SEO poisoning: Doorway-страницы, HTML и JS-перенаправления мошенников

Отчет описывает популярную схему кибератаки, известную как SEO poisoning. Злоумышленники манипулируют механизмами поисковой оптимизации, создавая фальшивые страницы с богатым содержанием ключевых слов — так называемые doorway-страницы — чтобы получить высокий рейтинг в результатах поиска и затем скрытно перенаправлять пользователей на мошеннические ресурсы.

«страницы doorway — это страницы, предназначенные для высокого рейтинга в результатах поиска благодаря стратегическому использованию ключевых слов»

Как устроена атака

Ключевые элементы техники, описанной в отчете:

• Создаются doorway-страницы, внешне имитирующие полный HTML-код легального интернет-магазина: меню, категории товаров, популярные ключевые слова.
• Поисковые системы (например, Google) индексируют такой контент, потому что при индексировании они зачастую не выполняют перенаправления на стороне клиента, выполняемые через JavaScript (JS).
• Благодаря богатому текстовому содержимому страница достигает высокой видимости в результатах поиска по запросам вроде «Сумки Louis Vuitton в продаже».
• Когда пользователь переходит по результату поиска, срабатывает JS-команда, в частности location.replace(), и происходит быстрое перенаправление на сторонний сайт (пример из отчета: www.vapormax-plus.us), который является мошенническим.

Типичный путь жертвы

• Пользователь ищет конкретный товар (например, «Сумки Louis Vuitton в продаже»).
• В результатах поиска появляется фальшивая doorway-страница с убедительным внешним видом и релевантным контентом.
• Пользователь кликает на ссылку и ожидает найти выгодное предложение.
• Перед показом контента срабатывает location.replace(), и пользователь мгновенно перенаправляется на мошеннический ресурс (www.vapormax-plus.us).
• Дальнейшие риски включают кражу данных, фишинг и установку вредоносного ПО.

Почему метод эффективен

Успех схемы обусловлен сочетанием нескольких факторов:

• Поисковые системы индексируют страницы по текстовому содержанию и ссылочной массе, но не всегда исполняют client-side JS во время индексирования, что позволяет скрытым перенаправлениям оставаться незамеченными.
• Внешний вид страницы соответствует ожиданиям пользователя (реалистичная верстка интернет-магазина), что повышает доверие и кликабельность.
• Мгновенные редиректы через JS затрудняют обнаружение мошенничества обычными пользователями до момента взаимодействия с целевым сайтом.

Как защититься

Рекомендации для пользователей и администраторов:

• Будьте осторожны с привлекательными предложениями в результатах поиска: проверяйте URL и домен до ввода личных данных.
• Используйте обновлённые браузеры и защитное ПО, которое может блокировать известные мошеннические домены.
• При сомнении открывайте сайт в режиме просмотра адресной строки и обращайте внимание на перенаправления; быстрые редиректы после загрузки страницы — признак подозрительной активности.
• Для владельцев сайтов: следите за утечкой или копиями контента и реагируйте на фишинговые клонирования бренда; сотрудничайте с поисковыми системами и CERT при обнаружении злоупотреблений.

Вывод

SEO poisoning с использованием doorway-страниц остаётся эффективным инструментом мошенников: они сочетают классические приёмы SEO с клиентскими перенаправлениями через JavaScript, чтобы достичь высокой видимости и затем обмануть пользователей. Осведомлённость, внимательность к URL и базовые меры безопасности помогают снизить риск стать жертвой такой схемы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.