CSIS

Blackhat SEO med it-sikkerhedsoverskifter

23/03/2021 12:00:45

 

Blackhat SEO (Search Engine Optimization) er en praksis der anvendes til at opnå resultater på f.eks. populære Google søgninger med henblik på at flytte trafik ind på tvivlsomme websider.

I dette eksempel skal vi kigge nærmere på et tilfælde hvor Google forgiftes med overskrifter fra IT-sikkerhedsverdenen. Hvorfor netop denne målgruppe er valgt kan vi kun gætte på men disse blackhat SEO kampagner rammer stort set alle brancher.

Teknikken i denne Blackhat SEO kampagne hedder "Keyword Stuffing". Som de fremgår af billedet herunder, anvendes en række attraktive søgeord, som i vores it-sikkerhedsverden, hyppigt vil indgå i helt daglige søgninger. Det er f.eks. lokkemad som APT23, CrowdStrike, Fireeye, Sunburst, Solarwinds, Supernova, Trendmicro, Hack osv.

Når søgningerne frembringes, som et naturligt resultat i Google skal "ofret" blot klikke på det frembragte link for at igangsætte formålet med kampagnen. I dette tilfælde en quiz, hvor du uanset hvad du svarer, vil vinde retten til at indtaste sit kreditkort, og derved åbne en ladeport for fremadrettet online svindel og abonnementsfælder.

I dette tilfælde starter vi her:

http://filarmonicapuccini.it/fireeye-audit-logs.html
--> https://have343amfear.live
  --> https://goldwinawards.com

Lokkemaden er typisk elektronik til en uhørt lav pris. Men jeg kan allerede nu godt afsløre, at billigt det bliver det ikke!

Uanset hvad man svarer, så er man den heldige vinder, og flyttes automatisk videre til trin to, hvor fupsiden toppes med en masse kommentarer fra tilfredse vindere. Vi tillader os at være helt naturligt skeptiske.

Når du så, bliver så overvældet af glæde over, at være den heldige vinder af en spritny "Samsung Galaxy S20", så mangler du lige at betale et mindre gebyr, og det er her dit kreditkort kommer ind i billedet:

I denne kampagne indgår en masse domæner, og i dette tilfælde næsten 100, som alle anvendes til dette uønskede formål. De har alle det tilfælles, at de er hostet på IP adressen: 5.189.217.101.

WHOIS giver os:

AS209813 FASTCONTENT, DE (registered Nov 28, 2018)

inetnum: 5.189.217.0 - 5.189.217.255
netname: FCD_NET
descr: Fast Content Delivery LTD EU block
country: EU
admin-c: ZO274-RIPE
tech-c: ZO274-RIPE
status: ASSIGNED PA
mnt-by: MNT-PINSUPPORT
mnt-domains: FASTCONTENT-MNT
mnt-routes: FASTCONTENT-MNT
created: 2016-03-30T10:01:53Z
last-modified: 2020-06-03T13:28:52Z
source: RIPE

Man kan med fordel vælge at blokere alle disse domæner. Det har vi allerede gjort i vores løsninger og samtidig er der også beskyttelse for alle Heimdal endpoint kunder.

moreinfo.run
finishsandperson-4.life
successpusheffect-4.life
shapesongcondition-10.life
end842atmade.live
goldso575dog.live
arm114owncopy.live
arm540owncopy.live
have343amfear.live
them338cooldo.live
treat131bycat.live
arm150viewonce.live
if945findenter.live
out470easetree.live
out484easetree.live
showday981miss.live
stepcar110lead.live
stepcar613lead.live
all258priceshop.live
all357priceshop.live
brokemust549mix.live
climb26beenunit.live
moon174offhurry.live
sky130smilenose.live
tone415doneback.live
wear164duckhalf.live
betterpull758can.live
betterpull973can.live
edge115bandshare.live
freshsand524size.live
little368cantake.live
oncearm690gentle.live
sixfriend685flow.live
truework117crowd.live
wire210offerwhat.live
yourfarm838raise.live
catch582largegold.live
catch655largegold.live
fatherball799send.live
feetleave541child.live
multiplylead313ok.live
noun136symbolfarm.live
paper918noseheart.live
push136holdnature.live
reason417layskill.live
snow991abovechild.live
stillgroup704shop.live
tube354writestate.live
tube847writestate.live
tube951writestate.live
bone232completelet.live
bone235completelet.live
center492diefinger.live
clean843readresult.live
dead810clothescell.live
fast927shouldcloud.live
misscopy365receive.live
often640stickblack.live
opposite954legopen.live
periodblack414room.live
play27alwaysfigure.live
symbolthose389idea.live
tracksand431thanks.live
word428sentenceout.live
elementyoung568that.live
human388produceport.live
human575produceport.live
message201weightour.live
sign565drivethought.live
sign998drivethought.live
type842characterrub.live
after592hundredclimb.live
colony521shoesstrong.live
colony554shoesstrong.live
form844helpneighbour.live
highwritten933decide.live
spell466pluralmodern.live
there852surpriseside.live
wondertrouble846goal.live
direct235selectsister.live
decidethough721numeral.live
forest631patternevening.live
present221imaginestrong.live
learn224paragraphinstant.live
suggesttriangle660excite.live

Tilbage står kun at sige, at hvis noget er for godt til at være sandt ... så skal du udvise sund fornuft og dømmekraft.

Newsletter

Sign up

Stay informed.
Get our Cyber Bytes!