De Olympische Spelen die dit jaar plaatsvonden in Londen werd door miljoenen mensen zeer enthousiast gevolgd, zowel via de tv als internet. De meesten waren groot fan van een of meerdere atleten die hun best deden een gouden medaille binnen te slepen. Jammer genoeg was er ook een groep mensen die de Spelen om een andere reden op de voet volgden. Zij gebruikten de populariteit van het evenement om mensen naar kwaadaardige sites te lokken en op die manier hun pc te besmetten met bijvoorbeeld spyware of bot-software.
Anders dan een paar jaar geleden ging hun strategie nu veel verder dan alleen het versturen van spam. Zij maakten onder andere gebruik van een techniek die door veel bedrijven ingezet wordt: search engine optimization (seo). Een bewezen tactiek, zo blijkt eens te meer. Het misbruiken van populaire gebeurtenissen wordt al jaren gebruikt om mensen naar besmette sites te lokken, maar de manier waarop dat gebeurt verandert constant en de ‘bad guys’ komen telkens met nieuwe tactieken.
Verlopen
Een van de nieuwe tactieken waar cybercriminelen gebruik van maken is kijken naar de reputatie die zoekmachines geven aan bepaalde websites op basis van ‘leeftijd’. Bijvoorbeeld websites die al jarenlang bestaan en op het punt staan te verlopen. Dergelijke websites worden aangekocht en het enige wat de scammers hoeven te doen is de content aanpassen vlak voor het evenement begint waarop ze willen meeliften. Het komt ook geregeld voor dat ze zogenaamde domeinnamen registreren waarvan de registratie door de vorige eigenaar niet verlengd is en die linken naar hun eigen, besmette site om zodoende de ranking in de zoekmachines te verbeteren.
Het enige wat de aanvaller vervolgens hoeft te doen, is wachten totdat er publiek langs komt en begint te klikken om vervolgens de website op tijd weer uit de lucht halen. De site hoeft niet lang online te zijn, want omdat dergeljke sites vaak hoog scoren in de zoekresultaten komt er genoeg bezoek in een paar dagen om genoeg machines te besmetten om er geld mee te kunnen verdienen.
Backlinks
Wanneer het doel is iemand op een link te laten klikken, zou je zeggen dat het meest populaire nieuws-item het meest voor de hand liggende doelwit is. Maar we zien steeds vaker dat scammers zich niet per se daarop richten. Ze maken steeds minder gebruik van de meest populaire nieuwsitems of celebrities, maar richten zich daarentegen vaker op minder breaking nieuws. Het idee daarachter is dat, wanneer ze zich op het ‘low hanging fruit’ zouden richten, ze moeten concurreren met heel veel andere zoekresultaten. Door in te zetten op ‘minder belangrijk’ nieuws komen ze relatief vaker naar boven in zoekopdrachten en dus meer bezoekers op hun besmette sites.
Een groot deel van het succes van de search engine optimization-aanpak is het gebruik van zogenaamde backlinks. Deze backlinks worden door zoekmachines gebruikt om de populariteit van een bepaalde website te bepalen. Hoe meer links op andere pagina’s verwijzen naar jouw pagina, hoe hoger die pagina scoort in de rankings. Er is een aantal manieren waarom scammers dit systeem kunnen uitbuiten. Een van die manieren is het aanmaken van een profiel op sites met veel verkeer zoals SoundCloud of allerlei social media en vervolgens een link te plaatsen in dit profiel. Een andere manier is bijvoorbeeld het sponsoren van een WordPress-thema. De aanvaller heeft daarbij de mogelijkheid een link te plaatsen die leidt naar zijn site. Elke keer wanneer het thema door iemand wordt gebruikt komt er automatisch een link naar de kwaadaardige site bij.
Het vaak ingewikkelde seo-werk wordt een piece of cake dankzij handige oplossingen zoals Xrumer, een bekende black hat seo-tool die beveiligingsmaatregelen zoals CAPTCHA, dat gebruikt wordt om spam op fora te voorkomen, kan omzeilen. Maar uiteindelijk lijkt ook het traditionele seo-werk nog altijd te voldoen. Old school-methoden zoals het eenvoudig plaatsen van links op gebruikersfora en in de commentaren van diverse websites zijn nog aan de orde van de dag. Maar het search engine optimization-spel kent nog meer mogelijkheden om vals te spelen. Trucjes zoals keyword stuffing bijvoorbeeld. Dit is een methode waarbij er allerlei keywords of tags in de meta data en/of de content van een website wordt gezet. Deze techniek was vooral een paar jaar geleden erg populair, maar hij wordt nog steeds gebruikt. Ondanks dat bijvoorbeeld Google duidelijk aangeeft dat het daar niet van gediend is en websites die het wel doen ‘straft’ in de zoekresutaat-ranking.
Maar ook hier hebben cybercriminelen iets op gevonden, namelijk ‘cloaking’. Dit is een techniek waarbij de web server andere content presenteert aan de zoekmachines dan aan de gebruikers. Daarnaast wordt gebruik gemaakt van ‘doorway-pagina’s’ of ook wel ‘throwaway-pagina’s’ die worden ingezet om zoekmachines naar een andere website te lokken. De policy van Google zegt hierover dat dergelijk acties kunnen resulteren in het totaal verwijderen van een site uit Google’s index.
Scherp en alert
Zoekmachines zoals Google dragen zeker hun steentje bij om het misbruik tegen te gaan. En dat moet ook, want gebruikers hebben in wezen niet heel erg veel mogelijkheden om zich te beschermen. In sommige gevallen komen er url’s naar boven in zoekmachines die gewoon vreemd zijn en helemaal niets met het onderwerp te maken lijken te hebben. Dit zou kunnen duiden op een malafide site. Gelukkig scannen steeds meer beveiligingspakketten alle url’s tijdens het surfen. Maar aangezien de cybercriminelen de markt vaak een of meerdere stappen voor zijn en gebruikmaken van dezelfde technieken die ons het leven zo makkelijk maken, blijft het zaak scherp en alert te blijven bij alles wat je online doet!
