Grâce à la plate-forme hacklink underground, les attaquants exploitent les domaines .gov et .edu pour augmenter les pages frauduleuses en haut des résultats de recherche, incitant les utilisateurs à faire confiance aux liens malveillants.
Les cybercriminels exploitent une plate-forme d’optimisation de moteur de recherche sur le marché noir (SEO) appelé HackLink pour détourner les résultats du moteur de recherche et promouvoir le phishing et d’autres sites sans scrupules.
Selon une recherche Netcraft, le marché clandestin permet aux escrocs d’acheter l’accès à des sites Web à haute réputation et de plantations furtivement des liens qui stimulent la visibilité des pages contrôlées par l’attaquant dans les résultats de recherche, en particulier pour les mots clés liés au jeu et à d’autres niches illicites.
« HackLink est une sorte de plate-forme hybride – il fait partie du marché noir, du panneau de contrôle des pièces », a déclaré Andrew Sebborn, analyste de cybercriminalité chez Netcraft. «D’une part, il vend l’accès à des sites Web réels et légitimes qui ont été compromis. D’un autre côté, il donne aux acheteurs un moyen de gérer et de modifier ces sites via un panneau intégré.»
Les sites de victimes restent souvent inconscients, car le contenu injecté malicieusement est invisible pour les utilisateurs mais détectable par des algorithmes de moteur de recherche – les cybercriminels d’échappatoire exploitent activement.
Injecter des liens de phishing vers des sites réputés
Selon NetCraft, la manipulation fonctionne en intégrant des liens optimisés par mot-clé dans le code JavaScript de .gov, .edu et des domaines spécifiques au pays, que l’algorithme de rang de page de Google traite comme digne de confiance. Cela trompe le système pour élever les sites d’escroquerie ci-dessus ceux authentiques dans les listes de recherche.
Une fois l’accès acheté, les attaquants peuvent insérer leur propre contenu, tels que les redirectes de phishing ou les liens optimisés avec des sites frauduleux, qui peuvent indiquer des domaines réputés, comme le gouvernement ou les sites commerciaux, pour augmenter la crédibilité dans les résultats de la recherche, a ajouté Sebborn.
« Cette recherche montre que les cybercriminels deviennent plus intelligents en détournant les sites de confiance pour pousser les mauvais liens jusqu’en haut des résultats de la recherche, incitant les utilisateurs à cliquer », a déclaré J Stephen Kowski, CTO sur le terrain à Slashnext Security. « Les organisations doivent surveiller des changements étranges dans leur classement de recherche et vérifier leurs backlinks pour tout ce qui pourrait pointer vers un problème plus important. »
Sebborn a précisé que l’astuce ne consiste pas nécessairement à amener les gens à cliquer directement sur ces liens injectés, mais à stimuler la visibilité des sites d’escroquerie. Même si les gens peuvent ne pas cliquer sur les liens sur les sites compromis eux-mêmes, ils sont plus susceptibles de voir et de visiter les pages de phishing parce que ces pages apparaissent désormais en haut des résultats de recherche.
NetCraft a ajusté son système de détection pour signaler un certain nombre de sites qui ont été compromis via HackLink. Disponibles pour Netcraft Partners et Clients, les sites seront visibles dans les flux de sites malveillants de Netcraft dans la catégorie «dégradé».
Une opération organisée actuellement limitée à la Turquie
HackLink permet actuellement aux cybercriminels de parcourir et d’acheter un accès à des milliers de sites Web piratés, avec des listes coûtant aussi peu que 1 $ par unité, et .gov ou des domaines à haute autorité sont encore plus élevés.
L’opération semble être très organisée, avec des groupes comme «Neon SEO Academy» et «Seolink» offrant des services de référencement illicites pour le phishing et la fraude en ligne de casino. Les fournisseurs de moteurs de recherche toujours dans l’obscurité à ce sujet, l’opération a pris racine en Turquie, y renforçant déjà les entreprises illicites.
« Jusqu’à présent, la majeure partie de l’activité semble être centrée sur le marché turc, principalement dans les services de jeu et d’escorte en ligne », a ajouté Sebborn. « En ce qui concerne les moteurs de recherche, il n’y a pas encore d’indication claire qu’ils ont été informés de ces campagnes ou de la façon dont ils ont répondu. À ce stade, il ne semble pas y avoir d’effort public ou de déclaration de leur manière de s’attaquer à ce type d’abus de classement. »
Chris Gray, CTO Field à Deepwatch, estime que les opérations d’empoisonnement au référencement, telles que HackLink, renforceront les campagnes de phishing et de smshing partout. « Les estimations indiquent qu’il y aura plus d’un billion de courriels de phishing envoyés cette année, et ces attaques devraient être impliquées dans environ 36% de toutes les violations de données », a ajouté Gray. « L’empoisonnement du référencement ne signifie pas nécessairement que ces attaques auront plus de succès, mais cela signifie que même les communications légitimes sont plus susceptibles de contenir des liens malveillants. »
Une opération furtive et difficile à détecter
Sebborn a souligné que l’opération est très évasive et utilise une forme furtive de «camouflage» où le contenu de phishing ne s’affiche que dans des conditions spécifiques, telles que les visites de certaines adresses IP arrivant via Google Search. Dans les cas observés Netcraft, les mêmes URL sembleraient inoffensives lorsqu’ils sont accessibles directement ou par un proxy, ce qui rend le comportement malveillant difficile à détecter à l’aide d’outils de sécurité standard ou d’inspection manuelle.
« Ce genre d’abus est difficile à attraper si vous ne le cherchez pas », a ajouté Sebborn. «Les propriétaires de sites devraient certainement prendre l’habitude de vérifier leurs sites Web pour des liens étranges ou non autorisés, surtout s’ils exécutent des logiciels plus anciens ou ne mettent pas régulièrement à jour leurs systèmes.» Gray pense que le renforcement des efforts anti-phishing habituels pourrait encore aider. « Honnêtement, il vous suffit de prendre une page du manuel de phishing et de doubler », a-t-il déclaré. «Ils doivent être prudents sur les URL avant de cliquer sur eux. La sensibilisation est la clé – ils doivent être conscients des campagnes de phishing actuelles et utiliser une forte authentification.
