it
English Español Deutsch Français Italiano Português (Brasil) Русский 中文 日本語
Invia il post
Torna ai giochi

Come Google non si accorge dei siti bucati (e li posiziona pure!)

68
Wow-Score
Il Wow-Score mostra il livello di interazione del posto di un blog. Si calcola sulla correlazione tra il tempo di lettura attivo degli utenti, la loro velocità di scrolling e la lunghezza dell'articolo.

Come Google non si accorge dei siti bucati (e li posiziona pure!)

Benedetto Motisi
Come Google non si accorge dei siti bucati (e li posiziona pure!)

C’è una parte della Search Engine Optimization più nera della parte oscura della Luna, nascosta e quindi invisibile agli occhi dei più. Certo, i più romantici fra di noi si rifiutano di vederla, asserendo che l’unico satellite della Terra influenzi l’amore ma, in modo assai cinico, bisogna ammettere che si tratta di niente di più che un agglomerato di roccia sospeso nel cosmo.

Maggiori info Negative SEO e Social: i Caotici Malvagi del Web Post Benedetto Motisi

Alla stessa stregua, la SEO altro non è che una serie di tecniche in grado di influenzare l’algoritmo di visibilità di quello che è uno dei maggiori portali di accesso al Web o, nella sua accezione negativa, delle pratiche per minare l’attività altrui.

Casi studio di SEO Negativa ne abbiamo già affrontati su questo spazio, e questa volta voglio approfondire un argomento ancora più pernicioso.

Siti istituzionali bucati che si posizionano su “viagra”

Non saremo soli in questo viaggio, ci accompagnerà un Virgilio d’eccezione, il sodale e soprattutto amico di vecchia data Markiyan Yurynets

Mark è uno dei primi professionisti con i quali ho iniziato a collaborare online, una delle pochissime amicizie nate da questo lavoro e, a Leopoli, il socio di diversi progetti anche slacciati dall’online.

Da tempo condividiamo una cartella su Dropbox chiamata Viagra e Stato Italiano dove ci divertiamo a raccogliere tutti i siti istituzionali bucati che presentano pagine di spam e/o link verso l’esterno inseriti in modo piuttosto bucaniere. 

Quando eravamo più giovani e idealisti, ci eravamo messi in testa di offrire il nostro aiuto professionale a chi gestiva questi siti, ma nella migliore delle ipotesi non ci hanno risposto (nella peggiore, hanno pensato fossimo noi a farlo per chiedere una sorta di riscatto digitale). Con gli anni, si è accumulato un bagaglio importante di conoscenze, che alcuni clienti sfruttano per i propri progetti online, a parte una buona analisi di SEO e marketing.

Appurato che Sansone debba morire con tutti i filistei, oggi ci limitiamo a farci delle domande – e a darci delle risposte – circa il funzionamento di questo peculiare modo di fare SEO.

Riprendendo le fila, abbiamo sotto mano la casistica di siti bucati che danno un link verso l’estero o, ad esempio, si posizionano per query particolari come viagra, cialis, borse replica louis vuitton.

Come in un dialogo platonico, ho posto delle domande a Mark a riguardo.

Come Google non si accorge dei siti bucati e li posiziona

Qual è l'obiettivo di chi fa questo tipo di attività? Si tratta di hacker?

L’alta domanda di servizi SEO fa nascere QUALSIASI tipo di offerta in questo mercato. 

In questo caso esiste un mercato molto florido che riguarda alcune tematiche particolari, nicchie che da una linea Grey passano direttamente a una Black, anche a livello legale. Se mi parli di siti web che portano a farmacie online, vendita di pillole di varia natura, questo è dovuto al fatto che in Europa, di solito, è difficile ottenere questi medicinali senza ricetta.

Il Web si configura quindi come un canale alternativo per ottenere questi prodotti, che si chiami viagra (ricerca errata, essendo un marchio registrato) o cialis o sildenafil (principi attivi prodotti in India e facilmente reperibili con questo nome).

Appurato quindi che il problema vero sta nella distribuzione di questi prodotti, ecco che arriva la SEO per fare contenta qualche povera anima abbacchiata. Questo perché farne advertising tradizionale su Ads o su Facebook è naturalmente impossibile. Ed ecco quindi che arriva la “creatività”.

La logica è puramente parassitaria: perché non sfruttare un sito web avviato a livello tecnico? Ecco che qualsiasi errore, bug, falla è una porta di ingresso per inserirsi e sfruttarne la visibilità. Non è pura fantascienza, ma realtà.

Andiamo su Google e digitiamo sildenafil compresse prezzo.

Come bucare un sito web: SERP ricerca sildenafil compresse prezzo

SERP di Google

La composizione di questa tipologia di SERP è piuttosto ricorrente ed è così divisibile:

  • Portali informativi che trattano della query. Ad esempio, mypersonaltrainer, wikipedia, qualche notizia su qualche giornale. Un 2-3 risultati su circa 10.
  • Siti in un italiano maccheronico, automatico, milanosildenafil o romafarmacia; fake che portano all'acquisto di un prodotto non legale e ciò che è peggio, non sicuro. 

Quello che interessa a noi: siti che sono fuori tematica ma comunque posizionati. Basta andare nella home dei domini per rendersi conto che ci troviamo di fronte una grossa azienda che vende porte, un sito politico, il sito di un Comune e via discorrendo. 

Cliccando sul link posizionato, ci troviamo su un redirect (via JS, 301 o soluzioni HTTP) che ci re-indirizza alla money page che realmente guadagna.

Non staremo qui a dire COME si fa, essendo davvero illegale ma basti pensare che c’è chi sfrutta queste falle anche per vendere successivamente dei link di qualità per portare valore ai portali di destinazione.

Quanto gira dietro a questo business?

Backdoor, cloacking, injection e quanto più di Black Hat possa venire in mente è anche quanto di più lucrativo in Rete, con buona pace dei guretti dell’Affiliate Marketing da sponsorizzata su Facebook.

Nel mondo Black Hat, le regole economiche della vita reale sono ancora più amplificate, basti pensare che solo per i prodotti medicali indiani si arriva fino a un 50% sull'ordine come remunerazione, servendo un investimento iniziale di 15-20k euro.

Infatti, chi è “bravo” a bucare un sito istituzionale, nei vari forum nell'anticamera del Deep Web, si fa pagare agilmente da 1k euro a salire, con 30 accessi al mese ai siti, oppure riesce anche ad offrire soluzioni personalizzate per bucare un sito in particolare.

Diciamo che, in modo continuativo, e facendo due calcoli, si possono tranquillamente toccare 500k+ al mese solo di vulnerabilità, numeri che una PMI italiana media si sogna.

E sto parlando solo della mera vendita di dati (shell, sql, admin login, dump) che possono servire sia per intasare la mail di spam che per l’elaborazione di insight in anticipo per le borse e il trading o violare portafogli con dentro le criptovalute che Vi siete dimenticati di proteggere con autenticazione.

Quali risvolti ci sono lato SEO?

Ogni “parassita” ha di solito dei pattern riconoscibili a livello tecnico:

  • Aumento molto veloce di backlink.
  • Aumento di pagine indicizzate su Google.
  • Modifiche sul codice, aggiunte, editing.

Si tratta di raid molto rapidi, che non durano più di due settimane, per non insospettire Google; passando poi rapidamente alla prossima vittima da spolpare.

1. Aumento molto veloce di backlink

Già con il Backlink Audit di SEMrush si può tenere sottocchio la condizione offpage del proprio portale. Se vi è un aumento spropositato di link verso il proprio sito a una pagina particolare (e che spesso viene inserita ad hoc) potrebbe esserci un problema.

Prova Backlink Audit

e scopri tutti i backlink di un sito

Please specify a valid domain, e.g., www.example.com

Dati i tempi stretti, non importa di fare un bombing rapido, del resto è di nostra proprietà mica dell’attaccante!

Lo scopo è infatti quello di entrare in SERP anche per poche settimane (dati i guadagni), guadagnare finché Google non filtra – compromettendo l’intero portale – e andare oltre. Una logica predatoria propria dei parassiti.

2. Aumento di pagine indicizzate

Parlando di siti web compromessi, e ai costi che hanno, abbiamo imparato che gli accessi dalla “porta sul retro” costano. Se sei una farmacia illegale, ti interessa poco, una volta entrati potresti anche installare un e-commerce parallelo all’interno.

Ecco un piccolo esempio di come un portale è diventato lo scantinato di Breaking Bad.

Sito bucato: esempio

Di solito, a fronte di un aumento sospetto di pagine indicizzate basta un 

sito:nostrodominio.it + un termine chiave 

per trovare pagine di quel tipo (che poi era la logica con la quale ci divertivamo a raccogliere gli screenshot della nostra cartella di Dropbox).

3. Modifiche sul codice, aggiunte, editing

Siti bucati: le aggiunte lato codice

Eccoci dentro a poter agire in modo totalmente libero, molto dipende dai permessi (-rw -r -r in alto a destra) e avendo permessi totali si può davvero fare di tutto. 

Un admin in grado di gestire i permessi in modo razionale, limita di molto le nostre possibilità di essere bucati. 

Scansionare spesso il codice del proprio portale, anche con il "Site Audit" di SEMrush, è un buon modo di prevenire.

Verifica la salute

del tuo sito con Site Audit

Please specify a valid domain, e.g., www.example.com

Come è possibile difendersi?

Al di là dei toolkit di SEMrush qui evidenziati, potremmo pure utilizzare tanti altri strumenti, plugin specifici, hosting dedicati e quant'altro. Ma la realtà dei fatti è che il grosso problema sono le persone.

Le persone e il loro grado di competenza, che più e basso, più permettono a chi approfitta di queste falle di guadagnare (500k euro in un mese, abbiamo già fatto la stima, no?)

Se è possibile, ecco cinque buone pratiche che possono, se non frenare, limitare gli attacchi:

  1. Molto probabilmente le password del nostro portale sono state già scaricate in qualche dump e vendute nel Deep Web. Solo nel 2018 si parlava di un dump di circa 773 milioni di e-mail. E si tratta di una minima parte di quello che in realtà accade. Prendiamo la buona norma di cambiare TUTTE le password ogni 3 mesi Maggiori info I plugin WordPress che potrebbero star danneggiando il tuo sito web Post Andrea Di Rocco
  2. Il problema non sono i CMS in sé, il cui core è anche spesso aggiornato, nel caso degli Open Source. Ma di tutti quei plugin e componenti aggiuntivi che vengono installati senza un minimo controllo. Nella migliore delle ipotesi, risolvono problemi stupidi che possono essere affrontati anche facendone a meno. Nella peggiore, presentano dei cavalli di Troia inseriti ad hoc.
  3. Impostiamo un backup automatico anche una volta al giorno su piattaforme cloud come Dropbox, Google Drive, etc. Questo dovrebbe valere come OBBLIGO non solo come consiglio.
  4. Ci sarà un motivo per il quale gli sviluppatori si premurano di realizzare dei changelog approfonditi dei proprio aggiornamenti, no? In Rete è possibile trovare proprio dei manuali che aiutano a trovare le vulnerabilità di vecchie versioni (girano ancora Joomla 1.5..). Se il proprio portale è aggiornato, si è protetti da ciò che gira come se si fosse appunto vaccinati.
  5. Il detto “il tirchio paga due volte” è tragicamente vero. Volendo risparmiare, su un unico hosting condiviso vengono inseriti, con le stesse password, progetti differenti; al costo di un caffè in piazza San Marco a Venezia. Solo che quel caffè rischia di essere amarissimo, perché una volta bucato l’hosting, dentro vengono spennati tutti i progetti.

Online non esistono amichevoli Spiderman di quartiere

Da un grande potere derivano anche grandi responsabilità.

— Zio Ben

Solo che questa volta il Web è attraversato da tutt’altro tipo di spider rispetto a Peter Parker.

Se il nostro portale fa 10k unici al giorno, sicuramente può essere appetibile per chi fa questo tipo di attività. 

Insomma, stiamo dicendo che più la nostra visibilità in Rete è grande, più siamo appetibili agli occhi di chi agisce sotto il Black Hat, a maggior ragione se si tratta di siti istituzionali.

Non si possono ignorare queste problematiche, altrimenti forse è meglio tornare a distribuire volantini e/o profumatori per auto con il vostro logo, cercando il proprio posto al sole o una seggiola al comune.

Mentre stavamo realizzando questo articolo, gli accessi a una decina di siti web sono stati venduti.

Sicuro che dentro questa lista non ci sia il tuo?

Fammi sapere che cosa ne pensi dell'argomento che ho trattato oggi. Hai esperienze dirette? Sei il proprietario di un sito che ha subito un attacco?

Aspetto il tuo commento qui sotto per continuare a discuterne insieme.

Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Attivo in Italia ed Est Europa, ho lavorato nelle redazioni di Radio Radicale e di Gruppo HTML (oggi Triboo Media).

Ho tenuto e tengo docenze per Politecnico di Milano, Unicattolica, Upter, Regione Lazio, Provincia Autonoma di Trento, CGIL Lombardia, LUISS Enlabs, Henley Business School, Camera dei Deputati.

Sono docente nei Master di Web Communication e Visual & Marketing Design in REA Academy.

Ho pubblicato “Interceptor Marketing” con Flaccovio Editore e contribuito a “Le nuove professioni digitali” per Hoepli.

Ricopro il ruolo di Top Influencer per SEMrush, la marketing suite più utilizzata, e sono Direttore responsabile per Junglam, magazine sul lifestyle.
Condividi il post
o

Commenti

2000
Jader Liberatore
Entusiasta

Ogni tanto prende parte alle conversazioni.

Ciao Benedetto, post utilissimo: non immaginavo ci fosse un background con business così elevato!
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Jader Liberatore
Per quel che abbiamo visto, è "dietro le quinte" che si annidano i business più grossi dell'online (per quanto oltre il borderline in questo caso..)

grazie mille dei complimenti :D
Alessandro Lombardi
Esperto

Offre preziosi consigli e dà profondità alla conversazione.

Ciao Benedetto, bel post!
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Alessandro Lombardi
Grazie Alessandro :)

C'è da ringraziare il buon Markiyan, anche !
Gian Luca Partengo
Esperto

Offre preziosi consigli e dà profondità alla conversazione.

Ciao Benedetto, confermo il tutto (purtroppo). E' successo anche ad un mio Cliente. Il suo Sito è stato bucato due volte grazie ad un attacco "parasite hosting". Si, certo, aveva defezioni interne e uno mediocre livello di sicurezza ma questo non giustifica queste enormi ed irritanti seccature. Nonostante tutto e nonostante non sia un White Hats sono riuscito a recuperarlo ma non senza molta fatica. Per tutti ... curate sempre la sicurezza, aggiornate sempre WP e annessi, viaggiate su protocollo HTTPS/2 e tenete sempre d'occhio la SERP e cosa vi dice Google sulla Search Console.
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Gian Luca Partengo
Il monitoraggio costante è l'unico "scudo" (non un deterrente), purtroppo sto vedendo sempre di più pratiche di questo tipo, vuoi per la semplicità con la quale buona parte dei portali è facile da bucare, vuoi per l'antropologica tensione alla pars destruens che a quella costruens.
Sermatica.it
Entusiasta

Ogni tanto prende parte alle conversazioni.

Ciao Benedetto, veramente un ottimo articolo. Grazie mille. Non sarebbe il caso di avvisare Nicolò di HuemanSafari?
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Sermatica.it
"Quando eravamo più giovani e idealisti, ci eravamo messi in testa di offrire il nostro aiuto professionale a chi gestiva questi siti, ma nella migliore delle ipotesi non ci hanno risposto (nella peggiore, hanno pensato fossimo noi a farlo per chiedere una sorta di riscatto digitale). "

Spero comunque se ne accorgano da soli, a una certa!
Sermatica.it
Entusiasta

Ogni tanto prende parte alle conversazioni.

Benedetto Motisi
"nella peggiore, hanno pensato fossimo noi a farlo per chiedere una sorta di riscatto digitale"
Purtroppo questa tua affermazione è vera.
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Sermatica.it
Onestamente "passarmi i guai" totalmente in modo casuale, non mi pare modo :D
Luca Carchesio
Esperto

Offre preziosi consigli e dà profondità alla conversazione.

Ciao Benedetto, l'argomento che tratti oggi è un argomento molto importante e delicato. Nella parte in cui dici di non lesinare sull'hosting aimè è di un assoluta verità... Nella mia esperienza ho avuto modo di registrare, negli anni, come nella maggior parte dei casi sono proprio gli hosting low cost ad essere bucati (nonostante la resistenza degli stessi nel confermarlo) e questo crea problemi importanti per gli ospiti del server. Insomma sappiamo benissimo che se si vuol star sicuri in rete al 100% l'unico modo è staccare il cavo lan dal computer ma è pure vero che lavorare correttamente scegliendo partners professionali, essere preparato tecnicamente per evitare di esporsi ai più comuni attacchi hacker (meglio cracker), aggiornare le piattaforme e non pubblicare email a vista siano i primi ma importanti step per difendersi. In questi giorni sto registrando diversi attacchi hacker (dello stesso tipo) sui siti di alcuni dei miei clienti su un hosting italiano (famoso) tutti accomunati dallo stesso IP per cui una volta per così dire "bucata la porta principale" hanno installato all'interno dei siti gli stessi script malevoli che svolgono la stessa funzione (cioè quella di reindirizzare verso un sito straniero che raccoglie credenziali ai conti correnti bancari). In google search console non ho nessuna comunicazione quindi si, anche google a volte non riesce ad individuare tempestivamente malware e infezioni ed altre volte invece falsi positivi a go go! Facciamogliela passare a Big G dai! grazie per l'articolo Benedetto!
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Luca Carchesio
Ciao Luca!
Innanzitutto grazie mille per il tuo commento :)

Sì, sto notando pure io che ultimamente gli attacchi si sono intensificanti, segno che:

1- da una parte inizia a esserci una richiesta maggiore di questo "servizio"
2- dall'altra chi si adopera in questo senso, sta capendo che il mercato italiano è un pollaio senza recinti e le volpi sono pronte ad attaccare

Sulla Search Console, mi riservo di stendere un velo pietoso sia per la nuova versione (non mi sta piacendo affatto) sia per la lentezza e la poca completezza con la quale vengono segnalati certi attacchi (anche un banale attacco di link bombing è possibile recuperarlo in toto solo con l'utilizzo di tool esterni che restituiscono più dati..)

Grazie ancora per i complimenti a Markiyan e a me!
Luca Carchesio
Esperto

Offre preziosi consigli e dà profondità alla conversazione.

Benedetto Motisi
Eeeeee... purtroppo la nuova search console credo e penso che non piaccia quasi a nessuno... senza dire che l'unica volta che ho ricevuto una notifica malware era un falso positivo dato da uno script presente sul sito in questione che non era nient'altro che la versione Windows e Macintosh di un applicazione in vendita sul sito stesso! vabè.. andiamo avanti. Grazie! ;)
Benedetto Motisi
Guru

Un grande saggio del marketing digitale.

Luca Carchesio
Ancora mi sto chiedendo a che pro de-potenziarla così.

Invia un feedback

Your feedback must contain at least 3 words (10 characters).

Useremo questa email solo per rispondere al tuo feedback. Informativa sulla privacy

Thank you for your feedback!

Sistema di ranking nella community

Il punteggio della Community SEMrush riflette il livello di riconoscimento professionale nella nostra community. Apprezziamo i contributi di qualità: i membri con il punteggio più alto riceveranno preziosi incentivi. Partecipa alle discussioni, scrivi post e parla nei webinar, adotta un tono amichevole, cerca di essere sempre d'aiuto, e arriverai al vertice delle classifiche.

  • Nuovo arrivato
    Si è appena iscritto o è troppo timido per dire qualcosa.
  • Entusiasta
    Ogni tanto prende parte alle conversazioni.
  • Aiutante
    Un membro esperto, sempre lieto di dare una mano.
  • Maestro
    Un veterano della community.
  • Pro
    Fa ottime domande e dà risposte brillanti.
  • Esperto
    Offre preziosi consigli e dà profondità alla conversazione.
  • Guru
    Un grande saggio del marketing digitale.
  • Superstar
    Sa tutto... o quasi.
  • Leggenda
    Arrivare fin qui non è affatto semplice.