Niebezpieczne wyszukiwanie, czyli jak nie dać się zmanipulować

Sprawdziliśmy, jakie wyrażenia ściągają na internautów zagrożenie.

Trudno wyobrazić sobie, by wyszukiwarka Google mogła odgrywać w naszym życiu jeszcze większą rolę niż dziś. W wielu krajach korzysta z niej ponad 90 proc. internautów. Obejmujący miriady witryn indeks Google’a zajmuje już ponad 100 milionów gigabajtów pamięci. Używamy Google’a tak często, że neologizm „wyguglać” czy „wyguglować” wszedł do potocznego języka jako synonim wyrażenia „wyszukać w Internecie”. Jako strona startowa niemal każdego z nas Google jest niemal zawsze pierwszym krokiem do innych witryn – również tych, które mogą być niebezpieczne.

Z analizy wyłączyliśmy wyszukiwanie stron pornograficznych oraz dotyczących nielegalnego oprogramowania, ponieważ nie jest tajemnicą, że zagrożenie złośliwym oprogramowaniem jest tam bardzo duże. Zamiast tego skupiliśmy się na wyrażeniach wpisywanych do wyszukiwarki podczas jej codziennego użytkowania. Poza tym przyglądaliśmy się wyłącznie pozycjom oraz reklamom pojawiającym się na pierwszej stronie wyników. Liczne badania okulograficzne (polegające na śledzeniu ruchu gałek ocznych) przeprowadzone w ubiegłych latach wykazały, że internauci najczęściej zwracają uwagę wyłącznie na pierwsze wyniki wyszukiwania i reklamy na górze strony. Również udział klikniętych odnośników jest największy wśród tych znajdujących się na początku listy, choć później szybko spada. „Klikalność” pierwszego wyniku wynosi, w zależności od szukanego terminu, między 20 a 60 proc. Wyniki poniżej trzeciego miejsca na liście rzadko interesują więcej niż 5 proc. internautów. Oczywiście do tego rodzaju badań trzeba podchodzić z pewną dozą sceptycyzmu, ponieważ zachowanie użytkowników zależy od wielu czynników. Mimo to potwierdzają one to, co wielu z nas zapewne obserwuje u siebie: choć Google znajduje czasem nawet 100 000 stron spełniających zadane kryteria, najczęściej i tak po prostu otwieramy pierwszy odnośnik.

Google blokuje tygodniowo do 60 000 uczciwych stron, na które włamali się hakerzy, aby rozprzestrzeniać wirusy i spam. Witryn stworzonych specjalnie w tym celu jest znacznie mniej
Google blokuje tygodniowo do 60 000 uczciwych stron, na które włamali się hakerzy, aby rozprzestrzeniać wirusy i spam. Witryn stworzonych specjalnie w tym celu jest znacznie mniej.
„Guglujący” człowiek działa więc impulsywnie i łatwo go oszukać, co bezlitośnie wykorzystują przestępcy i spamerzy. Kiedy udaje im się umieścić spreparowane czy zmodyfikowane strony wysoko
na liście wyników wyszukiwania dla popularnego wyrażenia, są w stanie wykorzystać ogromną liczbę internautów. „W każdej chwili szczególnie niebezpieczne są wyniki wyszukiwania dotyczące aktualnych wydarzeń: katastrofy naturalnej, śmierci znanego aktora czy skandalu” – wyjaśnia Christian Funk, analityk wirusów w firmie Kaspersky. „Pewniakami są dla hakerów także tytuły chętnie kopiowanych filmów, piosenek czy gier, zwłaszcza w wyrażeniach zawierających słowa »bezpłatnie« czy »free«”.

Wirusy atakują przez wyszukiwarkę

Nasz test potwierdził szacunki eksperta. Wyrażenie „Breaking Bad stream” („Breaking Bad” to tytuł popularnego serialu) odesłało nas między innymi na stronę, która poprosiła o zainstalowanie odtwarzacza zawierającego, jak się okazało, konia trojańskiego. Oprócz tego odwiedzenie kolejnych stron z listy wyników zakaziło przeglądarkę pięcioma niechcianymi rozszerzeniami, a system – trzema
wpisami w Autostarcie. Podobne zagrożenia pojawiają się również przy wyszukiwaniu tapet czy wygaszaczy ekranu. Podczas testu najczęściej spotykaliśmy się ze scareware’em, czyli na przykład fałszywymi programami antywirusowymi wyświetlającymi alarmujące komunikaty i nakłaniającymi do zakupu „pełnej wersji”, która rzekomo zabezpieczy system. Oprócz tego niektóre niechciane programy powodowały zawieszanie się Windows albo spowalniały działanie przeglądarki. Nie zdarzyło się jednak, by komputer został zainfekowany przez samo wejście na stronę. Wirusy zawsze były ukryte w plikach, które można było z niej pobrać. W związku z tym nie mamy żadnych zastrzeżeń do Google’a, gdyż sprawdzenie plików do pobrania ze wszystkich stron jest zwyczajnie niewykonalne.

Drugim największym problemem dotyczącym wyszukiwarki Google, oprócz złośliwego oprogramowania, są oszustwa. Nieuczciwe oferty pojawiały się przede wszystkim w odpowiedzi na wyrażenia związane z pieniędzmi. Szukając „kredytu bez BIK” czy „tanich lotów”, musimy liczyć się z tym, że niektóre odnośniki i reklamy, nawet z pierwszej strony listy wyników, prowadzą prosto w sidła oszustów. W przypadku tanich lotów haczyk tkwi często w dodatkowych usługach, ubezpieczeniach i prowizjach, które są dodawane do rezerwacji bez naszej wiedzy.

Słabe punkty algorytmu Google’a

Aby zrozumieć, jak oszustom udaje się umieścić swoje strony na pierwszych miejscach list wyników wyszukiwania, trzeba poznać sposób działania wyszukiwarki. Google indeksuje większość z ok. 60 bilionów stron w całym Internecie za pomocą programów wchodzących na te strony (tzw. crawlerów). W uproszczeniu: crawler rozpoznaje treść witryny, analizując teksty i słowa kluczowe, aby zdecydować, do jakich wyrażeń podawanych przez użytkowników może ona pasować. Kolejność wyników jest ustalana na podstawie skomplikowanego algorytmu uwzględniającego przeszło 200 różnych parametrów. Istotnym aspektem jest przy tym aktualność treści oraz stopień, w jakim pasuje ona do szukanego wyrażenia. Inna kwestia to ważność strony, mierzona na podstawie liczby odnośników prowadzących do tej strony, umieszczonych w innych witrynach (tzw. backlinków).

Jeszcze dwa lata temu przestępcy mogli z łatwością oszukać te mechanizmy – wystarczyło tylko uruchomić własną stronę, wypełnić ją materiałami skopiowanymi z uznanych witryn i umieścić odnośniki do niej na odpowiedniej liczbie farm linków. Farmy były serwisami działającymi wyłącznie w celu agregowania backlinków. Dzisiaj ten sposób optymalizacji wyszukiwania jest już nieskuteczny, ponieważ Google w ramach programu Safe Browsing Initiative (inicjatywa dla bezpiecznego surfowania) zaostrzył walkę ze spamem w wynikach wyszukiwania. Zaczęto brać pod uwagę na przykład pochodzenie backlinków: kiedy na dużym, godnym zaufania portalu pojawia się odnośnik do małej strony, automatycznie poprawia się jej reputacja istotna dla algorytmu Google’a.

Z tego względu dzisiejsi hakerzy muszą uciekać się do innych metod. Zamiast zakładać własne strony i wpychać je na szczyty list wyników wyszukiwania, sprytnie wykorzystują oni poważne strony, które tak czy owak pojawiają się na pierwszych miejscach. To możliwe dzięki lukom w zabezpieczeniach systemów zarządzania treścią na stronach (CMS) oraz oprogramowaniu serwerów WWW. Często pozwalają one hakerom umieszczać na uczciwej witrynie szkodliwy kod czy groźne ukryte odnośniki. Do często atakowanych CMS-ów należą otwarte systemy WordPress (korzysta z niego wiele blogów) oraz Joomla, a także ich rozszerzenia. Badania firmy Checkmarx wykazały, że aż siedem na dziesięć rozszerzeń związanych z e-handlem jest podatnych na ataki hakerów.

Przestępcy rozpoznają źle zabezpieczone strony, podając w wyszukiwarce wyrażenia pozwalające wykryć nieaktualne wersje systemów CMS. Informacja o wersji CMS-a często kryje się w kodzie źródłowym strony, więc również jest indeksowana przez Google’a. Inną metodą są ataki Cross Site Scripting (XSS), polegające na wszczepieniu szkodliwych elementów do kodu strony poprzez podanie ich w polach tekstowych. Takie działania są skuteczne w przypadku nieprawidłowo zaprogramowanych stron, które w niewłaściwy sposób przetwarzają tekst wpisywany przez użytkowników. Czasami, aby odgadnąć hasło administratora i przejąć kontrolę nad stroną, wystarczy atak metodą brute force. Zwłaszcza strony oparte na CMS-ach WordPress i Joomla stały się ostatnio celem wzmożonych działań tego typu, o czym donosi firma Securi wyspecjalizowana w zabezpieczaniu witryn internetowych. Wciąż dochodzi również do ataków phishingowych na administratorów stron, które mają na celu skłonienie ich do ujawnienia danych dostępowych.

Obecnie Google rejestruje w wynikach wyszukiwania do 50 000 stron zainfekowanych szkodliwym kodem w któryś z wymienionych sposobów, ale tylko ok. 5000 stworzonych wyłącznie w celu rozprzestrzeniania złośliwego oprogramowania. Firma nie ujawnia jednak danych dotyczących nadużyć w reklamach kontekstowych (AdWords). Podczas testu obejmującego takie reklamy wciąż obserwowaliśmy nieuczciwe i niebezpieczne oferty.

Zwalczanie spamu w AdWords i wyszukiwarce

Google podejmuje środki przeciwko nadużywaniu reklam kontekstowych, reagując na zgłoszenia internautów. Są one analizowane przy pomocy algorytmów wykrywających nieuczciwe oferty: sprawdzają one nie tylko treść ogłoszeń (w tym słowa kluczowe), ale też stron internetowych, do których one odsyłają. Nie bez znaczenia jest również aktywność konta, z którego uruchomiono kampanię reklamową, czyli adresy IP, z których logowano się na to konto. Kary za naruszanie regulaminu sięgają od odrzucenia treści reklam przez blokowanie stron aż do trwałego blokowania kont.
W walce ze spamem w wynikach wyszukiwania Google stosuje podobne środki. Również w tym przypadku algorytmy automatycznie badają treść witryn, usuwając niebezpieczne adresy z indeksu wyszukiwarki. W niejasnych przypadkach do gry wkraczają Zespoły Jakości Wyszukiwania (Search Quality Team), których członkowie osobiście przeglądają strony, by ograniczyć ryzyko ich nieuzasadnionego blokowania. Najważniejszy dla skutecznego zwalczania spamu jest jednak sam algorytm wyszukiwania. Jego liczne aktualizacje znacznie utrudniły manipulowanie wynikami. Jedną z najważniejszych zmian było wprowadzenie autokorekty błędów ortograficznych w wyszukiwanych wyrażeniach. Wcześniej spamerzy celowo optymalizowali swoje strony w taki sposób, aby pasowały do błędnie wpisanych słów, na przykład „Fotoszop” zamiast „Photoshop”. Dziś to już prawie niemożliwe, gdyż Google od razu poprawia większość błędów popełnianych przez internautów. W ciągu lat zmniejszyło się też znaczenie słów kluczowych, zwłaszcza wówczas, kiedy ich duża liczba jest umieszczona na jednej stronie.

Najbardziej warte wyszczególnienia są dwie aktualizacje algorytmu: Panda (kwiecień 2011) i Pingwin (kwiecień 2012). Ich głównymcelem było przeciwdziałanie profesjonalnym spamerom modyfikującym wyniki wyszukiwania. Polegały one przede wszystkim na wprowadzeniu wyższych ocen dla stron zawierających wyjątkowe, oryginalne treści. Obniżono z kolei pozycję stron zawierających materiały skopiowane z innych źródeł. Również pochodzenie odnośników do strony jest oceniane w inny sposób, dzięki czemu farmy linków nie są już w stanie wpływać na pozycjonowanie witryn. Wszystkie aktualizacje przyczyniły się do tego, że w wynikach wyszukiwania rzadziej pojawiają się zwykłe strony spamerskie. Nowe metody spamerów, polegające na włamywaniu się i modyfikowaniu treści poważnych witryn, uczyniły ich jednak jeszcze groźniejszymi i trudniejszymi do zidentyfikowania. Z drugiej strony przeglądarki coraz lepiej radzą sobie z rozpoznawaniem niebezpiecznych stron i niechcianych rozszerzeń. Podczas testu Chrome i Firefox wielokrotnie ostrzegały przed instalacją pasków narzędzi. Na kolejnej stronie radzimy, jak pozbyć się takich elementów, jeśli już je zainstalowaliśmy.

Unikamy spamu

1) Konfigurujemy podstawowe zabezpieczenia

Kluczowe znaczenie ma regularne aktualizowanie Windows i oprogramowania, w szczególności skanera antywirusowego. Pakiety antywirusowe dysponują zintegrowanymi modułami chroniącymi użytkowników w czasie surfowania. Niektóre instalują również rozszerzenia do przeglądarek ostrzegające o ewentualnych zagrożeniach.

2) Skanujemy odnośniki

Do sprawdzenia odnośników można wykorzystać rozszerzenia przeglądarek. Web of Trust oznacza wyniki wyszukiwania na podstawie ocen użytkowników, zaś Bitdefender TrafficLight sprawdza, czy strony nie zawierają złośliwego oprogramowania. Jeśli jakiś odnośnik budzi wątpliwości, możemy sprawdzić go na stronie virustotal.com

3) Aktywujemy ochronę przed wtyczkami

Aby uniknąć instalacji szkodliwych rozszerzeń bez naszej wiedzy, warto aktywować zabezpieczenie »Kliknij, by uruchomić«, dostępne w Chromie i Firefoxie. W Firefoxie podajmy w polu adresu wyrażenie „about:config”, znajdźmy opcję »plugins.click_to_play« i włączmy ją. W Chromie otwórzmy »Ustawienia«, kliknijmy odnośnik »Pokaż ustawienia zaawansowane«, a później wybierzmy »Ustawienia tre-ści« w sekcji »Prywatność«. Następnie w grupie »Wtyczki« aktywujmy opcję »Kliknij, by uruchomić«. Od teraz chęć uruchomienia wtyczki trzeba będzie potwierdzić dodatkowym kliknięciem.

Usuwamy spam

1) Uruchamiamy skanowanie

Jeśli podejrzewamy, że komputer został zakażony wirusem, przerwijmy połączenie z Internetem i wyłączmy go. Korzystając z innego komputera, wypalmy na płycie DVD dysk ratunkowy firmy Kaspersky (Kaspersky Rescue Disk). Później włączmy zawirusowane urządzenie i przeprowadźmy bootowanie z płyty. Kiedy pojawi się zielony ekran startowy, wciśnijmy [Enter]. Wybierzmy język angielski i zaakceptujmy umowę licencyjną, wciskając klawisz [1]. Ponownie wciśnijmy [Enter], aby przejść do trybu graficznego. Kliknijmy dwukrotnie ikonę »Kaspersky Rescue Disk« i rozpocznijmy skanowanie komputera.

2) Wyłączamy paski narzędzi

Avast Browser Cleanup to niewymagający instalacji program usuwający paski narzędzi. Po uruchomieniu narzędzie wyświetla wszystkie zainstalowane dodatki do Chrome’a, Firefoxa i IE. Możemy skasować wszystkie elementy za jednym zamachem albo tylko pojedyncze pozycje na liście.

Przed rozpoczęciem usuwania zamknijmy wszystkie przeglądarki.

3) Przywracamy stan przeglądarek

Lekarstwem na głębokie zmiany w przeglądarce jest przywrócenie jej ustawień fabrycznych. W Firefoxie wejdźmy na stronę „about:support” i kliknijmy przycisk »Zresetuj program Firefox«. W Chromie otwórzmy panel »Ustawienia | Pokaż ustawienia zaawansowane« i kliknijmy przycisk »Zresetuj ustawienia przeglądarki« na dole listy. W IE wywołajmy menu, otwórzmy »Opcje internetowe« i kliknijmy przycisk »Zaawansowane | Resetuj«.

Czerwona grafika z palcem wskazującym pochodzi z serwisu Shutterstock