Как Google борется с хакерами и спамом

24.11.2015

Спамеры и хакеры используют Google в своих целях: чтобы распространять вредоносное ПО через поиск. Мы выяснили, какие ключевые слова несут в себе основной риск.

Роль Google в нашей жизни сложно переоценить — более 90% всех запросов в Европе совершается именно через этот поисковик. Миллиарды веб-сайтов участвуют в поисковом индексе размером более 100 миллионов гигабайтов. Мы так часто обращаемся к этой системе, что слово «гуглить» встречается уже и в словарях.

Будучи стартовой страницей у многих пользователей, Google открывает путь почти ко всем сайтам, в том числе и к представляющим потенциальную угрозу. В их числе страницы, распространяющие вредоносное ПО, раздражающие панели инструментов или предложения мошенников. Мы выяснили степень надежности, с которой Google отфильтровывает подобные сайты, а также какие поисковые запросы ведут к самым опасным страницам.

CHIP проанализировал десятки ключевых слов при запросах в Google на опасность заражения вредоносным ПО и случаи мошенничества, исключив только сайты с нелегальным пиратским контентом. Во время тестирования мы проверяли все результаты поиска и объявления на первой странице с помощью сканеров ссылок WOT и Bitdefender Traffic, открывали сайты, а в случае с загрузками — скачивали и устанавливали первое предложение на сайте. Самые опасные из всех запросов представлены на инфографике.

Мы не рассматривали поиск по порносайтам и страницам с пиратским ПО, поскольку там риск заражения крайне велик, а ограничились повседневными запросами. Кроме того, мы изучали результаты и объявления только на первой странице обнаруженных совпадений.

Многочисленные айтрекинговые исследования последних лет, в том числе проведенные Немецким федеральным союзом цифровой экономики (BVDW) и Корнелльским университетом США, показали, что пользователи, как правило, просматривают только первые результаты поиска, а также верхние рекламные объявления. Также чаще всего открываются ссылки именно самых первых результатов поиска.

Доля кликов по первым результатам в поисковой выдаче составляет от 20 до 60%

По результату, расположенному на 4 месте, и далее участники исследований нажимали в среднем реже, чем в пяти процентах случаев. Данные измерения необходимо принимать во внимание с осторожностью, поскольку здесь свою роль играет множество факторов. Однако они подтверждают то, о чем многие догадывались сами или же слышали от знакомых: даже когда Google находит 100 миллионов ответов на запрос, пользователи кликают только по первым.

Действия «гуглящего» человека легко просчитываются, и этим пользуются преступники и спамеры. Если их специально подготовленные и взломанные сайты по конкретным поисковым запросам появляются на самом верху списка Google, на них зайдет больше пользователей, и чем популярнее запрос — тем больше.

«Точечную опасность несут результаты, отслеживаемые глобально, по всему миру, например стихийные бедствия, смерть известного актера или скандал», — рассказывает Кристиан Функ, аналитик вирусов в Лаборатории Касперского. «Однако неувядаемой популярностью пользуются запросы в отношении пиратских копий известных фильмов, музыки и игр, прежде всего в сочетании со словами «free» или «бесплатно».

Заражение вирусом через результаты поиска

Наш тест смог подтвердить это заключение эксперта. По запросу «Во все тяжкие смотреть онлайн» («Во все тяжкие» — современный телевизионный сериал) мы подхватили троян, вынужденно скачав проигрыватель для воспроизведения.

Но это еще не все! Данное ключевое слово привело к засорению нашего браузера пятью ненужными плагинами, а систему — тремя записями в автозагрузке. Даже в случае с такими классическими примерами, как скачивание обоев рабочего стола и скринсейверов, мы выявили подобные манипуляции с браузером.

Во время тестирования чаще всего мы сталкивались с угрозами типа Scareware

Например, к ним относятся фальшивые антивирусы, сообщающие о заражении и призывающие купить полный пакет для удаления мнимых вредоносных программ. Кроме того, установленные без нашего желания программы привели с зависанию системы и парализовали работу браузера.

Чего мы не наблюдали в нашем тесте, так это заражения вирусом при простом посещении сайта. Вредоносное ПО всегда скрывалось в загружаемых со страницы файлах. Это нельзя ставить в вину сервису Google, поскольку с технической точки зрения практически не возможно проверить загрузки со всех сайтов.

Второй проблемой, после вредоносного ПО, является мошенничество

Соответствующие предложения мы нашли, прежде всего, по запросам, касающихся темы «деньги». Когда вы задаете поисковику такие вопросы, как «кредит без поручителей» или «дешевые билеты на Майорку», имейте в виду, что некоторые результаты и даже объявления на первой странице Google выведут вас на сомнительные предложения.

В случае с дешевыми турами, к примеру, мошенничество заключается в том, что сайты незаметно «подсунут» вам дополнительные услуги, например, туристическую страховку и возможность перебронирования.

Слабые места алгоритма работы Google

Для понимания того, как злоумышленники попадают на первую страницу с результатами поиска, необходимо знать принципы работы Google. Этот сервис индексирует большую часть из 60 миллиардов сайтов в Сети с помощью поискового робота. Если говорить упрощенно, робот оценивает содержимое страниц на основе текстов и ключевых слов и решает, по каким поисковым запросам их отображать.

Рейтинг результатов Google рассчитывает с помощью сложного алгоритма, базирующегося более чем на 200 факторах

Важным аспектом при этом является релевантность и актуальность контента для поискового запроса. Кроме того, роль играет «вес» сайта. Google вычисляет его на основе ссылок, ведущих на эту страницу, — бэклинков.

Еще пару лет назад киберпреступники могли перехитрить эти механизмы. Для этого им требовалось подготовить собственные сайты, наполнить их скопированным с надежных страниц контентом и запостить на линкофермах ссылки. Единственным смыслом существования этих сайтов были обратные соответствующие ссылки.

Данная форма поисковой оптимизации не работает с тех пор, как компания Google в рамках инициативы Safe Browsing ужесточила борьбу со спамом в результатах поиска. Теперь значение имеет происхождение бэклинков.

«Когда крупные, заслуживающие доверия сайты ссылаются на мелкие страницы, последние автоматически приобретают более высокую репутацию у Google», — поясняет Джонас Вебер, чья фирма webhelps консультирует владельцев сайтов по вопросам поисковой оптимизации.

Сегодня киберпреступники вынуждены пользоваться другими методами

Вместо создания собственных веб-страниц и продвижения их в топ, они используют в своих целях солидные сайты, которые Google и так отображает самыми первыми. И это у них получается, так как система управления содержимым (CMS) или серверное ПО зачастую несет в себе уязвимости, через которые злоумышленники могут добавить на сайт вредоносный код или скрытые ссылки на опасные страницы.

Чаще всего таким нападениям подвергаются такие CMS-системы с открытым кодом, как WordPress и Joomla, а также их плагины. По данным исследования от Checkmarx, к примеру, семь из десяти плагинов электронной коммерции подвержены веб-атакам. Хакеры находят такие уязвимые сайты с помощью специальных запросов об устаревших версиях используемых CMS-систем. Зачастую информация о версии стоит в исходном тексте страницы и, тем самым, также индексируется поисковиком Google.

Другим способом являются атаки типа межсайтовый скриптинг, когда код внедряется на сайт через поля ввода. Залог успеха такой атаки — плохое программированние сайта и неаккуратная обработка подобных строк.

Впрочем, для взлома сайта и получения данных доступа администратора бывает достаточно метода «грубой силы». По наблюдениям фирмы Sucuri, специализирующейся на безопасности веб-сайтов, в последнее время число таких атак вновь чрезвычайно возросло именно на системы WordPress и Joomla. До сих пор встречается даже фишинг, направленный на веб-администраторов, чтобы те сами выдали данные доступа.

В борьбе с поисковым спамом

На данный момент Google в результатах поиска регистрирует до 50 000 таких веб-сайтов, измененных с помощью вредоносного кода (спам-сайтов), в неделю, однако лишь около 5000 из них созданы специально для распространения вирусов.

Цифры по попыткам манипуляций с рекламными объявлениями AdWords Google пока не публикует. Однако при тестировании мы постоянно сталкивались с нечестными и опасными страницами. Предложения от мошенников встречались преимущественно в текстовых объявлениях, появляющихся над результатами поиска и рядом с ними.

Каждую неделю Google блокирует до 60 000 «добросовестных» веб-сайтов, взломанных хакерами с целью распространения через них спама и вредоносного ПО. Специально созданных для этого страниц, впрочем, гораздо меньше.

Google пытается бороться с использованием таких сообщений в преступных целях, проверяя, среди прочего, жалобы от пользователей. Кроме того, для выявления жульнических предложений компания анализирует AdWords с помощью специальных алгоритмов. К ним относятся анализ текста объявлений (в том числе по используемым ключевым словам) и перепроверка сайтов, на которые те ссылаются, а также активность аккаунтов, с которых включаются объявления (то есть с какого IP-адреса используется аккаунт). Штрафные санкции простираются от выключения объявления до блокировки веб-сайта на Google и даже долгосрочного бана учетной записи.

Борьбу со спамом в результатах поиска Google ведет аналогичными методами. Здесь также сначала алгоритмы проверяют сайты и удаляют зараженные из поискового индекса. При возникновении сомнений окончательный вердикт выносят команды Search Quality.

В войне против спама главную роль играет сам поисковой алгоритм

Благодаря выпуску многочисленных апдейтов компании Google в последние годы удалось существенно затруднить проведение манипуляций.

«Очень важным обновлением в борьбе со спамом было автоматическое исправление написания при вводе запроса», — рассказывает Джонас Вебер из компании webhelps.

Прежде спамеры специально оптимизировали целые сайты, соответствующие неправильно написанным ключевым словам, к примеру «Fotoschop» вместо «Photoshop». Сегодня это сделать практически невозможно, поскольку Google исправляет большинство опечаток в строке поиска. Со временем снизилась даже роль ключевых слов, особенно если они размещаются в массовом порядке на одной странице.

В качестве двух примеров таких обновлений можно назвать Panda (апрель 2011 года) и Penguin (апрель 2012 года). С помощью них компания Google начала целенаправленную борьбу с постоянно повышающими свою квалификацию SEO-спамерами.

Главной задачей этих апдейтов было повышение веса серьезного, созданного самостоятельно, уникального контента. Сайты же с копированным содержимым наказывались. С тех пор даже происхождение ссылок на сайт измеряется иначе, в связи с чем линкофермы уже не подходят для оптимизации позиции в рейтинге. Все эти обновления способствовали тому, что сайты, предназначенные исключительно для спама, стали появляться в результатах поиска реже, что в принципе очень хорошо.

И все же новый метод спамеров — взлом «добропорядочных» страниц — пока плохо распознается пользователями, тем самым представляя серьезную угрозу. Тем не менее, сами браузеры демонстрируют все большую надежность в плане распознавания опасных сайтов и нежелательных дополнений.

Фото: frankieleon/flickr.com