【SEO大作戰】黑客入侵知名WordPress網站 寄存木馬病毒下載連結避過攔截
SEO (Search Engine Optimization) 演算法,原本是讓搜尋引擎能準確為網民提供搜尋結果的技術,不過,黑客集團就反過來利用 SEO,將載有惡意軟件的網站提升至搜索結果前列位置。而 MenloLabs 研究員最新發現 REvil 及 SolarMarker 兩個網絡犯罪集團,正各自利用 SEO 排名散播木馬病毒,正在遙距工作的員工,必須加以提防。
所謂 SEO 排名,即是搜尋引擎在接收到網民的關鍵字搜尋時,根據相關程度而列出搜尋結果的優先次序。與 Googlead 的分別在於前者難以用廣告費獲得優先排名,黑客需要根據各種搜尋引擎的演算法條件,整理網站主題、網站內容、內外部連結、標題等因素,才能讓搜尋器自動向網民推薦該網站。
根據研究員的分析,今次兩個集團分別利用了以下技術提升含有木馬軟件的網站排名。首先黑客選擇了入侵使用 WordPress 的人氣網站,利用其 plug-in Formidable Forms 存在的已知漏洞達成入侵程序,並將超過 2,000 個與評價專業發展、運動心理評估問卷、工業衞生的主題及關鍵字混合其中,提升相關主題的搜尋排名。其次是黑客組織將木馬病毒偽裝成PDF文件,減低網民下載檔案的戒心,而且下載檔案的容量由 70MB 至 123MB 不等,超越一般網絡安全工具沙盒 (sandbox) 防禦所接納的數據容量範圍。另外,黑客亦利用知名的教育網站、政府網站散播病毒,避開防毒軟件的偵測。
要防止這類攻擊發生,Menlo Labs 研究員建議企業應禁止員工從不明網站下載可執行檔案,另外,網站瀏覽政策亦應阻止從.site或 .tk等網域上下載檔案,因為現時不少黑客都會將惡意檔案寄存在這些網域上。當然,最重要還是提升員工的安全意識,因為在遙距工作模式下員工上網缺乏安全保護,大部分情況下都只能靠員工自行評估風險。