Cet article évoque les redirections lors des recherches Google liées à des malwares ou piratages de sites internet.
Le symptôme est très simple à comprendre, lorsque vous effectuez une recherche Google, au moment de cliquer sur un site internet, vous vous retrouvez sur un autre site internet.
On parle ici surtout de Google mais cela touche tous les moteurs de recherche : Bing, Qwant, DuckDuckGo, etc
Voici quelques explications afin de bien comprendre les origines et conséquences autour de ces recherches Google falsifiées.
Table des matières
But des redirections Google
Les buts des redirections Google est globalement de générer du trafic sur le moteur de recherche Google.
On peut distinguer plusieurs buts :
- Rediriger le visiteur vers une publicité. Ainsi, on utilise la notoriété du site afin de charger une publicité et gagner de l’argent.
- Afficher de fausses alertes de sécurité. Par le passé, de fausses alertes de sécurité et de virus étaient utilisés pour promouvoir des scarewares et rogues. Plus d’informations :
- Éventuellement, rediriger vers du contenu malveillant pour charger un exploit Webb (Drive Download) par exemple. Ce dernier est cas est plus rare, car il suffit de modifier le contenu du site visité pour donner le même résultat. La redirection n’est alors pas utile. Toutefois, cela peut arriver notamment avec Google Images.
Actuellement, ces dernières alertes de virus sont plutôt utilisées pour la promotion d’arnaques de support téléphonique.
Origine des redirections Google
On peut distinguer plusieurs origines mais globalement trois en ressortes.
- Le site visité a été piraté et lors de l’accès par Google, la redirection se charge.
- L’ordinateur utilisé contient un malware qui opère ces redirections. Le contenu de Google est falsifié ou lors du chargement du site, le malware effectue la redirection. C’est une méthode pour monétiser un logiciel malveillant.
- Depuis une recherche Google, vous avez cliqué sur un lien lié à du SEO empoisonnement. Des sites bidons ou des sites piratés sont mis en ligne avec des mots clés qui se retrouvent lors des recherches Google. Le site a pour but de rediriger l’internaute lors du clic.
Par exemple, dans la vidéo précédente, la redirection depuis le site Ubuntu est liée à un piratage de ce dernier.
Site piraté
Le piratage est très intéressant pour les cybercriminels car on utilise la notoriété du site et son placement assez haut sur Google pour générer du trafic malveillant.
Ci-dessous, un exemple de redirection lorsque l’on tente d’accéder au site Ubuntu.
Ce dernier renvoie vers une publicité qui fait à son tour la promotion de toutes sortes d’arnaques.
Le site Ubuntu est relativement populaire donc on peut imaginer que les revenus de ces publicités sont conséquents.
Les malwares
Les malwares ont souvent tenté de falsifier les recherches Google ou Bing afin de charger notamment des publicités.
Cela permet de monétiser un botnet.
Le premier malware à opérer ces redirections Google est Trojan DNS.
Par la suite, beaucoup de malwares ont utilisés ces tactiques notamment Bamital ou Trojan.TDS.
Plus récemment, certains adwares modifiant les serveurs DNS comme
DNSUnlocker ont pu user de ces méthodes.
D’autres logiciels malveillants forçaient l’utilisation de proxy.
Cette ancienne page du forum énumère quelques malwares provoquant ces redirections : Redirections lors des recherches Google (infection)
SEO Poisoning
Le SEO Poisoning se traduit par l’empoisonnement SEO.
SEO étant Search Engine Optimization, il s’agit de toutes les techniques qui permettent à rendre un site de se trouver dans les premières pages de résultats lors des recherches.
Cela permet de générer du trafic assez important.
Les cybercriminels inondent les moteurs de recherches de milliers de sites internet qui vont se trouver dans les résultats de recherche selon les mots clés saisies.
Par des techniques diverses notamment des redirections entre chaque sites internet, ces derniers tentent d’être dans les premières pages de résultats.
Par exemple, les deux images ci-dessous montrent des sites bidons.
On les reconnaît facilement car l’adresse n’a rien à voir avec la thématique ainsi que des pages générées aléatoirement avec des suites de lettres et chiffres.
Ci-dessous la vidéo montre du SEO poisoning, avec l’habitude on reconnaît très facilement ces sites.
Les adresses ont souvent ni queue ni tête, avec des pages avec des numéros et lettres.
Enfin, le résultat Google avec les mots clés et descriptions n’a rien à voir avec le contenu final.
L’article suivant explique en détails le fonctionnement du SEO Poisoning : SEO empoisonnement : redirections recherches Google