Zatruwanie przez odbicie (RSP): jak oszuści przejmują wyniki wyszukiwania?

Posted on by

0

Jak oszuści wykorzystują znane strony, by zatruć wyniki wyszukiwania?

Wyszukiwarki internetowe to nasza brama do informacji. Ufamy im, że na czołowych pozycjach pokażą nam wiarygodne i bezpieczne strony. Ale co, jeśli przestępcy znaleźli sposób, by „pożyczyć” reputację największych portali, takich jak YouTube, Yahoo czy Microsoft, i wykorzystać ją do promowania nielegalnych usług, od handlu narkotykami po fałszowanie dyplomów?

To nie jest scenariusz z filmu science fiction. To rzeczywistość nowej, podstępnej techniki optymalizacji dla wyszukiwarek (SEO) zwaną „zatruwaniem przez odbicie” (Reflected Search Poisoning, RSP). To metoda, która pozwala oszustom na ciche i skuteczne wstrzykiwanie nielegalnych treści promocyjnych (nazwijmy je IPT – illicit promotion texts) w wyniki wyszukiwania, bez konieczności włamywania się na serwery. Nowe, przełomowe badanie rzuca światło na skalę tego zjawiska i pokazuje, jak bardzo jesteśmy na nie narażeni.

Czym jest zatruwanie przez odbicie (RSP)?

Większość z nas nie zdaje sobie z tego sprawy, ale wiele popularnych stron internetowych jest zaprojektowanych w sposób dynamiczny. Oznacza to, że część treści, którą widzimy na stronie, jest „odbiciem” tego, co wpisaliśmy w pasku adresu URL. Najprostszy przykład to wewnętrzna wyszukiwarka na stronie, np. na YouTube. Gdy wpiszesz w adresie youtube.com/results?search_query=ciekawy-temat, słowa „ciekawy-temat” pojawią się na stronie jako tytuł lub treść wyszukiwania.

Przestępcy wykorzystują ten mechanizm. Znajdują takie „schematy odbicia” na stronach o wysokiej reputacji, a następnie, zamiast „ciekawego tematu”, wstawiają tam swoje nielegalne treści promocyjne, np. „kup fałszywy dyplom + numer kontaktowy”. Tworzą w ten sposób specjalnie spreparowane linki (URL-e RSP), które następnie masowo rozsyłają po internecie za pomocą spamu na forach czy innych technik czarnego SEO.

Wyszukiwarki, takie jak Google czy Bing, indeksują te linki. Widząc, że prowadzą one do zaufanej domeny (np. youtube.com), nadają im wysoką pozycję w wynikach. W efekcie, gdy niczego nieświadomy użytkownik wpisze w Google hasło „dyplom USA”, na pierwszych miejscach może zobaczyć wyniki prowadzące do legalnych, znanych stron, ale z wstrzykniętą, nielegalną treścią.

Skala zjawiska: miliony zatrutych linków i tysiące nadużywanych stron

Badanie, które jako pierwsze kompleksowo przeanalizowało to zjawisko, przynosi zatrważające wyniki. W ciągu zaledwie kilku miesięcy badaczom udało się zidentyfikować:

  • Prawie 12 milionów unikalnych nielegalnych treści promocyjnych (IPT).

  • Ponad 13 milionów przypadków zatrucia wyników wyszukiwania (RSP).

  • Ponad 60 000 nadużytych, legalnych domen.

Skala jest ogromna, a co gorsza, dotyczy to najbardziej zaufanych części internetu. Wśród nadużytych stron znalazło się:

  • Ponad 20 000 stron z rankingu miliona najpopularniejszych na świecie.

  • 854 witryny renomowanych instytucji edukacyjnych.

  • 1144 strony agencji rządowych.

To pokazuje, że nikt nie jest bezpieczny. Reputacja, budowana latami, może zostać „pożyczona” przez przestępców w ciągu kilku chwil.

Co promują oszuści? Od hazardu po kradzież danych

Analiza treści promocyjnych ujawniła szerokie spektrum nielegalnych towarów i usług. Główne kategorie to:

  • Usługi seksualne (25,4%)

  • Hazard (23,7%)

  • Fałszywe certyfikaty i dyplomy (22,7%)

Ale lista jest znacznie dłuższa i obejmuje także handel narkotykami, sprzedaż podrobionych towarów, usługi hakerskie, kradzież danych, a nawet pranie brudnych pieniędzy. Co ciekawe, treści te są wielojęzyczne, z dominacją języka chińskiego (88%), co sugeruje, że kampanie te są często ukierunkowane na konkretne regiony geograficzne.

Jak bardzo jesteśmy narażeni?

Badacze sprawdzili, jak często przeciętny użytkownik może natknąć się na zatrute wyniki. Zidentyfikowali trzy kategorie zapytań wysokiego ryzyka:

  1. Nazwy lokalizacji: Zapytanie o chińską nazwę dzielnicy Pekinu w Google skutkowało pojawieniem się w TOP 10 wyników promujących nielegalne pożyczki i usługi seksualne. Aż 46% zapytań o nazwy chińskich miast zawierało co najmniej jeden zatruty wynik w pierwszej dziesiątce.

  2. Słowa kluczowe związane z nielegalnymi usługami: To oczywiste – szukając „dziewczyny na telefon” (w języku chińskim), cała pierwsza strona wyników była wypełniona nielegalnymi treściami.

  3. Niewinne, długie zapytania (long-tail): To najbardziej niepokojące. Zapytanie o „cenę damskich butów sportowych Diora” zwracało wyniki promujące podróbki. Inne, zupełnie neutralne zapytanie o rozkład jazdy pociągów, prowadziło do strony z hazardem i pornografią.

To pokazuje, że na zatrute wyniki może natknąć się każdy, nawet podczas zupełnie niewinnych poszukiwań.

Co dzieje się dalej? Od wyników wyszukiwania do komunikatorów

Celem oszustów jest nawiązanie kontaktu z potencjalnym klientem. Dlatego ponad 83% nielegalnych treści zawiera dane kontaktowe, najczęściej prowadzące do komunikatorów internetowych, takich jak Telegram, WeChat czy QQ.

Dalsza analiza tych kontaktów ujawniła istnienie ogromnych, zorganizowanych kampanii. Na samym Telegramie zidentyfikowano kanały i grupy liczące łącznie ponad 29 milionów subskrybentów, na których otwarcie promuje się pranie brudnych pieniędzy, kradzież danych czy hazard.

Jak się bronić?

Walka z zatruwaniem przez odbicie to gra w kotka i myszkę. Badacze odpowiedzialnie zgłosili swoje odkrycia do głównych wyszukiwarek. Bing podjął już kroki w celu ograniczenia zjawiska, co poskutkowało znacznym spadkiem liczby zatrutych wyników. Jednak problem jest dynamiczny – oszuści nieustannie zmieniają swoje taktyki.

Co można zrobić?

  • Właściciele stron: Mogą wprowadzić proste zabezpieczenia, które uniemożliwią „odbijanie” nietypowych, potencjalnie szkodliwych treści w adresach URL.

  • Wyszukiwarki: Muszą inwestować w lepsze algorytmy filtrujące, które potrafią odróżnić legalne użycie dynamicznych stron od prób zatrucia. Opracowane w ramach badania klasyfikatory AI mogą być w tym pomocne.

  • Użytkownicy: Musimy być bardziej świadomi i krytyczni wobec wyników wyszukiwania, nawet jeśli prowadzą one do zaufanych domen.

Zjawisko RSP pokazuje, jak złożone i nieoczywiste mogą być zagrożenia w dzisiejszym internecie. To nie tylko wirusy i phishing. To także subtelne manipulacje ekosystemem wyszukiwania, które podważają nasze zaufanie do cyfrowego świata. Dogłębna analiza tych technik, ich ewolucji oraz opracowywanie nowych, odpornych na ataki metod detekcji, mogłaby stanowić ważny i aktualny temat pracy doktorskiej z zakresu cyberbezpieczeństwa i analizy danych.

Najczęściej zadawane pytania (FAQ)

  1. Czy zatruwanie przez odbicie (RSP) jest tym samym co spam?
    Nie do końca. Tradycyjny spam (np. na forach) polega na publikowaniu bezpośrednich linków do szkodliwych stron. RSP jest bardziej podstępne, ponieważ wykorzystuje linki do legalnych, zaufanych stron, wstrzykując w nie jedynie nielegalną treść. To sprawia, że jest trudniejsze do wykrycia zarówno dla użytkowników, jak i dla filtrów.

  2. Jak rozpoznać zatruty wynik wyszukiwania?
    Często jest to bardzo trudne. Sygnałem ostrzegawczym może być dziwny, bardzo długi tytuł lub opis wyniku, który wydaje się nie pasować do reszty strony (np. reklama hazardu na stronie uniwersytetu). Kluczowe jest zwracanie uwagi na pełny adres URL i jego nietypowe parametry.

  3. Dlaczego oszuści preferują komunikatory internetowe zamiast stron internetowych?
    Komunikatory, zwłaszcza te szyfrowane jak Telegram, oferują większą anonimowość i są trudniejsze do monitorowania przez organy ścigania. Pozwalają na bezpośrednią, prywatną komunikację z klientem i budowanie zamkniętych społeczności, co ułatwia prowadzenie nielegalnej działalności.

  4. Czy to zjawisko dotyczy tylko Google i Bing?
    Badanie objęło cztery popularne wyszukiwarki: Google, Bing, Baidu i Sogou. Wszystkie cztery były w różnym stopniu zatrute, choć Google i Bing, jako globalne platformy, były celem na znacznie większą skalę.

  5. Jakie techniki unikania detekcji stosują przestępcy?
    Oprócz samego mechanizmu RSP, stosują oni szereg innych technik. Należą do nich długie łańcuchy przekierowań (aby zmylić automatyczne skanery), ukrywanie treści w ramkach (iframe cloaking) oraz blokowanie dostępu w zależności od lokalizacji geograficznej użytkownika (np. pokazywanie innej treści w USA, a innej w Chinach).

Publikacje wykonane przez nas w podobnej tematyce

  1. Ewolucja technik Black Hat SEO: od farm linków do zatruwania sugestii wyszukiwania.

  2. Analiza podziemnej gospodarki w komunikatorach internetowych: studium przypadku Telegrama.

  3. Wykrywanie semantycznej niespójności jako metoda identyfikacji zainfekowanych promocyjnie stron internetowych.

  4. Skalowalne metody wykrywania spamu na forach internetowych z wykorzystaniem uczenia maszynowego.

  5. Gra w kotka i myszkę: analiza taktyk unikania detekcji stosowanych przez operatorów złośliwego oprogramowania.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *