Отчет описывает популярную схему кибератаки, известную как SEO poisoning. Злоумышленники манипулируют механизмами поисковой оптимизации, создавая фальшивые страницы с богатым содержанием ключевых слов — так называемые doorway-страницы — чтобы получить высокий рейтинг в результатах поиска и затем скрытно перенаправлять пользователей на мошеннические ресурсы.
«страницы doorway — это страницы, предназначенные для высокого рейтинга в результатах поиска благодаря стратегическому использованию ключевых слов»
Как устроена атака
Ключевые элементы техники, описанной в отчете:
- Создаются doorway-страницы, внешне имитирующие полный HTML-код легального интернет-магазина: меню, категории товаров, популярные ключевые слова.
- Поисковые системы (например, Google) индексируют такой контент, потому что при индексировании они зачастую не выполняют перенаправления на стороне клиента, выполняемые через JavaScript (JS).
- Благодаря богатому текстовому содержимому страница достигает высокой видимости в результатах поиска по запросам вроде «Сумки Louis Vuitton в продаже».
- Когда пользователь переходит по результату поиска, срабатывает JS-команда, в частности location.replace(), и происходит быстрое перенаправление на сторонний сайт (пример из отчета: www.vapormax-plus.us), который является мошенническим.
Типичный путь жертвы
- Пользователь ищет конкретный товар (например, «Сумки Louis Vuitton в продаже»).
- В результатах поиска появляется фальшивая doorway-страница с убедительным внешним видом и релевантным контентом.
- Пользователь кликает на ссылку и ожидает найти выгодное предложение.
- Перед показом контента срабатывает location.replace(), и пользователь мгновенно перенаправляется на мошеннический ресурс (www.vapormax-plus.us).
- Дальнейшие риски включают кражу данных, фишинг и установку вредоносного ПО.
Почему метод эффективен
Успех схемы обусловлен сочетанием нескольких факторов:
- Поисковые системы индексируют страницы по текстовому содержанию и ссылочной массе, но не всегда исполняют client-side JS во время индексирования, что позволяет скрытым перенаправлениям оставаться незамеченными.
- Внешний вид страницы соответствует ожиданиям пользователя (реалистичная верстка интернет-магазина), что повышает доверие и кликабельность.
- Мгновенные редиректы через JS затрудняют обнаружение мошенничества обычными пользователями до момента взаимодействия с целевым сайтом.
Как защититься
Рекомендации для пользователей и администраторов:
- Будьте осторожны с привлекательными предложениями в результатах поиска: проверяйте URL и домен до ввода личных данных.
- Используйте обновлённые браузеры и защитное ПО, которое может блокировать известные мошеннические домены.
- При сомнении открывайте сайт в режиме просмотра адресной строки и обращайте внимание на перенаправления; быстрые редиректы после загрузки страницы — признак подозрительной активности.
- Для владельцев сайтов: следите за утечкой или копиями контента и реагируйте на фишинговые клонирования бренда; сотрудничайте с поисковыми системами и CERT при обнаружении злоупотреблений.
Вывод
SEO poisoning с использованием doorway-страниц остаётся эффективным инструментом мошенников: они сочетают классические приёмы SEO с клиентскими перенаправлениями через JavaScript, чтобы достичь высокой видимости и затем обмануть пользователей. Осведомлённость, внимательность к URL и базовые меры безопасности помогают снизить риск стать жертвой такой схемы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SEO poisoning: Doorway-страницы, HTML и JS-перенаправления мошенников".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
