Los piratas informáticos secuestran las herramientas de webmaster de Google para prolongar infecciones

Los piratas informáticos que ponen en peligro sitios web también se verifican cada vez más como los propietarios de esas propiedades en Search Console de Google. Bajo ciertas circunstancias, esto podría permitirles permanecer sin ser detectados por más tiempo de lo que serían, advierten los investigadores.

Google Search Console, anteriormente conocida como Google Webmaster Tools, es un servicio muy útil para que los administradores entiendan cómo funcionan sus sitios web. resultados de búsqueda.

Además de proporcionar análisis sobre consultas de búsqueda y tráfico, también permite a los webmasters enviar contenido nuevo para rastrear y recibir alertas cuando Google detecta problemas de malware o spam en sus sitios web.

[Más información: cómo para eliminar el malware de su PC con Windows]

Esa última parte es muy importante, porque las infecciones del sitio web pueden conducir rápidamente a la pérdida de tráfico y reputación. Los usuarios que hagan clic en enlaces en resultados de búsqueda que conducen a sitios web que alojan malware o correo no deseado recibirán advertencias temibles hasta que sus propietarios limpien esos sitios web.

Google permite que más de una persona reclame la propiedad de un sitio web en su propia búsqueda Cuentas de consola Eso no es inusual porque ejecutar un sitio web generalmente involucra a varias personas. El propietario, el administrador del sitio y el especialista en optimización de búsqueda pueden, y a menudo son, personas independientes y todos pueden beneficiarse de los datos de Search Console en sus respectivos roles.

Verificación como propietario de un sitio web en el contexto de la Búsqueda de Google La consola se puede hacer de diferentes maneras, pero la más sencilla es cargar un archivo HTML con un código único para cada usuario en la carpeta raíz del sitio web.

Sin embargo, muchas de las vulnerabilidades que permiten a los atacantes inyectar código malicioso en sitios web también darles la capacidad de crear archivos deshonestos en los servidores web subyacentes. Por lo tanto, pueden usar dichos defectos para verificarse como nuevos propietarios de sitios web en Google Search Console al crear los archivos HTML necesarios.

Tales abusos son cada vez más comunes, según investigadores de la firma de seguridad web Sucuri, que han visto muchos webmasters. quejándose en foros de soporte técnico sobre propietarios fraudulentos apareciendo en su Google Search Console.

En un caso, un webmaster encontró más de un centenar de "propietarios verificados" en su consola, dijeron los investigadores de Sucuri en una publicación de blog.

Muchos hackers utilizan sitios web comprometidos para crear páginas fraudulentas que abusan de sus clasificaciones de búsqueda para dirigir el tráfico al contenido spam. Esas páginas se conocen como puertas y la técnica se llama optimización de motor de búsqueda black hat (BHSEO). Según los investigadores de Sucuri, al convertirse en propietarios verificados de sitios web comprometidos, los atacantes pueden rastrear el rendimiento de sus campañas de BHSEO en la Búsqueda de Google. También pueden enviar nuevas páginas de spam para indexarlas más rápido en lugar de esperar a que las descubran naturalmente los robots de búsqueda de Google, pueden recibir alertas si Google señala que los sitios web están comprometidos y, lo que es más importante, pueden eliminar a los propietarios legítimos del sitio. desde Search Console.

Cuando se verifica un nuevo propietario para un sitio web, los propietarios existentes recibirán notificaciones por correo electrónico de Google. Sin embargo, esas notificaciones pueden ser fáciles de perder por varias razones, por ejemplo, si van a una dirección de correo electrónico que rara vez se revisa, si se pierden entre otras notificaciones automáticas y no urgentes recibidas en un día ocupado o si llegar durante vacaciones o vacaciones.

Si los propietarios legítimos no leen las notificaciones y toman medidas inmediatas, los atacantes pueden eliminarlas de la lista de verificación de Search Console eliminando sus archivos de verificación HTML del servidor. Esto provocará que no se realicen notificaciones a los propietarios reales, según el investigador principal de malware de Sucuri, Denis Sinegubko.

Si Google luego detecta un compromiso en el sitio web y alerta automáticamente a sus propietarios verificados, solo los atacantes recibirán la notificación, dijo Sinegubko. Luego, pueden quitar temporalmente sus puertas, solicitar una revisión del equipo antispam de Google para desbloquear el sitio web en los resultados de búsqueda y volver a colocar las entradas con diferentes patrones de URL, dijo.

Si los propietarios reales ya no se verifican, les llevará mucho tiempo darse cuenta de que sucedió algo, si es que alguna vez lo hacen. Mientras tanto, los atacantes continuarán explotando el sitio web.

Incluso si los propietarios reales detectan a los propietarios fraudulentos, no siempre es fácil eliminarlos.

Los investigadores de Sucuri han visto trucos utilizados por los atacantes que se basan en reglas de reescritura de URL en el archivo de configuración de htaccess y páginas generadas dinámicamente. Esto dará como resultado que los robots de verificación de Google detecten los archivos HTML necesarios, incluso si no existen físicamente en el servidor y los administradores reales no pueden encontrarlos.

Los webmasters pueden tomar varias medidas para prepararse para tales ataques, de acuerdo con Sinegubko.

En primer lugar, deben asegurarse de que se verifican a sí mismos como propietarios de todos sus sitios web, incluso si no planean utilizar Google Search Console con mucha frecuencia.

Cuando lo hacen, deben optar por para los métodos de verificación alternativos que Google acepta y que no son fáciles de eliminar sin que los atacantes también comprometan sus cuentas de registro de Google o dominio. Esto evitará que los atacantes eliminen su verificación simplemente borrando archivos del servidor.

Finalmente, cada vez que reciban notificaciones de "nuevo propietario" de Google, los webmasters deberían investigar exhaustivamente.

"En la mayoría de los casos, significa que tenían acceso completo a su sitio, por lo que debe cerrar todos los agujeros de seguridad y eliminar cualquier contenido malicioso que los hackers ya hayan creado en su sitio ", dijo Sinegubko.