Sites confiáveis não estão livres de vírus, como esta coluna já mostrou. E os sites com mais tráfego na rede são as páginas de pesquisa. Antes de chegar a qualquer outro conteúdo, internautas buscam o que procuram nesses sites, que vasculham a rede para achar o que o usuário deseja. Criminosos não conseguem alterar diretamente as páginas de pesquisa, mas conseguem outra façanha para obter o mesmo resultado: injetar sites maliciosos nas pesquisas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A prática de colocar sites maliciosos na busca é chamada de “SEO blackhat”. O termo tem sua origem na união das palavras Otimização para mecanismos de busca (Search Engine Optimization – SEO) e blackhat (chapéu preto) – o termo usado para definir hackers maliciosos.
“SEO” é um termo comum no mercado de desenvolvimento e manutenção de sites para qualquer técnica que tente melhorar a posição de um site nos sites de busca. Nem todo “SEO” é malicioso. Na verdade, alguns são benéficos, porque melhoram os resultados de busca para o usuários, colocando as páginas web mais relevantes para uma pesquisa em posições de destaque.
O SEO blackhat é um uso distorcido dessas técnicas. O objetivo é colocar páginas irrelevantes em locais privilegiados dos resultados de pesquisa. Os criminosos fazem isso para colocar sites não apenas irrelevantes, mas maliciosos, nos primeiros resultados de pesquisas.
Golpe se concentra em assuntos populares
Os alvos são geralmente termos populares, principalmente no mecanismo de busca mais popular: o Google.
O último assunto que caiu no interesse dos criminosos foi a morte do presidente polonês, ocorrida neste sábado (10). Poucas horas após o acidente, pesquisas em mecanismos de busca sobre o assunto já estavam contaminadas com resultados que levavam internautas a páginas infectadas.
Pesquisas em português ainda não retornam resultados maliciosos como pesquisas em inglês. Mas uma simples busca por “poland plane crash” (“acidente de avião polônia”) irá retornar resultados maliciosos logo na primeira página de resultados do Google.
A mesma pesquisa em outros sites de busca não retorna os mesmos resultados. De fato, algumas das “campanhas” de SEO blackhat são tão específicas para o Google que visitar os sites diretamente não resulta em infecção. É preciso chegar até eles por meio da busca. No entanto, esse comportamento pode ser uma tentativa dos criminosos de impedir que os donos dos sites infectados percebam que a página está infectada. Isso porque os sites usados nesses golpes são legítimos.
Mas o Google também é mais atacado por ser o mais popular. Cada mecanismo de busca usa critérios diferentes para definir o que vai aparecer nos primeiros resultados de uma pesquisa. É natural que os criminosos ocupem mais tempo tentando descobrir como o Google funciona – e como fazer com que as páginas infectadas apareçam em locais privilegiados da página de resultados.
A resposta dos criminosos a um novo assunto popular precisa ser rápida. É nas primeiras horas que a maioria dos internautas faz pesquisas sobre o tema. Os resultados infectados precisam aparecer o quanto antes.
E assim aconteceu com diversos temas. A gripe A H1N1, a morte de Michael Jackson, a tragédia no Haiti e até o anúncio do iPad foram aproveitados por criminosos.
Para evitar cair nos golpes, a F-Secure sugeriu há algum tempo o uso do Bing (a empresa cometeu uma gafe no referido post). Isso não é exatamente uma solução, porque se todos forem ao Bing, criminosos passarão a infectar resultados nele também. O Google trava uma luta contra esse tipo de página maliciosa, mas não consegue retirar tudo do índice de pesquisa.
O melhor a se fazer é ter todos os softwares atualizados para impedir que brechas sejam exploradas no navegador e desconfiar de resultados “estranhos”. Para conseguir essa relevância artificial nos resultados, os sites não têm um conteúdo com muito sentido. Isso pode ser percebido na página de resultados.
Páginas infectadas disseminam antivírus fraudulentos
SpySheriff: um dos primeiros antispywares fraudulentos.
Qualquer tipo de código malicioso pode ser distribuído por essa técnica. Os sites maliciosos envolvidos usam kits de infecção que tentam explorar vulnerabilidades no navegador para instalar cavalos de troia sem que o usuário precise autorizar o download de qualquer programa. Se nenhuma vulnerabilidade puder ser explorada, no entanto, ou o site decidir não tentar fazer isso, o download será oferecido.
Sendo a vulnerabilidade explorada ou o download efetuado, o usuário será infectado com o código malicioso desejado pelo criador do golpe. Normalmente, a praga escolhida é um antivírus fraudulento, também conhecido como “rogue”.
São antivírus que dizem ao internauta que ele está infectado e que é necessário adquirir o software para realizar a limpeza. A infecção normalmente não exista ou foi colocada no computador pelo próprio “antivírus”. São programas fraudulentos que não protegem o PC de nenhuma maneira.
Antivirus Suite: antivírus fraudulento atual, com interface refinada e resultados falsos.
A interface desses programas é bem trabalhada e tem um visual moderno. Tudo para convencer o internauta a desembolsar o valor solicitado, que normalmente varia de US$ 20 a US$ 50, mas pode ir muito além se o criminoso resolver tentar: são vários antivírus falsos sendo distribuídos ao mesmo tempo, de várias maneiras.
0 comentários:
Postar um comentário