UtilizatoriiGoogle sunt tinta unor atacuri informatice fara precedent si care s-auextins la scara foarte mare, dupa cum au anuntat reprezentantiicompaniei de software G Data, care au aratat ca autorii de malwarefolosesc celebrul motor de cautare pentru a face contrabanda. Recentulval de atacuri este concentrat asupra utilizatorilor care cautasite-uri cu continut pornografic, insa se apreciaza ca metoda va fifolosita si pentru pagini de internet. Urmatorii care s-ar putea aflain bataia pustii pot fi fanii sporturilor, pasionatii de autoturismesau chiar cei care cauta slujbe, dupa cum au anuntat informaticieniicompaniei.
Potrivit specialistilor firmei, utilizatorii suntindusi in eroare imediat ce dau ”Enter” la sintagma pe care o cauta,pentru ca unele dintre rezultate conduc la link-uri manipulate deatacatori. Daca utilizatorul le acceseaza, la urmatorul pas un codmalitios este injectat din acel website, care initiaza manevre decamuflaj foarte variate. Astfel, unii navigatori primesc un videocodec, altii primesc oferte pentru program de antivirus falsificat.
Conformstudiilor efectuate de catre G DATA Security Labs, site-ul server-uluimalware este in prezent in India. Ralf Benzmller, manager G DataSecurity Labs, a mentionat ca ”in ultimile zile am observat o cresteresemnificativa in rezultate periculoase ale cautarii Google. Aproximativ10% din alarmele periculoase care sosesc au legatura directa sauindirecta cu rezultate manipulate ale cautarii Google. Prin acest valde atacuri, este suficient un click fals din partea unui navigatorpentru a cadea in plasa. PC-ul este protejat numai daca datele HTTPsunt verificate inainte de a fi afisate”.
Procedura utilizata decatre infractori: Atacatorii incearca sa introduca un cod malitiosinlocuind text cu numere hexadecimale. Ca si rezultat, browser-ul poateprocesa codul fara nici un fel de problema. Cu toate acestea, pentruoameni si motoare de cautare, acest lucru este ilizibil. Prin aceastaprocedura, atacatorii se pot strecura printre filtrele Google.
Codulhexadecimal contine cod HTML ascuns care este incorporat in rezultatulpaginii web. Acesta este denumit cross-site scripting. Dacautilizatorul Google acceseaza rezultatul din cautare, atunci site-ulweb dorit se va deschide, dar suplimentat de catre un script provenitde la un domeniu indian. Aparent Google foloseste continutul injectatin evaluarea termenilor cautarii. Link-urile manipulate sunt plasate decatre atacatori in blog-uri, forum-uri sau site-uri hacked, iar astfelse atinge un rating foarte bun pentru termenii cautati. Pentruexemplificare, se pare ca un site putin accesat al unei universitatidin Statele Unite a fost manipulat astfel incat anumiti termeni decautare sa apara in topul rezultatelor cautarii.
Codul Scriptdescarcat de pe site-ul indian este asemenea bine deghizat. Pagina webrezultata nu este produsa static de catre aceasta procedura, ci sunt ovarietate de tipuri de infectii. In teste, expertii de la G DataSecurity Labs au venit impotriva fisierelor flash infectate,codecurilor video aparente si a software-ului de antivirus falsificat.Cu toate acestea, intreaga varietate de inselatorii a avut acelasirezultat in final se descarca acelasi fisier malware.
Expertiide securitate ai companiei au recomandat utilizatorilor Google sa isimentina sistemul de operare si soft-ul de antivirus actualizat la zi,dar, mai ales, sa se asigure ca protectia antivirus verifica continutulweb, inainte de a ajunge la browser. O alta recomandare a fost aceea dedezactivare a optiunii Java Script din browser.
Sursa: Ioana Osan