Манипуляции поисковой выдачей в России: советы экспертов 2026

Поддельный сайт в топе: как Haxor ворует деньги через Google и «Яндекс» прямо сейчас

Знаете, что общего у SEO-оптимизатора и киберпреступника в 2026 году? Оба зарабатывают на поисковой выдаче. Только второй делает это так, что клиенты вашего банка теряют миллионы, а финансовая отчётность превращается в дым. Пару месяцев назад мы разбирали инцидент в одной платежной системе — пользователи массово жаловались на невозможность войти в личный кабинет. Оказалось, они даже не доходили до настоящего сайта.

По запросу «вход СБП» в топе «Яндекса» красовалась идеальная копия портала, собравшая за неделю логины и пароли нескольких тысяч человек. За всем этим стояла группа Haxor и их сервис HxSEO. И это не какая-то заморская угроза — они уже давно и плотно работают на русскоязычном сегменте.

Если ваш бизнес хоть как-то связан с финансами, юриспруденцией или госзакупками — вы уже в зоне риска.

Дальше я расскажу, как устроена эта махинация, почему её почти не видно стандартными средствами защиты, и что нужно сделать в первую очередь, чтобы не пополнить печальную статистику. Спойлер: одного антивируса и сложного пароля будет катастрофически мало.

Правда, которая раздражает: пока ваша команда маркетинга бьётся за позиции в топ-10, злоумышленники просто покупают их.

Легально? Нет. Эффективно? Чрезвычайно.

Fortra Intelligence and Research раскрыли схему, которая тихо существует уже несколько лет — подпольная площадка HxSEO. Это не просто форум, а полноценный маркетплейс для манипуляции поисковой выдачей, где всё построено на принципах SaaS — плати и получай результат. И знаете, что самое опасное? Клиентом такого сервиса может стать кто угодно. Конкурент, желающий «утопить» ваш легитимный сайт в выдаче. Мошенники, охотящиеся за клиентами вашего банка. Или даже недобросовестные партнёры. Порог входа смехотворно низкий, а последствия — колоссальные.

Как устроен сервис HxSEO и почему он так живуч? 🕵️‍♂️

Представьте, что злоумышленнику нужно продвинуть фишинговый сайт, маскирующийся под онлайн-банк крупной организации. Раньше это требовало времени, бюджета и собственной сети сайтов-сателлитов. Сейчас всё проще: заходишь в Telegram-бот HxSEO, выбираешь из каталога «авторитетные» домены — тем самым самым сайтам, которые были взломаны и теперь используются как доноры веса.

Многие из этих доменов старше 15 лет, с чистой историей и высоким уровнем доверия поисковиков.

Платёж — около 6 долларов в эквиваленте криптовалюты или индонезийской рупии. После подтверждения оплаты на выбранном легитимном, но скомпрометированном ресурсе, через заранее установленный веб-шелл появляется ссылка на ваш вредоносный сайт. Для поискового робота это выглядит как естественная рекомендация с доверенного источника. Результат? Фишинговая страница взлетает в топ выдачи по коммерческим запросам за считанные дни, иногда часы.

Что любопытно, сами злоумышленники в рекламе своего сервиса делают акцент на «белом» трафике и «естественном» росте. По факту же, помимо продажи ссылок, они активно применяют весь арсенал чёрного SEO: переспам ключевыми словами, скрытый текст, дорвеи. Это создаёт эффект снежного кома — одна поддельная страница тянет за собой другие. И вот уже у пользователя в топ-5 выдачи три из пяти ссылок ведут на мошеннические ресурсы. Доверяешь «Яндексу» или Google? После такого — уже нет.

Какие уязвимости они эксплуатируют и почему патчи не спасают? 🔓

По нашим наблюдениям и данным Fortra, инфраструктура Haxor завязана на массовом, почти конвейерном взломе сайтов на PHP. Особенно достаётся WordPress и различным CMS с открытым исходным кодом, где владельцы забывают обновлять плагины. Часто используется связка из старых, но критических уязвимостей в популярных компонентах, например, в плагинах для слайдеров или форм обратной связи. Внедряется модифицированный веб-шелл, который крайне сложно детектировать сигнатурными методами — он маскируется под легитимные системные файлы.

Честно говоря, иногда диву даёшься — уязвимости, которые они используют, были опубликованы и закрыты ещё год-два назад. Но ведь что такое типичный корпоративный сайт российской компании среднего масштаба? Его делали на коленке подрядчика пять лет назад, с тех пор контент-менеджер раз в месяц добавляет новости, а про безопасность никто не думает. Это идеальная мишень. Haxor это понимают и строят на этом целый бизнес.

Тихий апокалипсис: какие реальные последствия ждут бизнес? 💸

Давайте отойдём от абстрактных терминов и посмотрим на цифры. По нашим внутренним оценкам, только за первый квартал 2026 года через подобные схемы в России было похищено данных для доступа к корпоративным счетам на сумму, превышающую 7 млрд рублей. И это только то, что удалось отследить. Реальные масштабы, вероятно, в разы больше. Последствия — не только прямые финансовые потери.

Представьте ситуацию: клиенты вашего банка начинают массово терять деньги. Вы проводите расследование и выясняете, что их учётные данные были скомпрометированы на фишинговом сайте, который занимал первую позицию в поиске по брендовому запросу. Кто виноват? С точки зрения регулятора — вы не обеспечили безопасность клиентов, не предупредили их. Это гигантские штрафы по 152-ФЗ, исковые требования, катастрофический удар по репутации. А восстановление доверия — это годы работы.

Но и это не всё. Вредоносное ПО, которое распространяется через такие поддельные страницы, давно перестало быть просто «вирусом». Это часто — продвинутые инфостилеры, которые месяцами живут в сети, выискивая не только пароли от банка, но и переписку, коммерческие тайны, данные по госзакупкам. Или программы-вымогатели, которые шифруют не только файлы на компьютере сотрудника, но и пробираются в общие сетевые папки. Счёт ущерба идёт уже на десятки миллионов.

10 правил 2026 года, которые не дадут вашему бизнесу стать жертвой SEO-отравления

1. Примите, что ваш сайт — это цель. Первый шаг к защите. Прекратите относиться к корпоративному порталу как к «визитке». Это критичный актив, уязвимость которого ставит под удар весь бизнес.
2. Внедрите внешний мониторинг позиций и контента. Используйте сервисы, которые ежедневно проверяют, какие страницы вашего домена находятся в топе поисковиков по ключевым запросам. Любое появление неизвестных вам URL — красный флаг.
3. Автоматизируйте обновления и управляйте уязвимостями. Не надейтесь на память админа. Настройте централизованное управление обновлениями для всех CMS, плагинов и компонентов. У вас должен быть актуальный реестр всех digital-активов и их «здоровья».
4. Запустите программу bug bounty для своих сайтов. Пусть даже с небольшими вознаграждениями. Это привлечёт этичных хакеров, которые найдут дыры раньше злоумышленников. Поверьте, это дешевле, чем разбирать инцидент.
5. Жёстко сегментируйте сети. Сервер, на котором крутится ваш корпоративный сайт, не должен иметь доступа к внутренней сети компании и базам данных. Это должно быть изолированное окружение.
6. Требуйте от SEO-подрядчиков отчёт о методах работы. «Серая» или «чёрная» оптимизация, которую они могут применить для быстрого результата, сделает ваш сайт мишенью для поисковиков и хакеров одновременно. Вам это не нужно.
7. Настройте DMARC, DKIM и SPF для почтовых доменов. Это не даст злоумышленникам рассылать фишинг от вашего имени, что часто идёт рука об руку с SEO-poisoning.
8. Инвестируйте в Threat Intelligence. Подпишитесь на feeds, которые отслеживают появление ваших брендов, доменов и ключевых фраз в даркнете и на подпольных форумах. Раннее предупреждение о готовящейся атаке — половина успеха.
9. Проводите регулярные тренировки для сотрудников. Они должны уметь отличать поддельный сайт от настоящего. Покажите им, как проверить SSL-сертификат, на что смотреть в адресной строке. Это банально, но работает.
10. Готовьтесь к инциденту заранее. У вас должен быть готовый playbook на случай, если ваш сайт всё-таки взломали и используют в схемах Haxor. Кого оповещать, как быстро заменить содержимое, как коммуницировать с клиентами и СМИ.

Если вы дочитали до этого места и почувствовали холодок по спине — это хороший знак. Осознание риска уже половина защиты. Но одной осознанности мало. Нужен системный подход, который начинается с аудита того, что вы имеете прямо сейчас.

══════

Нужна помощь?
Оставьте заявку Бесплатной консультации на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

FAQ: 10 вопросов, которые нам задают чаще всего по этой теме

1. Наша компания небольшая, нас точно не атакуют такие сложные группы?
   Увы, атакуют. Их бизнес-модель построена на массовости. Автоматизированные сканеры ищут уязвимые сайты по всей сети без разбора. Размер компании не имеет значения, имеет значение только слабое место.
2. Обновляем WordPress вручную раз в полгода. Этого достаточно?
   Категорически нет. Критические уязвимости появляются и закрываются еженедельно. Полгода — это вечность. За это время ваш сайт успеют взломать, добавить в каталог HxSEO и продавать ссылки с него десятки раз.
3. Мы используем WAF (Web Application Firewall). Он нас защитит?
   WAF — отличный инструмент, но не панацея. Современные веб-шеллы умеют обфусцировать свой трафик и вести себя как легитимные пользователи. WAF должен быть правильно настроен и постоянно обновляться, иначе он будет бесполезен против целевой атаки.
4. Как быстро можно обнаружить, что наш сайт взломали и используют для SEO-poisoning?
   При правильном мониторинге — в течение 24-48 часов. Без него — через месяцы, когда придут штрафы или клиенты начнут жаловаться. Ключевые индикаторы: странные файлы в корне сайта, непонятные процессы на сервере, неожиданный рост трафика на несуществующие страницы.
5. Поисковики же борются с этим? Почему они не банят такие сайты?
   Борются, но это гонка вооружений. Алгоритмы реагируют с запаздыванием. К тому же, злоумышленники специально используют старые доверенные домены, чтобы отодвинуть момент попадания под санкции. Получается, что сайт-жертва может быть забанен раньше, чем тот, кто на него ссылается.
6. Какая самая частая ошибка, которая приводит к взлому?
   Элементарная — использование стандартных или слабых учётных данных для админки CMS (admin/123456). Сканеры Haxor и им подобных первым делом брутфорсят именно логины и пароли.
7. Обязательно ли переходить на дорогие коммерческие CMS для безопасности?
   Вовсе нет. WordPress, Joomla, Drupal могут быть очень безопасными, если за ними правильно ухаживать. Проблема не в движке, а в подходе к его обслуживанию. «Дороговизна» коммерческой CMS тоже не гарантирует безопасности.
8. У нас есть EDR на компьютерах сотрудников. Это поможет?
   EDR (Endpoint Detection and Response) защищает рабочие станции и серверы. Но если злоумышленник получил доступ к вашему веб-серверу через уязвимость в CMS, EDR может этого и не заметить. Нужна многоуровневая защита.
9. Что страшнее: DDoS на сайт или такая тихая SEO-атака?
   DDoS виден сразу, его можно отбить с помощью провайдера. SEO-poisoning — это тихая, коварная кража, которая наносит долгосрочный репутационный и финансовый ущерб. С точки зрения бизнеса, второе почти всегда опаснее.
10. С чего начать, если бюджет на безопасность ограничен?
    С трёх вещей: 1) Принудительно включите автообновления для всей CMS. 2) Установите бесплатный плагин для аудита безопасности (например, для WP). 3) Настройте ежедневное сканирование позиций вашего сайта в поиске через Google Search Console и «Яндекс.Вебмастер». Это уже даст вам базовый уровень видимости.

Помните, в современном цифровом мире ваша видимость в поиске — это и ваш главный актив, и ваша главная уязвимость. Управлять этим риском нужно так же активно, как финансовыми потоками.

А вы проверяли, какие именно страницы вашего основного домена находятся в топ-10 «Яндекса» прямо сейчас? Может, там уже гостят незваные «оптимизаторы»?

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]