На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»

«Один спамерский домен получает большую долю всего поискового трафика Google в стране».

На норвежский поиск Google несколько дней идёт масштабная атака: на первых страницах выдачи по практически любым запросам велика вероятность встретить датский спам-домен havfruen4220.dk, утверждает веб-разработчик Алекс.

На домене настроена переадресация: при переходе пользователь попадает на мошеннические сайты, которые выдают себя за норвежские новостные ленты или предлагают «быстро заработать в интернете».

Обычно Google фильтрует подобные сайты и не позволяет переходить на них, не говоря уже про вывод на первые страницы выдачи. Но мошенникам удалось обмануть алгоритмы с помощью картинки и системы редиректов, утверждает веб-разработчик.

Что сделали мошенники

Алекс проверил часть популярных и характерных для Норвегии запросов и каждый раз обнаруживал в топе havfruen4220.dk. Например:

  • Запрос крупнейшей сети продуктовых в Норвегии REMA 1000 — на пятой странице.
На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»
  • По запросу на норвежском «как часто нужно принимать душ» — на первой странице поиска.
На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»
  • Один из главных запросов в Google по фразе «как вычислить» на норвежском языке — «как вычислить процент». Здесь спам-сайт на первой странице поиска.
На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»
  • На запрос «Как часто Apple обновляет iOS» — сразу 9 и 10 результаты поиска.
На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»

Всего по запросу havfruen4220.dk выдаётся 9,95 млн результатов — причем большинство из них новые и созданы за последние несколько дней, отмечает разработчик.

На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»

Для их генерации мошенники брали данные из множества источников: Twitter, новостные сайты, случайные сайты или их комбинация. Есть и другие похожие сайты — они используют датский домен .dk и обслуживаются Cloudflare.

Если страницу спам-сайта пытается открыть поисковый бот Google или пользователь по прямой ссылке, она маскируется и показывает карикатуру со «Смешариками».

Эту картинку видит пользователь при заходе на сайт мошенников
Эту картинку видит пользователь при заходе на сайт мошенников

Но если пользователь посещает одну из страниц спам-сайта, вместо её содержимого активируется js-скрипт, который перенаправляет на мошеннические сайты.

var b = "https://havfruen4220.dk/3_5_no_14_-__1627506246/gotodate"; (/google|yahoo|facebook|vk|mail|alpha|yandex|search|msn|DuckDuckGo|Boardreader|Ask|SlideShare|YouTube|Vimeo|Baidu|AOL|Excite/.test(document.referrer) && location.href.indexOf(".") != -1) && (top.location.href = b);

Некоторые из них маскируются под популярные норвежские новостные издания, статьи в которых «рассказывают секрет богатства» норвежской знаменитости. Обычно текст заканчивается финансовой схемой с криптовалютами.

На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»

Другие представляют собой мошеннические сайты, посвященные быстрому заработку в интернете с «временно бесплатным» доступом. Они тоже рассказывают о том, как разбогатеть с помощью криптовалют.

На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками»

Почему удалось обмануть Google и как компания может это исправить

У разработчика есть несколько предположений, как удалось обойти защиту Google:

  • В поисковой выдаче страницы havfruen4220.dk «выглядят достаточно прилично», ими легко заинтересоваться.
  • Возможно при заходе с IP-адреса сканера Google мошенники показывают настоящее содержимое, но разработчик «притворился» Google и получил ту же картинку с главной страницы havfruen4220.dk.
  • Когда пользователь открывает страницу спам-домена, мошенники блокируют возможность вернуться в Google. Таким образом они «подсказывают» поисковым алгоритмам, что пользователь нашёл нужную информацию у них на сайте — так как не вернулся обратно в поисковую выдачу. Алгоритмы считают сайт «полезным» и ранжируют его ещё выше.
  • После того, как пользователю заблокировали возможность вернуться в выдачу, ему приходится искать информацию заново. Но он может забыть точную формулировку своего запроса и ищет нужный сайт уже по другой фразе.

Стоит бить тревогу, если какой-то домен взлетает так высоко и так быстро: сейчас havfruen4220.dk может быть самым популярным доменом в поиске Google в Норвегии, говорит разрабочик.

По его мнению, чтобы исправить ситуацию, Google может регулярно анализировать сайты через «обычные» IP и user agent, а не фирменные. Это позволит проверить, что сайт показывает Google и обычным пользователям одинаковое содержимое сайта.

8585
56 комментариев

бонжур йопта 

68

Круто заклоачили. И SEO тут, и арбитраж трафика, и новые технологии. Блеск!

45

Открыт новый уровень)

4

"Когда пользователь открывает страницу спам-домена, мошенники блокируют возможность вернуться в Google. Таким образом они «подсказывают» поисковым алгоритмам, что пользователь нашёл нужную информацию у них на сайте — так как не вернулся обратно в поисковую выдачу. Алгоритмы считают сайт «полезным» и ранжируют его ещё выше." 

Как это реализовать?

27

Тоже интересует этот вопрос.

1

В смысле блокируют переход назад? Сайт из поиска открывается же в новой вкладке/окне. Закрыл вкладку и серфиш дальше. Или я не догоняю?

Обычный редирект решал эту проблему с 2003 года =)