Мошенники подняли спам-сайт на первые страницы выдачи Google в Норвегии

В Норвегии несколько дней идет масштабная атака на поиск Google. На первых страницах выдачи по практически любым запросам высока вероятность встретить датский спам-домен havfruen4220.dk замаскированный картинкой со «Смешариками».

Один спамерский домен получает большую долю всего поискового трафика Google в стране, – утверждает в своем блоге веб-разработчик Алекс.

Он заметил, что на домене настроена переадресация: при переходе пользователь попадает на мошеннические сайты, которые выдают себя за норвежские новостные ленты или предлагают «быстро заработать в интернете».

Как правило, Google фильтрует подобные сайты и не позволяет переходить на них, не говоря уже про вывод на первые страницы выдачи. Но мошенникам удалось обмануть алгоритмы с помощью картинки и системы редиректов, утверждает веб-разработчик.

Как мошенники обманывают Google

Алекс проверил часть популярных и характерных для Норвегии запросов и каждый раз обнаруживал в топе havfruen4220.dk. 

Всего по запросу havfruen4220.dk выдается 9,95 млн результатов, причем большинство из них новые и созданы за последние несколько дней, отмечает разработчик.

Для их генерации мошенники брали данные из множества источников: Twitter, новостные сайты, случайные сайты или их комбинация. Есть и другие похожие сайты – они используют датский домен .dk и обслуживаются Cloudflare.

Если страницу спам-сайта пытается открыть поисковый бот Google или пользователь по прямой ссылке, она маскируется и показывает карикатуру со «Смешариками».

Но если пользователь посещает одну из страниц спам-сайта, вместо ее содержимого активируется js-скрипт, который перенаправляет на мошеннические сайты.

Некоторые из них маскируются под популярные норвежские новостные издания, статьи в которых «рассказывают секрет богатства» норвежской знаменитости. Обычно текст заканчивается финансовой схемой с криптовалютами.

Другие представляют собой мошеннические сайты, посвященные быстрому заработку в интернете с «временно бесплатным» доступом. Они тоже рассказывают о том, как разбогатеть с помощью криптовалют.

Почему это сработало

У разработчика есть несколько предположений, как удалось обойти защиту Google:

• В поисковой выдаче страницы havfruen4220.dk «выглядят достаточно прилично», ими легко заинтересоваться.
• Возможно, при заходе с IP-адреса сканера Google мошенники показывают настоящее содержимое, но разработчик «притворился» Google и получил ту же картинку с главной страницы havfruen4220.dk.
• Когда пользователь открывает страницу спам-домена, мошенники блокируют возможность вернуться в Google. Таким образом, они «подсказывают» поисковым алгоритмам, что пользователь нашел нужную информацию у них на сайте, т.к. не вернулся в поисковую выдачу. Алгоритмы считают сайт «полезным» и ранжируют его еще выше.
• После того, как пользователю заблокировали возможность вернуться в выдачу, ему приходится искать информацию заново. Но он может забыть точную формулировку своего запроса и ищет нужный сайт уже по другой фразе.

Как Google может это исправить

По мнению разработчика, чтобы исправить ситуацию, Google может регулярно анализировать сайты через «обычные» IP и user agent, а не фирменные. Это позволит проверить, что сайт показывает Google и обычным пользователям одинаковое содержимое сайта.

Источник: vc.ru