Las Técnicas de Cloaking son utilizadas en la industria del fraude online dedicada alBlack SEO para ocultar a los usuarios los contenidos inyectados en una webinfectada. La idea es que se infecta un servidor web con contenido para robar el SEO de un sitio y se oculta para que solo sea mostrado a las arañas de búsqueda, haciendo mucho más complicado para un administrador localizar la infección de susitio web. La única forma de localizar que se está infectado, es hacerlo usando Google para saber si estás "jodido por la viagra".
Para ocultar los contenidos y mostrárselos solo a Google o a los visitantes que vienen desde Google se pueden utilizar varias Técnicas de Cloaking. La primera de ellas es detectar el USER-AGENT utilizado por los bots de los buscadores, la segunda el campo HTTP-Referer para saber que es un visitante que viene desde un buscador en concreto, y la tercera y última, ocultar el contenido inyectado si no viene por una de las direcciones IP que utilizan los bots.
Figura 2: Lista de direcciones IP usadas por los bots |
Preparando la charla de No me indexes que me cacheo, salió un ejemplo con el equipo de fútbol de la ciudad, ya que el Albacete Balompié está infectado porTécnicas de Black SEO de viagra que parece que están usando cloaking para ocultar la inyección. Si buscamos por "viagra" o por "cheap viagra" aparecen resultados en el índice de Google con ellos.
Figura 3: Resultados del Albacete Balompié infectados con Black SEO |
Si vamos a las noticias infectadas, podemos ver que no hay ninguna referencia a laviagra en el contenido de la web, ni en el código fuente, ni en los ficheros incluidos, así que o la infección se limpió o se está haciendo Cloacking por IP o por USER-Agent, ya que por HTTP-Referer quedaría descartado al no aparecer cuando haces clic en el enlace para visitar la página desde los resultados de Google.
Figura 4: La noticia parece limpia cuando se visita |
Probando con USER-Agent Switcher en Firefox para probar una conexión con el nombre del bot de Google tampoco muestra nada, así que las alternativas que nos quedarían sería que la infección usara cloaking por IP de conexión o que ya estuviera limpia.
Figura 5: User Agent del Bot de Google |
No obstante, con Google Index Retriever - que pronto estará publicada - se puede extraer por un ataque de palabras que aparecen en los resultados más un ataque de diccionario, una gran parte del contenido inyectado en el índice de Google.
Figura 6: Gestión de keywords en Google Index Retriever |
La herramienta primero prueba con las palabras que van saliendo en los resultados, luego las combina para intentar sacar más resultados, y por último prueba con un diccionario de keywords que puede ser configurado.
Figura 7: Volcado de contenido de índice de Google asociado a uno de los resultados |
Al final el resultado es que se consigue sacar bastante información de la almacenada y, en este caso, se puede ver la URL del sitio web detrás del ataque de BlackSEO alAlbacete Balompié. Si se visita la web, por supuesto, aparece uno de los famososdoctores de la viagra.
Figura 8: Web que está robando el SEO al Albacete Balompié |
En este caso, si el Albacete Balompié ha limpiado la inyección en su servidor web, sigue aún infectado en el índice de Google, así que debería tomar medidas para evitar esto.
Fuente
Fuente
No hay comentarios:
Publicar un comentario