Come Google non si accorge dei siti bucati (e li posiziona pure!)

Benedetto Motisi

apr 04, 20198 min di lettura
Come Google non si accorge dei siti bucati (e li posiziona pure!)

C’è una parte della Search Engine Optimization più nera della parte oscura della Luna, nascosta e quindi invisibile agli occhi dei più. Certo, i più romantici fra di noi si rifiutano di vederla, asserendo che l’unico satellite della Terra influenzi l’amore ma, in modo assai cinico, bisogna ammettere che si tratta di niente di più che un agglomerato di roccia sospeso nel cosmo.

Alla stessa stregua, la SEO altro non è che una serie di tecniche in grado di influenzare l’algoritmo di visibilità di quello che è uno dei maggiori portali di accesso al Web o, nella sua accezione negativa, delle pratiche per minare l’attività altrui.

Casi studio di SEO Negativa ne abbiamo già affrontati su questo spazio, e questa volta voglio approfondire un argomento ancora più pernicioso.

Siti istituzionali bucati che si posizionano su “viagra”

Non saremo soli in questo viaggio, ci accompagnerà un Virgilio d’eccezione, il sodale e soprattutto amico di vecchia data Markiyan Yurynets

Mark è uno dei primi professionisti con i quali ho iniziato a collaborare online, una delle pochissime amicizie nate da questo lavoro e, a Leopoli, il socio di diversi progetti anche slacciati dall’online.

Da tempo condividiamo una cartella su Dropbox chiamata Viagra e Stato Italiano dove ci divertiamo a raccogliere tutti i siti istituzionali bucati che presentano pagine di spam e/o link verso l’esterno inseriti in modo piuttosto bucaniere. 

Quando eravamo più giovani e idealisti, ci eravamo messi in testa di offrire il nostro aiuto professionale a chi gestiva questi siti, ma nella migliore delle ipotesi non ci hanno risposto (nella peggiore, hanno pensato fossimo noi a farlo per chiedere una sorta di riscatto digitale). Con gli anni, si è accumulato un bagaglio importante di conoscenze, che alcuni clienti sfruttano per i propri progetti online, a parte una buona analisi di SEO e marketing.

Appurato che Sansone debba morire con tutti i filistei, oggi ci limitiamo a farci delle domande – e a darci delle risposte – circa il funzionamento di questo peculiare modo di fare SEO.

Riprendendo le fila, abbiamo sotto mano la casistica di siti bucati che danno un link verso l’estero o, ad esempio, si posizionano per query particolari come viagra, cialis, borse replica louis vuitton.

Come in un dialogo platonico, ho posto delle domande a Mark a riguardo.

Come Google non si accorge dei siti bucati e li posiziona

Qual è l'obiettivo di chi fa questo tipo di attività? Si tratta di hacker?

L’alta domanda di servizi SEO fa nascere QUALSIASI tipo di offerta in questo mercato. 

In questo caso esiste un mercato molto florido che riguarda alcune tematiche particolari, nicchie che da una linea Grey passano direttamente a una Black, anche a livello legale. Se mi parli di siti web che portano a farmacie online, vendita di pillole di varia natura, questo è dovuto al fatto che in Europa, di solito, è difficile ottenere questi medicinali senza ricetta.

Il Web si configura quindi come un canale alternativo per ottenere questi prodotti, che si chiami viagra (ricerca errata, essendo un marchio registrato) o cialis o sildenafil (principi attivi prodotti in India e facilmente reperibili con questo nome).

Appurato quindi che il problema vero sta nella distribuzione di questi prodotti, ecco che arriva la SEO per fare contenta qualche povera anima abbacchiata. Questo perché farne advertising tradizionale su Ads o su Facebook è naturalmente impossibile. Ed ecco quindi che arriva la “creatività”.

La logica è puramente parassitaria: perché non sfruttare un sito web avviato a livello tecnico? Ecco che qualsiasi errore, bug, falla è una porta di ingresso per inserirsi e sfruttarne la visibilità. Non è pura fantascienza, ma realtà.

Andiamo su Google e digitiamo sildenafil compresse prezzo.

Come bucare un sito web: SERP ricerca sildenafil compresse prezzo

SERP di Google

La composizione di questa tipologia di SERP è piuttosto ricorrente ed è così divisibile:

  • Portali informativi che trattano della query. Ad esempio, mypersonaltrainer, wikipedia, qualche notizia su qualche giornale. Un 2-3 risultati su circa 10.
  • Siti in un italiano maccheronico, automatico, milanosildenafil o romafarmacia; fake che portano all'acquisto di un prodotto non legale e ciò che è peggio, non sicuro. 

Quello che interessa a noi: siti che sono fuori tematica ma comunque posizionati. Basta andare nella home dei domini per rendersi conto che ci troviamo di fronte una grossa azienda che vende porte, un sito politico, il sito di un Comune e via discorrendo. 

Cliccando sul link posizionato, ci troviamo su un redirect (via JS, 301 o soluzioni HTTP) che ci re-indirizza alla money page che realmente guadagna.

Non staremo qui a dire COME si fa, essendo davvero illegale ma basti pensare che c’è chi sfrutta queste falle anche per vendere successivamente dei link di qualità per portare valore ai portali di destinazione.

Quanto gira dietro a questo business?

Backdoor, cloacking, injection e quanto più di Black Hat possa venire in mente è anche quanto di più lucrativo in Rete, con buona pace dei guretti dell’Affiliate Marketing da sponsorizzata su Facebook.

Nel mondo Black Hat, le regole economiche della vita reale sono ancora più amplificate, basti pensare che solo per i prodotti medicali indiani si arriva fino a un 50% sull'ordine come remunerazione, servendo un investimento iniziale di 15-20k euro.

Infatti, chi è “bravo” a bucare un sito istituzionale, nei vari forum nell'anticamera del Deep Web, si fa pagare agilmente da 1k euro a salire, con 30 accessi al mese ai siti, oppure riesce anche ad offrire soluzioni personalizzate per bucare un sito in particolare.

Diciamo che, in modo continuativo, e facendo due calcoli, si possono tranquillamente toccare 500k+ al mese solo di vulnerabilità, numeri che una PMI italiana media si sogna.

E sto parlando solo della mera vendita di dati (shell, sql, admin login, dump) che possono servire sia per intasare la mail di spam che per l’elaborazione di insight in anticipo per le borse e il trading o violare portafogli con dentro le criptovalute che Vi siete dimenticati di proteggere con autenticazione.

Quali risvolti ci sono lato SEO?

Ogni “parassita” ha di solito dei pattern riconoscibili a livello tecnico:

  • Aumento molto veloce di backlink.
  • Aumento di pagine indicizzate su Google.
  • Modifiche sul codice, aggiunte, editing.

Si tratta di raid molto rapidi, che non durano più di due settimane, per non insospettire Google; passando poi rapidamente alla prossima vittima da spolpare.

Già con il Backlink Audit di SEMrush si può tenere sottocchio la condizione offpage del proprio portale. Se vi è un aumento spropositato di link verso il proprio sito a una pagina particolare (e che spesso viene inserita ad hoc) potrebbe esserci un problema.

Dati i tempi stretti, non importa di fare un bombing rapido, del resto è di nostra proprietà mica dell’attaccante!

Lo scopo è infatti quello di entrare in SERP anche per poche settimane (dati i guadagni), guadagnare finché Google non filtra – compromettendo l’intero portale – e andare oltre. Una logica predatoria propria dei parassiti.

2. Aumento di pagine indicizzate

Parlando di siti web compromessi, e ai costi che hanno, abbiamo imparato che gli accessi dalla “porta sul retro” costano. Se sei una farmacia illegale, ti interessa poco, una volta entrati potresti anche installare un e-commerce parallelo all’interno.

Ecco un piccolo esempio di come un portale è diventato lo scantinato di Breaking Bad.

Sito bucato: esempio

Di solito, a fronte di un aumento sospetto di pagine indicizzate basta un 

sito:nostrodominio.it + un termine chiave 

per trovare pagine di quel tipo (che poi era la logica con la quale ci divertivamo a raccogliere gli screenshot della nostra cartella di Dropbox).

3. Modifiche sul codice, aggiunte, editing

Siti bucati: le aggiunte lato codice

Eccoci dentro a poter agire in modo totalmente libero, molto dipende dai permessi (-rw -r -r in alto a destra) e avendo permessi totali si può davvero fare di tutto. 

Un admin in grado di gestire i permessi in modo razionale, limita di molto le nostre possibilità di essere bucati. 

Scansionare spesso il codice del proprio portale, anche con il "Site Audit" di SEMrush, è un buon modo di prevenire.

Come è possibile difendersi?

Al di là dei toolkit di SEMrush qui evidenziati, potremmo pure utilizzare tanti altri strumenti, plugin specifici, hosting dedicati e quant'altro. Ma la realtà dei fatti è che il grosso problema sono le persone.

Le persone e il loro grado di competenza, che più e basso, più permettono a chi approfitta di queste falle di guadagnare (500k euro in un mese, abbiamo già fatto la stima, no?)

Se è possibile, ecco cinque buone pratiche che possono, se non frenare, limitare gli attacchi:

  1. Molto probabilmente le password del nostro portale sono state già scaricate in qualche dump e vendute nel Deep Web. Solo nel 2018 si parlava di un dump di circa 773 milioni di e-mail. E si tratta di una minima parte di quello che in realtà accade. Prendiamo la buona norma di cambiare TUTTE le password ogni 3 mesi
  2. Il problema non sono i CMS in sé, il cui core è anche spesso aggiornato, nel caso degli Open Source. Ma di tutti quei plugin e componenti aggiuntivi che vengono installati senza un minimo controllo. Nella migliore delle ipotesi, risolvono problemi stupidi che possono essere affrontati anche facendone a meno. Nella peggiore, presentano dei cavalli di Troia inseriti ad hoc.
  3. Impostiamo un backup automatico anche una volta al giorno su piattaforme cloud come Dropbox, Google Drive, etc. Questo dovrebbe valere come OBBLIGO non solo come consiglio.
  4. Ci sarà un motivo per il quale gli sviluppatori si premurano di realizzare dei changelog approfonditi dei proprio aggiornamenti, no? In Rete è possibile trovare proprio dei manuali che aiutano a trovare le vulnerabilità di vecchie versioni (girano ancora Joomla 1.5..). Se il proprio portale è aggiornato, si è protetti da ciò che gira come se si fosse appunto vaccinati.
  5. Il detto “il tirchio paga due volte” è tragicamente vero. Volendo risparmiare, su un unico hosting condiviso vengono inseriti, con le stesse password, progetti differenti; al costo di un caffè in piazza San Marco a Venezia. Solo che quel caffè rischia di essere amarissimo, perché una volta bucato l’hosting, dentro vengono spennati tutti i progetti.

Online non esistono amichevoli Spiderman di quartiere

Da un grande potere derivano anche grandi responsabilità.

— Zio Ben

Solo che questa volta il Web è attraversato da tutt’altro tipo di spider rispetto a Peter Parker.

Se il nostro portale fa 10k unici al giorno, sicuramente può essere appetibile per chi fa questo tipo di attività. 

Insomma, stiamo dicendo che più la nostra visibilità in Rete è grande, più siamo appetibili agli occhi di chi agisce sotto il Black Hat, a maggior ragione se si tratta di siti istituzionali.

Non si possono ignorare queste problematiche, altrimenti forse è meglio tornare a distribuire volantini e/o profumatori per auto con il vostro logo, cercando il proprio posto al sole o una seggiola al comune.

Mentre stavamo realizzando questo articolo, gli accessi a una decina di siti web sono stati venduti.

Sicuro che dentro questa lista non ci sia il tuo?

Fammi sapere che cosa ne pensi dell'argomento che ho trattato oggi. Hai esperienze dirette? Sei il proprietario di un sito che ha subito un attacco?

Aspetto il tuo commento qui sotto per continuare a discuterne insieme.

Condividi
Author Photo
Attivo in Italia ed Est Europa, ho iniziato a lavorare nella redazione di Radio Radicale, spostandomi poi nel business marketing con un forte orientamento sulla Search Engine Optimization. In quest‘ultimo ramo ho tenuto e tengo docenze per Politecnico di Milano, Unicattolica, Upter, Regione Lazio, Provincia Autonoma di Trento, CGIL Lombardia, LUISS Enlabs, Henley Business School, Camera dei Deputati; oltre ad avere co-creato il primo percorso in Italia esclusivamente rivolto all‘ottimizzazione sui motori di ricerca, SEO Training. Nel frattanto ho co-fondato una casa editrice di fumetti, un paio di web agency (di cui una in Svizzera, dove ho lavorato per un biennio), collaborato con la suite SEO internazionale Semrush per poi chiudere il cerchio e tornare al primo amore, il giornalismo, con un bagaglio di competenze digitali in più. Infatti, attualmente ricopro il ruolo di Direttore responsabile per Junglam, magazine sul lifestyle. Negli anni ho pubblicato “Interceptor Marketing“ (Flaccovio Editore) e contribuito a diversi libri fra cui “Le nuove professioni digitali“ (Hoepli). La mia ultima fatica letteraria è “Prontuario di comunicazione digitale“ (Maggioli Editore).