Не так давно мы писали о вредоносных обновлениях, используемых злоумышленниками для монетизации трафика. Так как обращений в службу технической поддержки Яндекса стало больше, то хотелось бы отдельно рассказать о другом способе монетизации трафика — сайтах-локерах.
Сайт-локер — это страница, которая имитирует интерфейс популярного сайта, чтобы узнать номер мобильного телефона пользователя. Например, для рассылки спама на этот номер или навязывания платных SMS-услуг. Доменное имя сайта-локера, как правило, похоже на доменное имя популярного ресурса, для чего используются опечатки (yanbex.ru, yendex.ru, yandlex.ru) или поддомены (yandex.ru.hacker.com, yandex.ru.virus.com).
Чтобы увеличить посещаемость сайта-локера, злоумышленники применяют методы чёрной оптимизации, а также прибегают к взлому сайтов. При этом на взломанном сайте размещается код или файл, перенаправляющий посетителя на сайт-локер. Самым распространённым способом создания редиректа является модификация или загрузка на хост файла .htaccess.
Перенаправленный пользователь видит знакомый интерфейс:
Если пользователь продолжит работу с такой страницей, то она попросит его ввести номер телефона — например, для получения денежного приза или для подтверждения того, что посетитель не является роботом.
Само собой, это сообщение не имеет никакого отношения к Яндексу, денежного вознаграждения пользователь не получит, а будет подписан на платную SMS-услугу. После этого сайт-локер может перенаправить посетителя уже на настоящий сайт, чтобы вызвать как можно меньше подозрений.
Сайты-локеры ориентированы не только на поисковые системы, злоумышленники копируют интерфейсы и других популярных сайтов:
Монетизация трафика с помощью сайтов-локеров становится всё более популярной, а количество таких сайтов продолжает расти. Сегодня нам известно более 1000 уникальных хостов, замеченных в подобных схемах.
Для предотвращения сигнатурного обнаружения, скрипты на сайтах-локерах обфусцируются. Например, с помощью добавления обфусцированного кода в конец библиотеки jQuery:
Сообщения, предлагающие ввести номер телефона, иногда могут возникать и при просмотре нормальных сайтов. Вероятная причина этого — вредоносное ПО, установленное на компьютере пользователя без его ведома (например, вследствие успешно проведенной drive-by-download атаки). Один из видов такого ПО описан здесь.
Проверяйте доменное имя в адресной строке. Пользуйтесь антивирусами и безопасными браузерами. Обращайте внимание на дополнительные окна и вкладки браузера, которые открываются при просмотре страниц.
Помните, что Яндекс никогда не попросит вас отправить SMS, чтобы воспользоваться тем или иным сервисом. Если вдруг вы увидели подобную просьбу на странице, похожей на один из сервисов Яндекса — обратитесь, пожалуйста, в службу поддержки по адресу safesearch@yandex-team.ru. Если вы обнаружите на своем сайте вредоносный код, то вам помогут рекомендации по его удалению. О том, как защитить сайт от заражения, можно прочитать в нашей статье.
Команда Безопасного Поиска Яндекса