Netcraft’taki siber güvenlik araştırmacıları, kötü niyetli içerik ve diğer dolandırıcılık yaymak için Google’ın arama sonuçlarını kullanan bir dizi yeni SEO zehirlenmesi ile ilgili saldırı keşfettiler. Araştırmacılara göre, “organize” bir saldırgan ağı, arama sıralamasında kötü niyetli içeriğin görünürlüğünü artırmak için tehlikeye atılan web sitelerini kullanıyor.
Bu operasyonun arkasında, dolandırıcıların kimlik avı sayfalarına ve hileli hizmetlere bağlantılar enjekte etmesini sağlayan bir karaborsa platformu olan Hacklink, şüphesiz web sitelerine, arama motorları geri kalanını yapıyor.
Kaçırılmış siteler, görünmez bağlantılar, manipüle edilmiş sonuçlar
Web sitelerini tahrif etmek veya veri çalmak yerine, Hacklink kullanan saldırganlar, tehlikeye atılan sitelerin kaynağına görünmez kod ekler. Bu bağlantılar, özellikle kumar, ilaç ve yetişkin içerik sektörlerinde, kullanıcılar tarafından aranan anahtar kelimelerle eşleşecek şekilde tasarlanmıştır. Birisi ilgili bir terim aradığında, saldırganın siteleri sonuçlarda yüksek görünür ve genellikle meşru işletmeleri geride bırakır.
İçerik, günlük kullanıcılardan gizlenmeye hazırdır, ancak arama motoru tarayıcılar tarafından tamamen görülebilir. Bunu yaparak, saldırgan, güvenliği ihlal edilen sitenin itibarına, özellikle de bitenlerin itibarına girer.gov,.eduveya popüler ülke kodu alanları. Bu taktik hileler algoritmaları aldatmaca sitelerine güvenilir olarak ele alarak arar ve onlara görünürlükte bir artış sağlar.
Hacklink: Hizmet Olarak SEO sahtekarlığı
Hacklink, dolandırıcılar için bir çevrimiçi mağazadır. Saldırganlar, zaten işbirliğine uğramış alanların bir listesine göz atabilir, anahtar kelimeler seçebilir ve URL’leri hedefleyebilir ve içeriklerinin enjekte edilmesi için ödeme yapabilir.
Netcraft’ın Hackread.com ile Salı günü yayınlanmadan önce paylaşılan raporlarına göre, fiyatlar değişiyor, ancak listeler genellikle 1 $ civarında başlıyor ve premium alan adlarının daha pahalıya mal olduğu. Tüm bunlar, web tabanlı bir kontrol paneli aracılığıyla yapılır ve arama sıralamalarının büyük ölçekli manipülasyonunu para ve kötü niyetli niyetleri olan herkes için erişilebilir hale getirir.
Birçok durumda, web sitesi sahibi farkında değil. Siteleri, sahte ürünler satan, kimlik avı sayfalarına yönlendiren veya kötü amaçlı yazılımları yayan hileli siteleri sessizce artırsa bile normal olarak görünür ve işlev görür.
Türkiye’de çevrimiçi kumar hedeflemesi
Netcraft’ın raporu ayrıca Türkiye’deki çevrimiçi kumar sektörünü hedefleyen saldırılarda bir artışa dikkat çekiyor. “Neon SEO Academy” ve “Seolink” gibi gruplar, kumarla ilgili anahtar kelimeler için arama sıralamalarını manipüle etmek için hizmetler sunuyor. Bu operatörler, 15.000’den fazla tehlikeye atılan web sitesine erişim talep ediyor ve tekliflerini Telegram ve WhatsApp gibi platformlar aracılığıyla aktif olarak pazarlıyor.
Bu gruplar bağlantı enjeksiyonundan çok daha fazlasını sunar. Bazıları, daha kapsamlı ve uzun vadeli kontrol sağlayan savunmasız alanların yönetici panellerine erişim sağlar. Diğerleri, saldırgan SEO taktiklerini şüpheli etik ile birleştiren bir yaklaşım olan kötü amaçlı bağlantıların meşruiyetini daha da artırmak için özel blog ağlarını kullanır.
Gerçek zamanlı sıralama manipülasyonu
Araştırmacılar ayrıca saldırganların bağlantı ağları boyunca bağlantı metnini ayarlayarak arama sonuçlarında görünen metni dinamik olarak değiştirebildiklerini belirtti. Bu, bu sitenin tam kontrolü olmasa bile, tehlikeye atılan bir sitenin Google’ın sonuçlarında nasıl göründüğünü uzaktan etkileyebilecekleri anlamına gelir.
Daha gelişmiş kurulumlarda, bu yöntem arama kullanıcılarını kimlik avı sayfalarına veya gerçek web sitelerinin klonlanmış sürümlerine bile götürebilir. Güvenilir bir hizmeti ziyaret ettiklerini düşünen kullanıcılar, bir tuzağa parola veya ödeme bilgileri giriyor olabilir.
Çevrimiçi kumar bugün en görünür kurban olmakla birlikte, bu yöntem bankacılık, sağlık, kripto ticareti ve hayırsever bağış toplama dahil olmak üzere arama motoru görünürlüğüne dayanan hemen hemen her sektöre uygulanabilir. Taktik, hem kullanıcı güvenini hem de marka bütünlüğünü hedefler ve kurbanların sorunu bile tespit etmesini zorlaştırır.
Ne yapalım?
Kuruluşlar yönetici panelleri güvenlik, yamalar uygulamalı ve dosya değişikliklerini düzenli olarak izlemelidir. Ancak farkındalık da aynı derecede önemlidir. SEO zehirlenmesi sadece bir arama motoru sorunu değil, siber suç ekonomisinin büyüyen bir parçası.
Site sahipleri, alan adlarının arama sonuçlarında nasıl göründüğünü, yetkisiz giden bağlantıları denetlemeli ve alanlarının itibarını izlemelidir. Şüpheli bağlantılar tespit edilirse, aracı kullanın ve arama motorlarına derhal istismar bildirin.
Kullanıcılar için, özellikle finansal işlemler veya kişisel bilgilerle uğraşırken URL’leri dikkatle doğrulayın. Şüphe duyduğunuzda, tek başına arama motoru bağlantılarına güvenmek yerine doğrudan bilinen bir alana gidin.
Ve en önemlisi, siber güvenlik ile ilgili daha fazla haber ve güvenlik ipuçları için hackread.com’u takip edin!