Les midterms (élections de mi-parcours) des États-Unis ont attiré une attention considérable. Il n’est donc pas surprenant que les cybercriminels profitent de cet évènement en menant une campagne d’empoisonnement SEO des élections à moyen terme. C’était une histoire similaire à l’approche des élections présidentielles de 2016 et de la Coupe du monde. Chaque fois qu’il y a un événement majeur digne d’intérêt, il y a toujours des escrocs prêts à en profiter.
Des milliers de pages Web sur le thème des élections de mi-mandat ont vu le jour et ont été indexées par les moteurs de recherche. Certaines d’entre elles sont à fort trafic et sont très bien placées dans les résultats organiques pour les phrases de mots clés des élections de mi-mandat.
L’objectif de la campagne n’est pas d’influencer les résultats des élections de mi-mandat, mais de profiter de l’intérêt public et du grand nombre de recherches liées aux élections, puis de détourner le trafic vers des sites web malveillants.
Qu’est-ce que l’empoisonnement par SEO ?
La création de pages Web malveillantes et leur classement dans les résultats organiques des moteurs de recherche s’appelle l’empoisonnement des moteurs de recherche.
Les techniques d’optimisation pour les moteurs de recherche (SEO) sont utilisées pour promouvoir les pages Web et convaincre les algorithmes des moteurs de recherche que les pages sont dignes d’intérêt et pertinentes pour des termes de recherche spécifiques. Les pratiques suspectes de SEO telles que l’occultation, le remplissage de mot-clé, et le backlinking sont utilisées pour tromper les spiders des moteurs de recherche en évaluant favorablement les pages Web.
Le contenu des pages apparaît extrêmement pertinent pour les robots des moteurs de recherche qui explorent Internet et qui indexent les pages. Cependant, ces dernières n’ont pas toujours le même contenu.
Les spiders et les robots voient un type de contenu, tandis que les visiteurs humains se verront afficher quelque chose de complètement différent. Les escrocs sont ainsi capables de différencier les visiteurs humains et les bots via différents en-têtes HTTP dans les requêtes Web.
Les visiteurs réels voient alors un contenu différent ou sont redirigés vers des sites Web malveillants.
Campagne d’empoisonnement par SEO des midterms ciblant plus de 15 000 mots-clés
La campagne d’empoisonnement SEO des élections de mi-mandat a été suivie par Zscaler qui a noté que les arnaqueurs ont réussi à obtenir plusieurs pages malveillantes dans les résultats de la première page pour les phrases à fort trafic comme « élections de mi-mandat ».
Cependant, ce n’est que la partie visible de l’iceberg. Les arnaqueurs cibleraient en fait plus de 15 000 mots-clés électoraux de mi-mandat différents et utiliseraient plus de 10 000 sites Web compromis au cours de la campagne. Chaque jour, de plus en plus de sites ont été compromis et utilisés dans le cadre de cette campagne.
Lorsqu’un visiteur arrive sur l’une de ces pages Web à partir d’un moteur de recherche, il est redirigé vers l’une des nombreuses pages Web différentes. Les redirections multiples sont souvent utilisées avant que le visiteur n’arrive finalement à une page d’atterrissage particulière. Ces pages d’accueil comprennent des formulaires de phishing pour obtenir des informations sensibles ; des kits d’exploitation de l’hôte qui téléchargent silencieusement des malwares.
Elles peuvent également être utilisées pour des escroqueries de support technique et inclure diverses ruses pour tromper les visiteurs en installant des logiciels publicitaires, spywares, mineurs de cryptocurrences, ransomwares ou extensions malveillantes de navigateur.
En plus des sites d’escroquerie, la campagne permettait aux escrocs de générer du trafic vers des sites politiques, religieux et pour adultes.
Cette campagne d’empoisonnement SEO des élections de mi-parcours représente une menace importante pour tous les utilisateurs d’Internet, mais en particulier les entreprises qui ne contrôlent pas le contenu qui peut être consulté par leurs employés. Des cas similaires peuvent facilement entraîner le vol de justificatifs d’identité ou des infections par des malwares et ransomwares qui peuvent tous s’avérer incroyablement coûteux à résoudre.
Une solution facile à mettre en œuvre est un filtre Web tel que WebTitan. Ce dernier peut être déployé en quelques minutes et utilisé pour contrôler soigneusement le contenu auquel les employés peuvent accéder.
Les sites Web figurant sur la liste noire seront automatiquement bloqués ; les téléchargements de logiciels malveillants empêchés et les redirections malveillantes vers des sites Web de phishing et des kits d’exploitation seront stoppés avant que le mal soit fait.
Pour plus d’informations sur les avantages du filtrage Web et les détails de WebTitan, contactez l’équipe TitanHQ dès aujourd’hui.