En los últimos tiempos, se ha observado un aumento en los ataques de envenenamiento de motores de búsqueda (SEO Poisoning). Cuando los usuarios buscan palabras clave y direcciones específicas, pueden encontrar una gran cantidad de contenido sospechoso relacionado con juegos de azar e inversiones. Según una investigación preliminar, este contenido sospechoso parece provenir de ataques de hackers a sitios web legítimos, quienes manipulan el ranking de los motores de búsqueda para colocar sitios maliciosos en la parte superior de los resultados de búsqueda. Esto puede llevar a los usuarios a hacer clic en enlaces maliciosos, lo que puede resultar en la descarga de programas maliciosos o la divulgación de información personal sensible.
El envenenamiento de motores de búsqueda es una técnica de ataque que consiste en manipular el ranking de los motores de búsqueda. Los hackers utilizan esta técnica para mostrar anuncios de redireccionamiento relacionados con su objetivo cuando los usuarios buscan palabras clave o sitios web específicos. Algunas de las técnicas de ataque más comunes incluyen la creación de granjas de enlaces, la inserción de anuncios maliciosos, el ataque a sitios web legítimos y el uso de técnicas de ocultamiento de contenido.
El proceso de ataque que utiliza el envenenamiento de motores de búsqueda para dirigir a los usuarios a sitios de estafas se puede dividir en los siguientes pasos:
1. Invasión de sitios web y inserción de código malicioso: Los hackers buscan vulnerabilidades en sitios web legítimos y cargan código malicioso en ellos, o insertan scripts maliciosos directamente en las páginas normales. El objetivo de esto es manipular el tráfico de visitantes y dirigirlos a sitios web controlados por los hackers.
2. Ajuste dinámico del comportamiento según la fuente de acceso: Cuando los usuarios se conectan al sitio web comprometido, el código malicioso redirige según la información en el encabezado HTTP:
– Acceso directo al sitio web: Si el usuario escribe directamente la dirección del sitio web en el navegador y el encabezado no contiene palabras clave específicas en el User-Agent, Referer o URI, el sitio web mostrará su contenido original para evitar ser detectado.
– Acceso a través de un motor de búsqueda: Si el usuario accede al sitio web a través de un motor de búsqueda como Google o YisouSpider, el código malicioso verificará si el User-Agent o Referer contiene características específicas como Googlebot o YisouSpider, o si el URI contiene ciertas extensiones de archivo como .aspx, .apk, .mljt, lbjt, aajt, etc. Si se cumplen estas condiciones, el usuario será redirigido a un sitio intermedio y puede ver anuncios de estafas o ser dirigido a un sitio de phishing.
3. Inserción de puertas traseras y actualización del sitio intermedio: Los hackers dejan puertas traseras en el sitio web comprometido para asegurarse de que puedan actualizar el contenido malicioso del sitio intermedio en cualquier momento. Esto les permite ampliar el alcance del ataque o adaptarlo a objetivos específicos.
Para protegerse contra este tipo de ataques, se recomienda lo siguiente:
1. Revisar regularmente el contenido del sitio web: Es importante escanear el sitio web periódicamente para detectar posibles vulnerabilidades o código malicioso, y estar atento a cualquier enlace sospechoso o redireccionamiento en el contenido de la página. Si se detecta un ataque de envenenamiento de motores de búsqueda, se puede utilizar la función “Eliminar URL” de Google Search Console para eliminar los resultados de búsqueda anormales de Google.
2. Utilizar herramientas y paquetes de sitios web confiables: Si el sitio web utiliza complementos adicionales para mejorar su funcionalidad, asegúrese de que provengan de desarrolladores confiables y manténgase al día con las