Cyber Reputation a rischio

La Cyber Reputation e la reputazione dei siti web

In un mondo digitale dove le informazioni si ricercano tramite internet, utilizzando i motori di ricerca, è sufficiente “parlare male” ad uno di questi perché la cyber reputation di un sito, e dunque di un’Azienda, venga compromessa (quasi) indelebilmente.


Malvertising

E’ la pratica di utilizzare le falle dei sistemi e dei siti internet per caricare dei link che reindirizzino i visitatori verso siti malevoli o far comparire dei pop-up indesiderati o con pubblicità insidiose.

Queste metodologie sfruttano le vulnerabilità dei plugin dei CMS open source, o tecniche di SQL e CODE Injection su siti che non adottano idonee pratiche di protezione, attivando poi una privilege escalation per acquisire il controllo del PC della vittima.

Sfruttando i bug di alcuni plugin (ad esempio alcune versioni di Coming Soon and Maintenance Mode, Yellow Pencil Visual CSS Style Editor e Blog Designer attivi su migliaia di installazioni WordPress) riescono ad iniettare un payload JavaScript nel frontend del sito di una vittima; questo script scarica del codice che viene eseguito sul PC del visitatore, il quale si trova reindirizzato su siti che “infettano” il PC con codice malevolo finalizzato a prendere il controllo o spiare la vittima.

Logicamente buona parte delle cautele dovrebbe essere presa da chi gestisce i siti con tali plugin, che dovrebbe essere informato su come aggiornare ed agire prontamente per evitare il diffondersi del problema. Lato utente invece è necessaria una pronta formazione degli operatori che dovrebbero riconoscere i comportamenti anomali e l’adozione di buone pratiche per l’aggiornamento costante di Sistemi Operativi e Antivirus/Firewall.

Ovviamente il fatto di ritrovarsi a navigare su un sito non protetto o che installa sulle macchine codice infetto diventa una pratica di “diffamazione”, attuata magari da hacker prezzolati. E’ nell’interesse dell’azienda pertanto provvedere a mantenere costante l’attenzione sulle attività svolte dai consulenti in ambito web perché provvedano ad evitare queste problematiche, considerarne il rischio in fase contrattuale con il fornitore ed eventualmente procedere a ridurre il rischio adottando una polizza Cyber Risk che copra eventualmente i costi per il ripristino della reputazione.


Negative SEO

Uuna pratica poco conosciuta che porta a pesanti conseguenze, viene usata per “forzare” l’indicizzazione e il posizionamento di un determinato sito web sui motori di ricerca, facendo uso di Attacchi DoS, SQL e CODE Injection e XSS. Ovviamente la forzatura viene effettuata per penalizzare il posizionamento, impedendo l’indicizzazione o mancando il rispetto di regole fondamentali per i motori di ricerca che a quel punto penalizzano il punteggio di ranking.

Il Negative SEO è quello che può capitare quando un consulente non sa fare correttamente il lavoro di indicizzazione e pertanto butta all’aria soldi, tempo e fatica di chi ha lavorato alla promozione del progetto web… ma più pesante ed efficace!

La concorrenza sleale in un periodo dove “anonimato” e connessione a banda larga consentono di raggiungere facilmente l’obiettivo è attuabile anche da parte di competitor che possono incaricare hacker a pagamento per attuare le tecniche, magari colpendo non direttamente il sito della vittima, ma i serivizi necessari alla promozione. Il più grande problema della Negative SEO infatti è l’impossibilità di difendersi se gli attacchi sono mirati a piattaforme estranee: si subiscono una serie di attacchi indiretti che causano “effetti collaterali” molto dannosi.

Vediamo alcuni attacchi tipici

  • Google Bowling: si basa sulla creazione di numerosi link di bassa qualità. Viene attuata tramite attacchi SQL Injection e XSS che manipolano le informazioni e i contenuti su piattaforme estranee alla vittima. Generalmente si basa sulla creazione di numerosi post e recensioni in forum, blog e web application (facile trovarne parecchi obsoleti e/o non aggiornati per la protezione e con bug di sicurezza non patchati). La generazione massiva di questi contenuti di bassa qualità, o diffamatori, vengono oltretutto ritenuti una forzaturacausando una forte penalizzazione del posizionamento nel ranking del motore di ricerca;
  • Guilty by Association: attraverso il web scraping (estrazione automatica dei contenuti di un sito), si esegue una copia della pagina o dell’intero sito, ripubblicandola su un nuovo dominio, sconosciuto alla vittima. La scansione del bot del motore di ricerca, dopo l’analisi del contenuto andrà a contrassegnare giustamente il clone come spam (verifica comunque la data di attivazione del clone rispetto all’originale). Una volta verificata l’associazione si completa il piano inserendo nella piattaforma clonata un redirect 301 verso la piattaforma web originale causando una riduzione della reputation;
  • Tatling: Consiste nella rivendicazione del copyright, o rivendicando la paternità ad altri, segnalando al motore di ricerca il link del sito della vittima. Fino alla verifica della veridicità il motore di ricerca è costretto a prenderne atto segnalando il sito come spam/clone e riducendo la sua reputation;
  • Black social bookmarking: sfrutta la funzionalità di Google nell’indicizzare i contenuti dei social network. L’attaccante pubblica post identici tra loro con link della vittima, agendo tramite migliaia di profili social fake (o crackati). Questa operazione viene vista dal motore di ricerca come una “forzatura” al miglioramento del ranking, ottenendo proprio l’effetto contrario come “punizione” e causando così la penalizzazione del posizionamento;
  • Infect: sfrutta le vulnerabilità della piattaforma web della vittima pubblicando link esterni, malware e contenuti indesiderati. Al passaggio del bot il motore di ricerca interpreterà il contenuto come indesiderato fino ad arrivare a considerare il sito come “malevolo” declassandone la reputazione o inserendolo nella blacklist;
  • Denial of Service: è il classico “fuori servizio”, si procede alla saturazione delle risorse web della vittima causando problemi di traffico e disponibilità. I bot tra i parametri per il posizionamento valutano le informazioni di navigazione per determinare il posizionamento, tra cui la velocità con cui vengono visualizzate le pagine; se la piattaforma diventa eccessivamente lenta, fino a causare un timeout, a causa degli attacchi DoS oltre a causare disagio ai visitatori in consultazione, genera un cattivo posizionamento da parte del motore di ricerca.

In caso di infezione e presenza nelle varie blacklist, recentemente i browser e i plugin degli antivirus potrebbero anche segnalare “direttamente” il sito come “non sicuro”.

È quindi importante cercare di individuare l’origine degli attacchi per potersi redimere (redemption) dimostrando di non essere la causa delle attività e possibilmente identificando l’entità che ci sta danneggiando e procedere alla relativa citazione legale per danni.

Anche in questo caso è d’aiuto una polizza con copertura legale che risarcisca i costi sostenuti per le indagini e per il recupero della reputazione, ma è sempre più conveniente (per salvaguardare la propria cyber reputation) agire proattivamente e quindi operare come previsto dalle “buone pratiche” di sicurezza:

  • monitorare il proprio sito con gli strumenti forniti da Google Analytics, Google Webmaster Tools, Bing Webmaster Tools, così da verificare nel più breve tempo un eventuale calo di traffico e procedere con l’individuazione della causa;
  • in caso di attacco “Guilty by Association” è possibile disconoscere la proprietà del sito spam e rimuovere la penalizzazione;
  • se il sito è sotto attacco DoS e ce ne accorgiamo prima del provider, procedere ad attivare subito il servizio di hosting;
  • si può sempre richiedere la rimozione di contenuti dai social network e da tutti i siti colpiti dal Google Bowling;

In caso di attacco malware è ovviamente necessario essere dotati di una procedura di recovery che ripristini il sito ad uno stato ottimale per evitare il propagarsi della problematica. Inoltre se il sito risulta già penalizzato si possono attivare le richieste di riconsiderazione, ovviamente a discrezione del motore di ricerca, per essere sottoposti ad una nuova scansione da parte del bot e rimediando ai danni causati dalla penalizzazione.