Исследователи из трех американских университетов определили, что каждая 200-я ссылка в поисковых подсказках Google связана с мошеннической активностью. «Черные SEO-шники» используют функцию автозаполнения, чтобы привлекать трафик на свои сайты, продвигать зловредное ПО и прочий вредоносный контент.

В своей работе ученые применяли специальный инструмент Sacabuche (Search Autocomplete Abuse Checking — «проверка на манипулирование поисковыми подсказками»; слово также означает «ручной насос, помпа» по-испански). Объектом исследования стали 117 млн подсказок, которые Google, Yahoo! и Bing предлагают пользователю по мере ввода запроса. Вредоносный характер был выявлен у 0,48% позиций в этом массиве.

За подменой подсказок стоит множество компаний, которые предлагают свои услуги по цене от 1 до 20 долларов в день. Одни используют ручной труд операторов, другие автоматизируют процесс с помощью набора браузеров, отправляющих запросы с разных IP-адресов. Авторы исследования описали двухступенчатый механизм атак: сначала вредоносная подсказка внедряется в список автозаполнений, потом злоумышленники продвигают свою страницу в соответствующей выдаче.

Ученые установили более 3 тыс. сайтов, появляющихся среди результатов поиска после подмены подсказки, из чего сделали вывод о работоспособности этой стратегии. По их словам, значительную роль в ее популярности сыграла растущая доля мобильных устройств в веб-трафике. Пользователи смартфонов часто кликают по подсказкам, чтобы сэкономить время и избежать опечаток.

Схема работает не только в трех поисковиках, которые вошли в исследование, но и любых других сервисах с функцией автозаполнения, в частности в Yandex и китайском Baidu. Ученые донесли информацию об уязвимости до всех этих компаний и уже получили ответ от Google, содержание которого не раскрывается.

Киберпреступники нередко используют легальные технологии, чтобы продвигать свои разработки. В январе ИБ-эксперты обнаружили целую сеть маркетинговых агентств, выкупавших рекламные места на «чистых» веб-площадках, чтобы увести трафик на вредоносные ресурсы. Злоумышленники действовали на протяжении всего 2017 года, успев за это время показать более миллиарда баннеров, по которым кликнули более 2,5 млн раз.

Немалую угрозу для конфиденциальности пользователей представляют и легитимные веб-скрипты, которые помогают администраторам сайтов отслеживать поведение аудитории их площадок. В конце 2017 года исследователи Принстонского университета установили, что эти инструменты могут собирать персональные данные без уведомления посетителей, а бреши в информационной безопасности позволяют злоумышленникам проводить на них MitM-атаки.

На миниатюре представлен пример модифицированного списка автозаполнения Google, позаимствованный из презентации университетских исследователей на февральском Симпозиуме по безопасности сетей и распределенных систем (NDSS).

Категории: Аналитика, Главное, Мошенничество