Settimana 1: Siti Internet hackerati sfruttati per l’ottimizzazione per i motori di ricerca

10.01.2023 - Il numero di segnalazioni pervenute all’NCSC 559 nella prima settimana del 2023 è aumentato rispetto alla settimana precedente. Una ricerca su Google che ha dato risultati sospetti si è rivelata essere una manipolazione del motore di ricerca. Numerosi siti Internet sono stati hackerati con lo scopo di trarre in inganno l’algoritmo di ricerca di Google.

La settimana scorsa è stato segnalato un caso in cui la ricerca di una scuola su Google ha dato risultati sospetti, tra i quali figurava in particolare un file javascript dubbio. Una ricerca su Google dei domini sospetti in questo file ha mostrato non meno di 5500 siti con lo stesso comportamento: nei risultati, Google riportava il titolo corretto del sito trovato, ma anziché la consueta anteprima del contenuto, apparivano diversi messaggi di errore, visualizzati anche accedendo al sito mediante la cache (una copia della pagina salvata provvisoriamente) di Google. Se si accedeva al sito digitando l’URL, il contenuto era privo di messaggi di errore.

Una ricerca dei domini sospetti ha dato molti risultati con il titolo corretto, ma con un messaggio d’errore nell’anteprima.
Una ricerca dei domini sospetti ha dato molti risultati con il titolo corretto, ma con un messaggio d’errore nell’anteprima.

Probabilmente vengono visualizzati contenuti diversi in base allo «user agent». Quando si visita un sito vengono inviati i dati concernenti il tipo di user agent, che includono informazioni riguardanti il sistema operativo e il browser utilizzati. Tali informazioni possono essere utilizzate, oltre che per rilevazioni statistiche, anche per ottimizzare i contenuti di siti web su un particolare tipo di browser. Questo serve appunto per la grafica dei siti web, ad esempio per differenziare il layout per notebook, tablet e cellulari e adattare il contenuto dei siti al formato dello schermo. Mentre «scandagliano» Internet, anche i motori di ricerca utilizzano un identificativo dedicato.

Un test dei siti Internet proposti tra i risultati della ricerca ha confermato il sospetto: accedendo con uno user agent di un browser comune – nell’immagine più sotto «nix» («niente») – il sito è visualizzato correttamente.

Con uno user agent comune viene mostrata la pagina desiderata.
Con uno user agent comune viene mostrata la pagina desiderata.

Se invece si utilizza «google» come user agent, l’aspetto del sito cambia completamente. In questo caso, al posto del contenuto vi è una serie di link nascosti dietro a combinazioni di lettere e numeri.

Se si imposta «google» come user agent, la pagina cambia e compare una serie di link con combinazioni di lettere e numeri.
Se si imposta «google» come user agent, la pagina cambia e compare una serie di link con combinazioni di lettere e numeri.

Ottimizzazione per i motori di ricerca

Qual è quindi lo scopo degli hacker? Si tratta di un tipico tentativo di manipolazione dei risultati dei motori di ricerca. La «search engine optimization» (in italiano «ottimizzazione per i motori di ricerca») esiste nelle più disparate varianti. Nel caso attuale, gli aggressori si sono serviti di siti Internet hackerati e vi hanno infiltrato un codice dannoso per ingannare Google e migliorare il posizionamento della pagina. In questo modo aumentano le possibilità che le potenziali vittime aprano i risultati della ricerca manipolati e finiscano su siti Internet fasulli. Molti siti web colpiti da questo fenomeno erano gestiti con il software Kentico CMS. Le manipolazioni potrebbero dunque essere dovute a vulnerabilità del sistema sprovviste di patch.

Il codice dannoso inserito illegalmente verifica lo user agent. Accedendo da Google si apre la pagina con la serie di link menzionata più sopra, che il motore di ricerca salva e indicizza. Dal momento che nei diversi siti Internet hackerati vengono inseriti sempre gli stessi link, Google li considera interessanti e più rilevanti di quanto non siano in realtà. I link finiscono così in cima ai risultati e ottengono una maggiore visibilità. Per tutti gli utenti del sito che accedono direttamente mediante URL e per gli amministratori viene visualizzato il normale contenuto della pagina. Di conseguenza, la manipolazione risulta meno evidente e può persistere nel tempo.

Raccomandazioni per gli amministratori di siti Internet

  • Gli attacchi ai sistemi di gestione dei contenuti (CMS) possono essere ridotti sensibilmente installando patch con importanti aggiornamenti di sicurezza. 
  • Oltre all’autenticazione ordinaria (nome utente + password), per l’accesso all’interfaccia di amministrazione consigliamo di impostare un’autenticazione a due fattori.
  • L’accesso di amministratore dovrebbe essere limitato agli indirizzi IP utilizzati dagli amministratori.
     

Ulteriori informazioni sulla protezione dei CMS si trovano sul sito dell’NCSC:

Misure a protezione dei sistemi di gestione dei contenuti (CMS)

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 10.01.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_1.html