De eerste vier of vijf resultaten in zoekmachines zijn gewild vastgoed. De meeste gebruikers scrollen nooit verder dan dat. Er bestaat zelfs een specifieke term voor het ontwerpen van een website om deze zo hoog mogelijk in de zoekresultaten te krijgen: search engine optimisation (zoekmachine-optimalisering, afgekort als SEO). Maar ook cybercriminelen weten dat men vaak verder niet verder zoekt dan de neus lang is.
Als men SEO gebruikt om malware hoog in de zoekresultaten te krijgen, dan is er sprake van SEO poisoning, het vergiftigen van zoekresultaten. Bij SEO poisoning is het doel om betrouwbaar uitziende websites die malware aan te bieden hoog in de resultaten van zoekmachines te krijgen. Microsoft identificeerde recent een netwerk, Storm-2561, dat gebruik maakt van SEO poisoning specifiek gericht op bedrijven. Het netwerk zet websites op die pretenderen VPN software aanbieden van populaire commerciële aanbieders als Ivanti en Cisco. Ze linken naar installatieprogramma's op GitHub. Eenmaal geïnstalleerd wordt om inloggegevens gevraagd, die vervolgens worden doorgestuurd naar de cybercriminelen.
Het SEO poisoning is een geavanceerde aanvulling op spoofing, technieken die bedoeld zijn om legitieme websites te imiteren om zo malware te verspreiden of toegang te krijgen tot inloggegevens. Het maakt misbruik van de gewoonte van internetgebruikers om niet verder te kijken dan de eerste paar zoekresultaten. Bij SEO poisoning gericht op commerciële partijen wordt bovendien ook misbruik gemaakt van het feit dat gebruikers vaak onder tijdsdruk staan, en daarom minder kritisch zijn bij het zoeken. Daarnaast maakt SEO poisoning ook misbruik van het inherente vertrouwen dat een link van een zoekmachine geniet.
Kritisch
Het is daarom belangrijk om kritisch te zijn wanneer u zoekt op het internet. Kijk kritisch naar de URL van de website. Bij SEO poisoning wordt vaak gebruik gemaakt van typosquatting - webadressen die overtuigend lijken maar kleine typefouten bevatten. Ook maken ze vaak gebruik van niet-conventionele domeinextensies. Daarnaast is het ook belangrijk om te kijken waar downloads gehost zijn. Commerciële aanbieders zullen geen gebruik maken van externe hosts als GitHub. Voor websites die ontwikkeld zijn om inloggegevens te stelen is het belangrijk om gebruik te maken van tweefactorauthenticatie (2FA).
Uiteindelijk is SEO poisoning een aanvalsstrategie die vooral gebruik maakt van menselijke luiheid en vertrouwen. Het is daarom belangrijk om alert te blijven over waar u inlogt en waar u uw software vandaan haalt. Kritisch zijn is nog steeds het belangrijkste wapen tegen dit soort vormen van cybercriminaliteit.