Disclaimer: i siti menzionati nel presente articolo sono stati individuati durante la sua stesura usando i metodi descritti nell’articolo stesso, ovvero basati su una serie di semplici ricerche in Google; alcuni di essi (se non addirittura tutti) potrebbero essere stati ‘riparati’ o non essere più attivi nel momento in cui leggerete l’articolo, ma vi sarà comunque facile individuarne altri usando lo stesso metodo. Il consiglio per gli eventuali titolari dei siti menzionati o i webmaster che li gestiscono è ovviamente di intervenire al più presto per eliminare le infezioni provocate dai pirati informatici, al fine di scongiurare il blocco da parte di Google, mentre se nel frattempo tale blocco è stato già applicato troveranno alla fine dell’articolo un link di approfondimento per agire in tal senso chiedendone la rimozione.

La SEO Black Hat

Chi conosce il significato di SEO, l’acronimo che sta per Search Engine Optimization (ovvero ‘ottimizzazione per i motori di ricerca’) ha spesso anche sentito nominare le due facce di quest’attività, ovvero la SEO White Hat e la SEO Black Hat, dove la prima fa riferimento alle tecniche e strategie ‘lecite’ mentre la seconda si riferisce, invece, a quelle ‘illecite’.

In parole povere, se la SEO fosse uno sport, la versione Black Hat corrisponderebbe al ‘doping’, mentre in un’ottica alla Star Wars potremmo piuttosto definirla ‘il Lato Oscuro’. Comunque la si definisca, la Black Hat SEO rimane un’attività che, pur riuscendo a offrire risultati a volte incredibili in tempo brevi, non offre alcuna garanzia di mantenerli nel tempo, anzi rischia di ritorcersi contro chi ne fa uso e portare, al contrario, a delle vere e proprie penalizzazioni da parte di Google.

Un sito di e-commerce fasullo 'installato' su un vecchio dominio appartenente ad altra attività.

Un sito di e-commerce fasullo ‘installato’ su un vecchio dominio appartenente ad altra attività.

Black Hat SEO e truffe nel commercio elettronico

Di recente si è assistito a un proliferare di siti apparentemente ‘normali’ e dediti alla vendita di scarpe e altri accessori di marche famose, dove l’indirizzo del sito (URL) lasciava facilmente trasparire un’origine e natura totalmente diversa riguardo ai contenuti.

Anche se i siti menzionati da qui in avanti come esempio saranno (si spera) prima o poi chiusi o ‘riparati’, è è opportuno fare qualche esempio pratico che chiarisca quanto ho appena scritto. Mi servirò eventualmente di riferimenti al famoso servizio ‘Wayback Machine’ per consentire, a chi volesse visualizzare gli esempi anche in caso di sparizione degli stessi, una consultazione successiva dei contenuti menzionati.

Ci sono, fondamentalmente, due casistiche principali di siti utilizzati in queste tecniche di Black Hat SEO abbinate al cosiddetto ‘scam’ (truffa) nel commercio elettronico, ai quali dedicherò due trattazioni separate. Entrambi i casi, tuttavia, si possono facilmente individuare digitando nel campo di ricerca di Google combinazioni del tipo scarpe+marca+attività, per esempio “scarpe Gucci albergo” oppure “scarpe Prada salumi“, giusto per fare due esempi (ma potete anche usare autosalone, pizza, farmacia o altri termini possibilmente non connessi con il prodotto incriminato).

 

Siti ‘rimpiazzati’ da e-commerce-truffa

La prima categoria riguarda quei siti, anzi quei nomi di dominio, che in precedenza erano associati a dei siti Web che negli anni avevano conquistato un certo posizionamento, e di cui l’URL tradisce ancora chiaramente la natura originale.

In questi casi, a fronte di un nome di dominio chiaramente destinato a un’attività diversa da quella della vendita di scarpe e accessori di moda (per es. un’attività turistica), ci si ritrova di fronte a un finto sito di e-commerce i cui prodotti sono appunto quelli appena menzionati. Un esempio può essere il albergobutterfly.it (vedi foto precedente), di cui è facile ricostruire la storia usando il già menzionato servizio Wayback Machine.

Per ripercorrere l’evoluzione (anzi, involuzione in questo caso) dell’utilizzo di questo nome di dominio si può usare il campo di ricerca presente su Internet Archive oppure installare nel browser un’estensione che permetta di interrogarlo direttamente senza tale passaggio, cliccando su un pulsante apposito mentre si sta visualizzando l’indirizzo del sito.

Il sito originale dell'Albergo Butterfly visualizzato attraverso il servizio Waback Machine di Internet Archive

Il sito originale dell’Albergo Butterfly visualizzato attraverso il servizio Waback Machine di Internet Archive

Nel caso del suddetto Albergo Butterfly scopriremo, così, che fino al 2014 il suo sito era appunto ospitato a tale indirizzo, mentre l’anno successivo il dominio visualizzava la pagina di cortesia (‘sito in costruzione’) di uno ‘studio informatico’ toscano, chiaramente lo stesso che aveva sviluppato il sito dell’albergo e di cui non esiste più il relativo sito ufficiale (studioinformatico.it), mentre dal 2015 ha invece ospitato il sedicente negozio di scarpe e accessori delle varie marche già menzionate.

In questo caso non si tratta, com’è evidente, di un sito ‘infettato’ (come quelli descritti più avanti) ma semplicemente di un utilizzo illecito di un nome di dominio esistente ai fini di un miglior posizionamento e per ospitare un’attività fraudolenta che potrà essere ‘smantellata’ in caso di emergenza (ovvero quando qualcuno si deciderà a intervenire e troverà i modi per farlo, il che non è sempre garantito visto l’esempio appena citato, attivo da oltre un anno).

Questo genere di domini, se esaminati da un punto di vista WHOIS per individuarne l’intestatario, risultano in genere protetti da privacy oppure associati a dati fittizi, mentre indagando sull’hosting si scopre con altrettanta frequenza che si tratta di provider collocati in località come le Seychelles o simili, e che sono stati quasi sicuramente coinvolti già in indagini relative a siti Web di scam o di altre attività illegali.

 

Siti ‘zombie’ che ospitano codice malevolo e rimandano a e-commerce fraudolenti

L’altro genere di attività illecita associata a questo fenomeno è invece quella in cui non è semplicemente il nome di dominio ad essere stato sfruttato per organizzare il tutto, ma c’è stata una vera e propria azione di attacco informatico volta a ‘infettare’ un sito esistente immettendo al suo interno codice malevolo con cui visualizzare il ‘negozio’ o semplicemente reindirizzare gli utenti a un altro sito che lo contiene.

Un tipico esempio di compromissione di un sito attraverso codice malevolo, rilevato attraverso lo strumento SiteCheck di Sucuri

Un tipico esempio di compromissione di un sito attraverso codice malevolo, rilevato attraverso lo strumento SiteCheck di Sucuri

Questi siti si possono individuare utilizzando le stesse combinazioni di ricerca menzionate all’inizio, e sono anche in questo caso legati ad attività di vario genere. Può essere il caso di vecchi siti in HTML on in ASP come quello di nebrodibandb.it, di hotel3re.it o di cremoniniscaffali.it, che esaminati poi con il famoso e utilissimo tool di Sucuri possono rivelare, in alcuni casi, la presenza del famigerato codice ‘payload’, in questo caso legato a SEO spam (è il caso di nebrodibandb.it) mentre in altri casi non risulta alcuna ‘infezione’ apparente. In altri casi si tratta siti più moderni come quelli di satiriauto.it, villaggiodeiragazzi.it, o gustarsano.it, che a un’analisi appropriata (per es. esaminando il codice sorgente nel browser) risultano invece sviluppati in PHP oppure con un CMS come WordPress ma hanno subito lo stesso tipo di compromissione di quelli più ‘datati’. Ciò dovrebbe far capire come in realtà questo genere di ‘infezioni’ non riguardi semplicemente siti sviluppati molto tempo fa ed eventualmente abbandonati a loro stessi, ma anche quelli di più recente realizzazione.

Caricando questi siti a partire dal loro indirizzo principale è impossibile accorgersi che, in realtà, sono stati compromessi da un attacco informatico e contengono pagine in cui vengono ospitati i siti di e-commerce già menzionati, tuttavia usando le ricerche già illustrate oppure abbinando le parole chiave ‘incriminate’ (es. scarpe Gucci) al nome del sito si riesce a scoprire, dai risultati visualizzati in Google, che c’è stata appunto una ‘injection’ di codice da parte di pirati informatici volta a incorporare il sito di commercio elettronico fraudolento a spese del sito stesso.

Quando, invece, clicchiamo sui risultati emersi dalla ricerca descritta in precedenza, ci accorgiamo che in realtà i siti fanno da ‘ponte’ per reindirizzare l’utente verso un altro sito (nel caso di gustarsano.it, per esempio, il sito di destinazione è uxurysbags.com). Inutile fare esempi specifici in quanto i siti menzionati potrebbero essere, nel tempo, ‘disinfestati’ (magari grazie a queste stesse segnalazioni) oppure, nei casi più sfortunati, ‘oscurati’ da Google una volta che il motore avrà rilevato il codice malevolo al loro interno.

 

Se li conosci li eviti: come difendersi dalle truffe e dagli attacchi di Spam SEO

Alla luce di quanto descritto finora, è facile intuire che siti di e-commerce ‘onesti’ non avrebbero bisogno di ‘promuoversi’ con tecniche e strategie illecite come quelle illustrate, tuttavia altri siti di questo genere utilizzano tecniche ancora più subdole inserendo nei siti ‘vittima’ semplicemente dei link nascosti che servono a migliorare la visibilità del sito di destinazione, come ho descritto in un precedente articolo sull’altro mio blog, intitolato “Hogan outlet online: siti infettati e siti truffa“, che ha dato origine a diversi commenti dei lettori da cui sono emersi, purtroppo, casi di truffa ai loro danni da parte di questi siti.

Un esempio di siti infettati da codice per creare finti e-commerce a scopo fraudolento, rilevati con una semplice ricerca su Google

Un esempio di siti infettati da codice per creare finti e-commerce a scopo fraudolento, rilevati con una semplice ricerca su Google

Riconoscere un sito-truffa di commercio elettronico non è molto difficile, soprattutto se mancano dei chiari riferimenti ai titolari dell’attività commerciale che siano facilmente verificabili, oppure se i contatti con chi gestisce il sito si rivelano difficili se non impossibili (anche prima di qualsiasi acquisto). Spesso questi siti sono così ben congegnati da trarre in inganno molte persone, ed è difficile intervenire in seguito al raggiro anche perché tendono a sparire per poi ricomparire con altri indirizzi, sfuggendo così a eventuali azioni legali. Altrettanto evidente è la natura fraudolenta di pagine incluse all’interno di siti appartenenti ad altre attività, facilmente rilevabile con la ricerca spiegata all’inizio (vedi foto).

Per quanto riguarda i titolari dei siti che si scoprono oggetto di queste ‘infezioni’, possono richiedere ai loro ‘webmaster’ o a chi gli cura tecnicamente il sito di intervenire per eliminare, se possibile, il codice infetto e ripristinare magari il sito da un precedente backup che, si spera, è stato a suo tempo creato per scongiurare tali evenienze o altri disastri.

La prevenzione, invece, passa attraverso diverse strategie, che nei casi di utilizzo di un CMS possono essere legate all’uso di particolari plugin per la sicurezza, oppure in generale per mezzo di interventi sul codice del sito e sistemi di protezione offerti dall’hosting stesso. Soprattutto, il backup del sito è fondamentale per risolvere in seguito qualsiasi problematica che lo possa compromettere.

La mia speranza è che i possessori di un sito, ma anche i webmaster, siano sempre più consapevoli dei rischi cui sottopongono i siti qualora non adottino le necessarie misure di prevenzione e non eseguano un monitoraggio costante, e nello stesso tempo che Google riesca a trovare il modo per ‘smascherare’ i siti-truffa e intervenire su di essi piuttosto che prendersela con gli ignari possessori di quei siti che sono stati compromessi e usati per la promozione del sito truffaldino.

 

Approfondimenti:

Guida ufficiale di Google per i siti web compromessi (Google)

Il tuo sito fa blackhat SEO spam e tu non lo sai (Paolo Dal Checco)

Attacchi SEO spam in sottodirectory di siti WordPress (Posizionamento SEO)

Nuovo attacco che sfrutta il Black Hat SEO (ShellRent)

Hackers Insert SEO Spam on Legitimate Sites via WordPress Core Files (SoftPedia)

Analisi e pulizia di risultati SEO hackerati (Fedegrafia)

Hacked? How to Clean Your Site and Get Off Google’s Blacklist (WPMUDev)

Black Hat SEO, Parasite Hosting e azione manuale da Google: un caso di studio risolto (Web Fermento)

Pin It on Pinterest

Share This