Mondo
I cybercriminali hanno imparato le tecniche del marketing online e avvelenano i motori di ricerca con siti maligni che “imitano”i siti legittimi di note istituzioni finanziarie italiane.
Si chiama “Search Engine Poisoning” (in senso letterale, “avvelenamento dei motori di ricerca”) ed è una forma di minaccia del web emergente nota già da qualche mese che, però – secondo i Websense Security Labs – ora ha assunto un aspetto ulteriormente preoccupante. Il search engine poisoning causa accesso involontario del navigatore a un sito web contenente codice maligno che ha un URL molto simile a quello di un sito legittimo. Ciò può avvenire semplicemente digitando in modo scorretto un indirizzo web.
Ora però c’è una novità: i cybercriminali dediti a queste pratiche hanno imparato il web marketing! In pratica utilizzano le tecniche note come Search Engine Optimization (SEO) per migliorare il posizionamento dei siti fasulli e pericolosi all’interno dei motori di ricerca più noti, arrivando spesso a farli apparire molto più in alto nella pagina dei risultati delle ricerche rispetto ai siti di organizzazioni legittime, potendo così arrivare meglio a intercettare ignare vittime. Non si tratta dunque più di semplice uso di domini vagamente simili a quelli di siti legittimi per ingannare chi compie errori di digitazione. Si tratta di una tecnica ben più furba e pericolosa.
Nell’ultimo mese sarebbe particolarmente presa di mira la versione italiana del motore Microsoft Windows Live Search. E’ infatti risultato che se si effettuano ricerche digitando i nomi di note banche italiane seguite dalla città (es.: Banca XYZ Venezia), molti dei risultati indirizzano a siti web maligni in grado di compromettere la sicurezza del PC degli ignari visitatori.
Nell’esempio illustrato dalla prima immagine, il sito web ufficiale e legittimo della banca ricercata (un istituto molto noto) nemmeno appare nella lista dei risultati, mentre tra quelli evidenziati molti indirizzano a siti maligni. Il quinto di questi link, ad esempio, se cliccato fa atterrare sulla pagina rappresentata nella seconda immagine, che sembrerebbe una pagina del portale Lycos, ma non è così (altre pagine cui si può essere rimandati da questi link fasulli riportano invece a piena pagina il tricolore italiano).
La pagina contiene in realtà un IFRAME che indirizza il visitatore ignaro a un altro sito web che contiene codice maligno mascherato. Se il PC del malcapitato non è dotato delle patch aggiornate, questo codice di exploit scarica e installa occultamente un file maligno. Sui computer con patch aggiornate appare invece un avviso che chiede il permesso di consentire la prosecuzione dell’installazione ActiveX.
Non corrono rischi gli utenti della soluzione di protezione di Websense, perché la società già da tempo ha aggiornato il proprio database con gli oltre 1000 siti fasulli appartenenti a questa categoria individuati, bloccandone così l’accesso.
Secondo gli esperti di Websense, alcuni segnali indicherebbero che questo tipo di exploit possa essere perpetrato da un unico soggetto o gruppo.
Il problema è particolarmente evidente per le ricerche in Live Search, ma alcuni risultati simili si sono evidenziati anche sui motori Google e Yahoo!.
Il codice maligno è un downloader Trojan che tenta di connettersi a uno specifico indirizzo IP (originato pare in Ucraina o Moldavia) da dove scaricare un altro pacchetto di file maligni.