Todos os posts tagados spamdexing

Pharma Hack em Portugal

por David Sopas em 4 de Novembro de 2014 em Artigos com 0 comentários Tweet

Pharma Hack é um termo associado por especialistas de segurança informática para definir um tipo de ataque muito ligado ao blackhat SEO.
O objetivo do Pharma Hack é efetuar vendas de produtos farmacêuticos (Viagra, Cialis, Zoloft, etc) utilizando sites comprometidos para promover a loja ilegal em resultados no Google. Quanto mais referências houver, mais sobe no rank do Google. Quantos mais sites comprometidos com a referência a esse site, mais este sobe no ranking do Google aumentando a possibilidade de ser encontrado nos motores de busca e por sua vez efetuar mais vendas.

Para quem desconhece, este tipo de atividade criminosa online é muito frequente. Os utilizadores maliciosos comprometem um site e apresentam páginas de venda de fármacos online - geralmente programas de afiliados ligados a redes criminosas de larga escala. É um negócio que atrai muitos utilizadores que têm dificuldades em adquirir produtos farmacêuticos e que preferem correr o risco de comprar algo que pode não ser realmente o que pensam que é.

Estas farmácias online, são geralmente promovidas por diversas vias:

Por envio massivo de SPAM (cerca de 250 mil milhões de mensagens por dia - o que equivale a 40% do spam mundial)
Por comprometer sites e criar reencaminhamentos
Por utilizar spamdexing, onde os utilizadores comprometem um site popular e criam links e palavras referentes ao site malicioso (casos semelhantes já foram divulgados pelo WebSegura.net, como foi no passado nos sites do Governo Civil de Coimbra e no Taguspark)

Em Portugal, numa breve pesquisa no motor de busca Google, é possível reparar na quantidade de sites comprometidos com reencaminhamentos para farmácias ilegais. Nos sites comprometidos é possível encontrar câmaras municipais, sites de universidades, associações, pequenas empresas e sites pessoais.
Muitas das entidades provavelmente nem sequer sabem que estão alojar este tipo de atividade, muito devido ao low-profile destes ataques.
Já encontrei situações em que o reencaminhamento para o site da farmácia era só válido se o tráfego de referência fosse um motor de busca. Ou seja, se um utilizador entrasse diretamente no site afetado não iria ver o ataque.
Por vezes também é possível verificar um controlo por geo-localização em que apenas são permitidos visitantes estrangeiros. Isto é efetuado com limites aplicados à gama de IP nacionais no ficheiro .htaccess. Apenas os visitantes fora dessa gama é poderiam ver o ataque/reencaminhamento.

Alguns exemplos destes sites de Pharma Hack atualmente presentes em sites comprometidos portugueses:

medshop24.net
canadian-overnite.com
canadian-pharmacy-24.com
canadapharmacy24h.com
hqpills.net
awc-drugstore.com

De referir que muitos destes sites, entre os quais indicados acima, distribuem malware. Mais propriamente supostas atualizações de Flash e payloads Java que incluem software malicioso. Por isso, não devem visitar os websites.

De salientar a referência ao Canadá em alguns domínios. Este país é conhecido pela liberalização na comercialização de determinados medicamentos, que juntamente com preços atrativos, é a escolha perfeita de muitos utilizadores, principalmente oriundos dos EUA. Este país vizinho, onde os produtos farmacêuticos são caros e necessitam quase sempre de prescrição médica, é um dos principais clientes deste tipo de negócios.
Os utilizadores maliciosos sabendo disto, utilizam o nome do Canadá para dar alguma credibilidade ao negócio. No entanto, maioria destes medicamentos são oriundos de países como China, Índia e Paquistão. De referir que estes fármacos, muito provavelmente, não têm qualquer controlo de qualidade e higiene. Existem mesmo relatos de medicamentos comprados nestas lojas online que continham elementos prejudiciais à saúde. Desde vestígios de pó-talco, giz, gasolina, cola, etc…

Dos sites portugueses afetados, é possível observar que muitos são sites Joomla!, WordPress e outros CMS que provavelmente estão desatualizados e alegadamente vulneráveis a intrusões.

O seu site foi comprometido com Pharma Hack?

Ficam aqui algumas dicas, baseadas na minha experiência, para uma possível deteção deste problema:

Verificar alterações no código-fonte e/ou a existência de novos ficheiros
Verificar os DNS do domínio
Estar atento ao .htaccess e os php.ini
Em caso de CMS, verificar plugins modificados (em Portugal reparei diversos plugins modificados para integrar os reencaminhamentos para os sites maliciosos)

No entanto, recomendo sempre o recurso a um profissional da área.

Contatei o Infarmed para obter algumas informações adicionais ~~mas até à data do artigo não obtive quaisquer declarações:~~

Quais os riscos de saúde para um cidadão que compre medicamentos em lojas ilegais de venda de produtos farmacêuticos?

Informamos que em Portugal, só as farmácias e os locais de venda de medicamentos não sujeitos a receita médica que estejam registados no Infarmed, podem aceitar encomendas de medicamentos através da internet, de forma segura, nomeadamente por se garantir que a dispensa dos medicamentos é feita pelos profissionais habilitados, que o transporte dos medicamentos é feito em condições controladas e que, no ato da entrega, são prestadas as informações necessárias à toma do medicamento.

Mais informamos que o Infarmed não autoriza a importação de medicamentos para uso pessoal, devido a não existir suporte legal e aos possíveis riscos para a saúde dos consumidores, por não estarem garantidas as condições de segurança, qualidade e eficácia exigíveis para um medicamento, quer durante o processo de aquisição, quer durante o próprio transporte.

Assim, os consumidores só podem adquirir medicamentos nas farmácias (comunitárias e hospitalares) e nos locais de venda de medicamentos não sujeitos a receita médica (MNSRM).

O Infarmed tem algum departamento que pesquisa e analisa este tipo de atividade online?

Informamos que a Direção de Inspeção e Licenciamentos deste Instituto, analisa este tipo de atividade online e atua de acordo com as suas competências.

Queria concluir que não encontrei estas lojas ilegais em língua portuguesa. Apenas em inglês, espanhol, alemão, francês e italiano. No entanto, conforme demonstrado neste artigo, Portugal está a servir de catalisador para este tipo de atividade ilícita. É necessário estar atento.

Taguspark com Joomla comprometido

por David Sopas em 24 de Janeiro de 2014 em Artigos com 0 comentários Tweet

Taguspark, Parque de Ciência e Tecnologia, foi comprometido pelo defacer Hmei7.
Até à data deste artigo, a página ainda está presente na pasta de /images. O HTML apenas apresenta o seguinte texto:

hacked by Hmei7

Mirror no Zone-H - http://zone-h.org/mirror/id/21633726
De referir que o site taguspark.pt corre o Joomla!.

Além do deface, o site da Taguspark está com Spamdexing presente no no código fonte.

Spamdexing serve para manipular e indexar certas palavras chave nos motores de busca usando como plataforma websites com maior visibilidade. Na maioria dos casos, este código HTML é apenas visível no código fonte devido há implementação de propriedades CSS, como por exemplo, display:none ou visibility:hidden para ocultar o texto da página web.
Geralmente é resultado de um ataque, bem sucedido, a um servidor ou a uma aplicação web vulnerável, de referir novamente que o taguspark.pt corre Joomla!. Este CMS requer uma actualização constante devido aos diversos alertas de segurança que ocorrem regularmente.

Enviei uma notificação com esta informação aos responsáveis e aguardo feedback.

Seoanalyses.com nas estatisticas

por David Sopas em 2 de Novembro de 2013 em Artigos com 0 comentários Tweet

Quem monitoriza as estatísticas dos websites certamente já reparou que, recentemente, o site seoanalyses.com (geralmente com 10 visitas) no tráfego de sites de referência tem aparecido diversas vezes.
Este site faz o encaminhamento para ourmeets.com, que apenas está bloqueado pelo Yandex.
NOTA: Não aconselho a abertura deste website porque conta com conteúdos pornográficos e embora não seja detectado qualquer conteúdo malicioso (relatório no VT e Sucuri) poderá a vir a ter no futuro.
Numa amostra que recolhi de 30 websites portugueses, analisados no Google Analytics, 70% apresenta a presença do seoanalyses.com nas estatísticas.

Alguns dados do domínio seoanalyses.com:

Registration Service Provided By: DOMAINCONTEXT INC.
Domain Name: SEOANALYSES.COM
Registration Date: 01-Oct-2013
Expiration Date: 01-Oct-2014
Status:LOCKED
Name Servers:
ns1.regway.com
ns2.regway.com

Alguns dados do domínio ourmeets.com:

Registration Service Provided By: DOMAINCONTEXT INC.
Domain Name: OURMEETS.COM
Registration Date: 20-Jan-2013
Expiration Date: 20-Jan-2014
Status:LOCKED
Name Servers:
ns1.regway.com
ns2.regway.com

De referir que no mesmo alojamento do ourmeets.com encontram-se diversos websites de conteúdo pornográfico e com malware.

It appears that the web server located at 38.72.77.25 may be hosting one or more web sites with explicit content. There is a possibility that all of the web sites on this web server may be blocked by web filtering software. Search engine rankings for these web sites may be affected as well.

Spam?
Este tipo de actividade intitula-se por Referer Spam ou Referer Bombing. É um género de Spamdexing. Esta técnica é conseguida através de diversos acessos a um website utilizando um Referer falso que aponta para o website que o spammer quer publicitar.
Mas o que podem os spammers ganhar com isto?
Websites que publicitam os dados estatísticos, incluindo o tráfego de referência, vão fornecer publicidade gratuita ao website do spammer. Muitos desses links vão ser posteriormente acedidos pelos motores de busca quando fazem o crawl aos dados de acesso.
Este ataque beneficia o spammer devido à referência gratuita e fornece um aumento de ranking nos algoritmos que os motores de busca actuais utilizam.
Convém também referir que esta situação prejudica a taxa de bounce do Google Analytics.

Estas situações podem ser resolvidas pontualmente bloqueando no ficheiro .htaccess os endereços suspeitos.

ScanPW analisa páginas web por conteúdos maliciosos

por David Sopas em 9 de Julho de 2010 em Artigos, Ferramentas com 2 Comentários Tweet

ScanPW é uma aplicação web gratuita que permite, de uma forma rápida e segura, analisar o código fonte de uma página web.

O ScanPW actua como um pedido normal de acesso a uma página web, tal como num browser, e de seguida, usando algumas funções REGEX, analisa determinadas secções do código fonte que podem parecer suspeitas.

É aconselhado ao utilizador acompanhar posteriormente uma análise manual.

Entre as principais características:

Mostra código fonte;
Lista os scripts utilizados;
Mostra os comentários;
Procura por cerca de 100 palavras utilizadas em SPAM SEO / SPAMDEXING;
Detecta versões WordPress;
Detecta emails que possam vir a ser capturados por SPAM bots;
Idioma em português e inglês.

Um projecto do WebSegura.net que está receptivo a sugestões, bastando comentar neste artigo ou na página dedicada ao projecto.

Espero contar convosco para melhor o ScanPW.

Websites do Governo brasileiro comprometidos com SPAM

por David Sopas em 2 de Julho de 2010 em Curtas, Notícias com 0 comentários Tweet

Sucuri alerta o uso de Spamdexing em websites pertencentes ao Governo brasileiro com o objectivo de aumentar e construir page rank de alguns links e termos nos motores de busca.