利用SEO中毒(SEO Poisoning)導向使用者到詐騙網站
- 發布單位:TWCERT/CC
- 更新日期:2025-01-14
- 點閱次數:3729

近期觀察發現搜尋引擎最佳化中毒(SEO Poisoning)攻擊事件增加,當使用者搜尋特定關鍵字和網址時,可發現大量與賭博和投資相關可疑內容。初步調查,相關內容疑似源自攻擊者入侵合法網站,並透過操控搜尋引擎排名,將惡意網站推至搜尋結果頂端,誘導使用者誤點連結,最終可能導致下載惡意程式或洩露個人敏感資料。
SEO Poisoning 是一種通過操控搜尋引擎排名的攻擊手法,攻擊者透過操控搜尋結果,當使用者搜尋特定關鍵字或網站時,會優先顯示與攻擊目的相關的轉址廣告,將使用者引導至惡意網站,進一步散佈惡意軟體或進行網路釣魚。常見的攻擊手法包括建立連結農場、植入惡意廣告、攻擊合法網站,以及採用內容遮蔽技術等。
圖1:SEO Poisoning 操控搜尋引擎排名。 資料來源:TWCERT/CC整理
利用SEO Poisoning導向使用者到詐騙網站的攻擊流程可以分為以下幾個步驟:
1.網站入侵與程式碼植入
攻擊者首先尋找合法網站的漏洞,將惡意程式碼上傳至受害網站,或直接在正常網頁中嵌入惡意腳本。這樣做的目的是操控訪客流量,使其被引導至攻擊者控制的網站。
2.依訪問來源動態調整行為
當使用者連接至受駭網站時,惡意程式碼會根據HTTP標頭中的資訊進行導向處理:
- 直接訪問網站:若使用者直接輸入網址,且標頭中的User-Agent、Referer和URI不包含特定關鍵字,則網站將顯示原始正常內容,讓攻擊行為不易被察覺。
- 透過搜尋引擎進入:使用者透過Google或YisouSpider搜尋引擎點擊結果進入,程式會檢測User-Agent或Referer是否包含Googlebot或YisouSpider等特徵,或URI中是否包含特定副檔名(如.aspx、.apk、.mljt、lbjt、aajt等)。當符合條件時,使用者將被重導向至中繼站,並可能看到詐騙廣告或連線至釣魚網站。
3.後門植入與中繼站更新
攻擊者在受駭網站中預留後門,以確保能隨時更新中繼站的惡意內容。這樣可以進一步擴大攻擊範圍或針對特定目標進行調整。
圖2:SEO Poisoning導向使用者到詐騙網站的攻擊流程。 資料來源:TWCERT/CC整理
防護措施建議如下:
1.定期檢查網站內容:定期掃描網站,檢查是否存在漏洞或被植入惡意程式碼,並留意網頁內容中是否有可疑的連結或被轉址的情況。如果發現網站已受到SEO中毒攻擊,可透過Google Search Console的「移除網址」功能,將含有異常的搜尋結果從Google搜尋中移除。
2.使用可信賴的網站工具及套件:若網站使用額外的套件來增強功能,應確保這些套件來自可信的開發者,並定期追蹤或訂閱更新資訊,確保及時修補安全性漏洞。
3.強化網站安全性:部署網站安全防護設備,以有效識別並阻擋惡意攻擊,並建議限制特定網頁的存取來源,僅允許授權用戶及信任網段進行存取,以減少潛在風險,防止未授權訪問並避免敏感資料洩露。