotazy neobsahují jen vysoce konkurenční základní slova, ale přidávají k nim další, které uživatelé vyhledávače použijí pro zpřesnění dotazu. Útočníkům se tak daří husarské kousky – a někdy „long tail“ nemusí být ani tak „long“. Tak třeba Google.com a dotaz „Twitter Haiti earthquake“. Výsledky vyhledávání jsou zde:

haiti 1 - google

Poslední dva výsledky jsou „otrávené“, což je na první desítku výsledků v SERP Googlu u poměrně konkurenčního dotazu obrovský úspěch. Podle společnosti Sunbelt Software zatím existuje zhruba 50 častých dotazů na zemětřesení v Haiti, které obsahují otrávené výsledky v Google, Yahoo a dalších vyhledávačích.

Při kliknutí na odkaz se dostaneme na stránku, která provádí jakýsi bezpečnostní „scan“ stránky a nabízí odstranění nalezených virů.

Zdá se, že autor svoje sociální inženýrství promyslel velmi dobře. Nejdřív se objeví animace s hláškou „Inicializuji ochranný systém“, pak se prohlížeč sám minimalizuje a okénko ve Windows prohlásí, že systém je vystaven útoku viru a je třeba ho zkontrolovat (stačí kliknout na OK). Když okénko zavřete, prohlížeč se maximalizuje a nabídne pohled na propracovanou animaci ve stylu Windows 7, která simuluje jakousi kontrolu a vyhazuje červené hlášky o nalezených virech. Ať se snažíte zavřít stránku jakkoliv, vždy jen „vyběhne“ okno nabízející stažení spustitelného souboru. Při snaze zavřít panel se sice objeví okno, které je ale zajímavým způsobem upraveno o jednu větu navíc. Popsaný „kumšt“ si můžete prohlédnout zde:

haiti 2 - scan viru

Google samotný, prohlížeč (Firefox), spyware (Spybot) ani antivirus (Avast) při popsaném procesu nemají žádné námitky.

haiti 3 - okénko

Ve chvíli, kdy jste stránku jednou navštívili, se vám to znova už nepovede, pokud si nevymažete historii. Při opakovaných pokusech navštívit tuto stránku nebo jakoukoliv stránku napadenou stejným způsobem jste přesměrováni na nevinný web, který se tváří jako nepovedený vyhledávač. Součástí maskování je také jiná tvář připravená pro návštěvníky, kteří zadají odkaz přímo do vyhledávače a také robota Googlu a jiný pro návštěvníky příchozí z výsledků vyhledávání – tedy typická BlackHat SEO technika. Stránka pro robota obsahuje vygenerovaný text bohatý na klíčová slova v určeném poměru. Pro stránku umístěnou na http://deadsea-cosmetics.net vypadá hustota klíčových slov následovně:

haiti 4 - keywords

Optimalizace na frázi „Twitter Haiti earthquake“ je jasně patrná. Je také poměrně zajímavé, že k útoku jsou použity „unesené“ weby, které hackerům vlastně slouží jako hosting zadarmo. Například výše uvedená hacknutá stránka http://deadsea-cosmetics.net upozorní jen na porušený index.php. Na stránce http://deadsea-cosmetics.net/fo­rum/index.php je však vidět celé „unesené fórum“ zneužité pro síť zpětných odkazů. Vzhledem k jejich struktuře lze soudit, že útočníci pocházeli z Ruska a použili zranitelnost v publikačním systému pro správu fóra Simple Machines. K útoku zřejmě použili zranitelnost známou od května 2009, šlo o injektáž PHP kódu, který bylo možné do fóra dostat pomocí uploadu zdánlivého obrázku JPG nebo GIF. Nefiltrované vstupy a chyba v kódu způsobily spuštění útočného skriptu PHP a poskytly útočníkovi širokou kontrolu nad webem.

START17

Cílem útoku je vaše peněženka

Útok na výsledky vyhledávání Googlu (které zatím nejsou dostatečně pročištěné) vedou k instalaci kódu pod názvem UDS:DangerousOb­ject.Multi.Ge­neric. Jde o takzvaný Rogue AV, Fraudload neboli zkrátka falešný antivir. Po proniknutí do počítače upozorňuje program uživatele na údajné hrozby v jeho počítači. Následně se snaží uživatele v podstatě psychickým nátlakem donutit ke koupi „bezpečnostního“ softwaru. Podvodníci používají pro falešné antiviry velmi podobné grafické prvky, názvy a označení jako komerční produkty, upozorňuje Filip Navrátil ze společnosti Eset software. Za nesmyslný nákup požadují podvodníci až 100 dolarů. Konečným cílem je ovšem získání informace o kreditní kartě a napadení bankovního účtu.

„Odlehčenou“ součástí falešného antiviru bývají trojany, software, který využívá výpočetní výkon pro další nekalé činnosti a nahrávání nového a nového malwaru do stroje. Falešné antiviry v současné době představují skutečný trend na poli virových hrozeb. Za celý rok 2008 bylo odhaleno kolem 90 tisíc falešných antivirů, dnes toto číslo překračuje půl milionu.

Anketa

Myslíte si, že jste schopni rozeznat, že na vámi navštívených stránkách "není něco v pořádku"?

Našli jste v článku chybu?
12. 2. 2010 18:48
Alim (neregistrovaný)
Ne nejsou Jedná se o počítačové piráty. Spousta novinářů toto zaměňuje přitom hacker znamená úplně něco jiného. Než o něčem začnou psát, měli by si aspoň nastudovat význam odborných výrazů a ne použít cizí slovo, o kterém evidentně nevědí co znamená, jen proto, že dobře zní.
1. 2. 2010 7:38
uživatel si přál zůstat v anonymitě
Otravene vyhledavani prinesl Google a ne zemetreseni v Haiti ;-)