Negli ultimi giorni diversi portali web sono stati presi di mira da una serie di attacchi informatici tanto singolari quanto di cattivo gusto: stiamo parlando di un’attività illecita conosciuta come “blackhat SEO” che, in questo caso, è stata messa in pratica facendo sì che i motori di ricerca re-indirizzassero gli utenti verso siti per adulti e pagine pornografiche.
Il malware si è diffuso a tappeto, colpendo anche il portale “Aeroporti di Roma” e i siti delle università di Genova, Pisa, Roma e Trento:
Blackhat SEO e cloaking: di cosa si tratta?
Il blackhat SEO è una tecnica che manipola gli algoritmi dei motori di ricerca al fine di ottenere un posizionamento migliore nelle SERP. Esistono diverse modalità per fare blackhat SEO, una delle quali è il “cloaking”: si tratta di una tecnica informatica che presenta agli utenti risultati diversi rispetto a quelli realmente esposti dai motori di ricerca, con l’obiettivo di aumentare il traffico verso determinati siti o pagine.
Le vittime della “click fraud”
È importante precisare che, in genere, i proprietari dei portali presi di mira non si accorgono in tempo dell’esistenza di queste problematiche e anzi, molto spesso riescono ad individuarle solo dopo settimane o addirittura mesi dall’accaduto.
Nemmeno i siti verso i quali puntano i redirect hanno evidenza delle visite ricevute, e dunque non possono essere considerati responsabili degli attacchi. Anzi, in verità sono anch’essi vittime, ma di un altro tipo di truffa: la “click fraud”. Nella pubblicità pay per click, i proprietari dei siti web che pubblicano gli annunci ricevono una somma di denaro determinata da quanti visitatori cliccano sui banner pubblicitari. La frode si verifica non solo nel momento in cui una persona, (ma anche uno script automatizzato o un programma), imitando un utente reale, seleziona l’annuncio senza avere un interesse effettivo, ma anche quando i click vengono generati con l’inganno e non giungono da siti con contenuti simili o affini.
Quali sono le soluzioni per verificare la compromissione di un sito?
Sfortunatamente, un’infezione causata da blackhat SEO non comporta disservizi troppo evidenti sui portali che prende di mira, di conseguenza non è per nulla semplice riconoscerla. Tuttavia, esistono diverse soluzioni per verificare la compromissione di un sito: vediamone alcuni.
- È necessario, innanzitutto, verificare la presenza di cartelle anomale o archivi ZIP sconosciuti all’interno della root del webserver. Per compiere questo passaggio, verificsi consiglia di ordinare i file dal più recente, in modo tale da identificare rapidamente il probabile responsabile del malfunzionamento.
- È possibile effettuare una ricerca sull’advanced search di Google digitando la query “site:www.mytestsite.it”, al fine di appurare la presenza di pagine che non fanno parte del portale in questione.
- Un ulteriore metodo di difesa è la registrazione del proprio sito su Google Search Console, un servizio gratuito che permette di monitorare la sicurezza degli indirizzi web. Una volta effettuata l’iscrizione, è opportuno attivare le notifiche, poiché il tool è progettato per avvisare l’utente in caso di aumento delle pagine di errore 404 (probabilmente causato da un redirect).
- Questo tipo di malware è chiamato anche “conditional SEO spam” o “conditional malware”, in quanto è in grado di riconoscere lo User Agent del visitatore e di modificare i risultati di ricerca in base all’utente che si trova di fronte: una persona reale, dunque, continuerà a visualizzare la pagina normalmente (espediente che consente di condurla verso siti esterni), mentre il motore di ricerca la vedrà diversa.
Per questo motivo, è utile visualizzare il sito come Google servendosi di diversi espedienti (i plugin per Google Chrome o Mozilla Firefox, la funzione “Scansione” della Google Search Console, i portali di visualizzazione header di richiesta e risposta HTTP, eccetera).
Se il sito è stato oggetto di un attacco informatico, come è possibile rimediare?
Se il proprietario di un sito dovesse accorgersi che questo è stato oggetto di un attacco informatico come il blackhat SEO, è possibile porre in essere alcune operazioni per rimediare e restituirgli la completa operatività, nonché per recuperare il lavoro di indicizzazione effettuato in precedenza. Ecco i passaggi da mettere in pratica:
- Rimuovere le cartelle o i file generati dall’infezione e, se possibile, attuare un ripristino da backup (considerato che l’eliminazione manuale non si rivela sempre efficace al 100%);
- Aggiornare il portale e tutti i plugin ad esso collegati;
- Attraverso la Google Search Console, informare il motore di ricerca dell’avvenuta rimozione del malware e dell’assenza di errori o redirect esterni sulle pagine;
- Verificare che il worm non abbia alterato la sitemap sostituendola con una fasulla. In caso di risposta affermativa, ripristinare quella reale sulla Google Search Console.
Ad ogni modo, gli attacchi informatici non sono tutti uguali: sfortunatamente, alcuni si rivelano più gravi di altri e non possono essere risolti se non da un esperto del settore.
Noi di Easy Pc siamo specializzati nella progettazione di sistemi di cybersecurity e nella risoluzione di disfunzioni connesse al mondo della criminalità digitale: per ulteriori informazioni e per scoprire tutti i nostri servizi, non esitare a contattarci!