2008年1月29日,据国外媒体报道,去年11月份曾使用Google搜索一些普通词条(如“微软Excel”或者“如何驯养小狗”等)的用户很可能遭受了一场网络攻击,这场攻击会使个人电脑与垃圾邮件发送者、密码盗取者和其它淫秽网站相连接。
从11月24日开始的不到一周时间内,攻击者上传了4万多个带有恶意软件的网页和数千个普通的搜索词条。然后,他们利用已感染恶意代码的电脑(即所谓的botnet)连接互联网,将病毒散布到博客评论或其它地方,利用这种方法来提高受感染网页在搜索结果中的排名。其排名往往可升至首页。
点击便遭受攻击
这些恶意网站不含有任何有用信息。相反,点击搜索结果页面中的链接就会致使你的电脑遭到攻击。如果攻击者在你的电脑程序中找到一个突破口,恶意软件就会立即自动安装。
安全公司Sunbelt Software的总裁兼首席执行官阿莱士·埃克贝瑞(Alex Eckelberry)说:“这是一场大规模的攻击波。”这场攻击综合利用了多种技术,首先提高搜索结果的页面排名,然后向大量用户发送恶意代码或恶意软件。
Sunbelt的研究员亚当·托马斯(Adam Thomas)正好目睹了这种攻击。当时他输入了“netgear ProSafe DD-WRT”词条来搜索路由器硬件。幸好,训练有素的他发现搜索结果第一页中有些可疑的网站。输入其它词条也会找到大量易使电脑遭受攻击的网站。
不过,现在Google搜索结果当中已经找不到这些具有攻击性的网站了,埃克贝瑞和专家们认为Google封锁了这些特定的域名。然而,Google并没有表示其采取了何种措施来阻止这场攻击,以及是否采取了防止攻击再次发生的措施。
针对Google发动攻击
这场范围广、有计划且技术成熟的攻击有三个显著特点。第一就是攻击者纯熟地利用了“搜索引擎优化”技术,即“Google炸弹”(Google bomb),以此来提高受病毒感染网页的Google排名。连埃克贝瑞都承认,这些攻击者在提高网页排名方面做得非常出色。
第二,受感染网站在页面上使用了特殊的JavaScript编码,以防止通过用户通过其它搜索引擎链接到此网站,也就是只有用Google搜索的用户才有可能遭受攻击。
埃克贝瑞表示,这是针对Google发动的攻击。不过,专家们并不知道针对Google用户发动攻击的原因。过去曾有人在受到威胁时发动针对特定网站和公司的攻击。
第三,这些人为提升到显著位置的网页使用了特定的编码,如果输入一些安全研究人员常用的词条,那么它就不会显示出来。如埃克贝瑞最近使用“inurl”和“site”搜索就无法看到这些网页。
尽管Google采取了相应措施来防止其搜索排名被改动,但在秘密网络攻击中使用“搜索引擎优化”技术的黑客越来越多,而且他们不仅仅攻击个人电脑。WhiteHat Security的负责人杰雷米亚·格罗斯曼(Jeremiah Grossman)称,美国前副总统戈尔的网站最近就被黑客添加了一个只能用网站源代码才能看到的链接,点击链接会进入一个卖药的网站。格罗斯曼称,该网站只是要在线卖药而已,因为在线销售“伟哥”一个月可以获得5万美元的收入。
如何安全搜索
尽管此次攻击手段高明而且有效,但安全专家表示只要小心谨慎就没有必要停用Google。最重要的是:不断更新你的程序。安全软件生产商Exploit Prevention Labs的总裁罗杰·汤普森(Roger Thompson)表示,含有攻击代码的网站利用程序包来突破已知的程序漏洞。用户应当对微软的Windows操作系统、Mozilla的Firefox浏览器、Apple的QuickTime播放器等重要程序进行不断更新。
即使你的软件全部更新到最新状态也不能掉以轻心。在无法利用程序漏洞进行攻击时,攻击者常常会利用一些小把戏。Sunbelt在其公司博客上揭露了一种常见的攻击方式,即诱使用户安装一个虚假的视频解码器,然后再利用电脑漏洞进行攻击。另外,在点击搜索结果时如果仔细一点就会发现一些奇怪的网页链接,如“leuwusxrijke.cn/769.html”,或者会发现网页出现一些逻辑不通的文字。
你也可以下载McAfee的SiteAdvisor或Exploit Prevention Labs的LinkScanner Lite来找出可能使电脑置于危险的网站。主要的商用安全软件套装也提供浏览器防护措施。另外,对你点击的网页和网站一定要小心观察,这样就会避免遭受攻击。正如埃克贝瑞所说:“我是一个Google迷,我不会因此攻击事件而停用Google。”