🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
ذكاء التهديدات
15
mins read

The Faux SEO Spiderweb: استكشاف كيف أفسدت تقنية تحسين محركات البحث ذات القبعة السوداء مساحة الإنترنت الهندية

تعمل أساليب تحسين محركات البحث ذات القبعة السوداء على تعريض مساحة الإنترنت الهندية للخطر، حيث يستغل مجرمو الإنترنت التسمم بمحركات البحث للتسلل إلى مواقع الويب الحكومية والتعليمية والمالية. يكشف هذا التحليل المتعمق كيف تتلاعب الجهات الخبيثة بتصنيفات البحث باستخدام حشو الكلمات الرئيسية والإخفاء والربط الخلفي لإعادة توجيه المستخدمين غير المرتابين إلى منصات الألعاب والاستثمار الاحتيالية. ويسلط التقرير الضوء على الحجم المقلق لهذا الخداع الرقمي، ويحث السلطات على تعزيز الإجراءات الأمنية والمستخدمين على البقاء يقظين ضد نتائج البحث التي يتم التلاعب بها. ابق على اطلاع وقم بحماية تجربتك على الإنترنت من تهديدات تحسين محركات البحث ذات القبعة السوداء. 🚨 #CyberSecurity #SEO

نويل فارغيز
February 14, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

تأثرت مواقع الحكومة الهندية والمواقع التعليمية والعلامات التجارية المالية المعروفة على نطاق واسع، بتسمم تحسين محركات البحث، مما أدى إلى إعادة توجيه حركة مرور المستخدمين إلى مواقع الويب البسيطة التي تروج لألعاب رومي وغيرها من الألعاب التي تركز على الاستثمار. في هذه النصيحة، سنناقش التقنيات المستخدمة لتضليل مستخدمي الإنترنت الهنود، عند إجراء عمليات بحث لمسح استفساراتهم.

نظرة عامة

في تطور حديث، اكتشف المحللون في CloudSek الاستخدام السيئ للغاية لتسمم محرك البحث ذو القبعة السوداء من قبل الجهات الفاعلة في مجال التهديد، لدفع مواقع الويب التي تركز على Rummy and Investment إلى المستخدمين المطمئنين. تشمل الأهداف ذات الاهتمام مواقع الويب التي تحتوي على .gov.in ، .ac.in نطاقات المستوى الأعلى واستخدام حشو الكلمات الرئيسية التي تشير إلى العلامات التجارية المالية المعروفة في الهند. تأثرت أكثر من 150 بوابة حكومية، معظمها تنتمي إلى حكومات الولايات، على نطاق واسع.

ما هو تسمم محرك البحث؟

يشير تسمم محرك البحث إلى الممارسات الضارة التي تهدف إلى التلاعب بنتائج محرك البحث للترويج للمحتوى الضار أو المخادع. عادةً ما يتم استخدام هذه التكتيكات من قبل مجرمي الإنترنت لإعادة توجيه المستخدمين إلى مواقع الويب الاحتيالية أو توزيع البرامج الضارة أو شن هجمات التصيد الاحتيالي.

تقنيات اللعب:

  • التلاعب برأس المُحيل - التلاعب برأس المُحيل هو أسلوب تستخدمه الجهات الفاعلة الضارة لإخفاء مصدر الطلب. يمكن القيام بذلك باستخدام إدخال البرنامج النصي في الكود المصدري لموقع الويب. تكتيك يمكن تصنيفه تحت الإخفاء.
  • إخفاء الهوية - الإخفاء هو أسلوب يعرض فيه موقع الويب محتوى مختلفًا لمحركات البحث والزوار من البشر. الغرض من إخفاء الهوية هو خداع محركات البحث والتلاعب بالتصنيفات من خلال تقديم محتوى تم تحسينه من أجل المؤكد محركات البحث ولكن غير مرئية للمستخدمين، باستخدام بعض وكيل المستخدم.
  • حشو الكلمات الرئيسية: يستهدف مجرمو الإنترنت الكلمات الرئيسية أو الأحداث الشائعة (مثل الأخبار العاجلة والمنتجات الشائعة) ويخلقون مواقع ويب ضارة محسّنة لتحتل مرتبة عالية في نتائج البحث.
  • Backlinking - يشير Backlinking in blackhat SEO إلى ممارسة الحصول على روابط خلفية من خلال وسائل التلاعب من أجل تعزيز تصنيفات محرك البحث لموقع الويب بشكل مصطنع. يمكن أن يشمل ذلك تكتيكات مثل زراعة الروابط.
  • ثغرات النظام الأساسية - يمكن للجهات الفاعلة في مجال التهديد استغلال نقاط الضعف الأساسية في أنظمة مثل استضافة محتوى الويب الخاص بـ CMS لإنشاء أدلة واستضافة محتوى عليها مثل الملفات التي تحتوي على .shtml و.html ملحقات. ومع ذلك، لم نتمكن من تحديد الثغرة الأمنية الدقيقة التي يتم استغلالها.

كيف تظهر ألعاب رومي والألعاب التي تركز على الاستثمار في الصورة؟

تتمتع ألعاب Rummy بتاريخ غني ونمت شعبيتها بشكل كبير في الهند، سواء خارج الإنترنت أو عبر الإنترنت. أدى ظهور منصات الألعاب عبر الإنترنت إلى زيادة شعبيتها. من خلال الوصول إلى الهواتف الذكية والإنترنت بأسعار معقولة وراحة اللعب من المنزل، وجدت ألعاب rummy جمهورًا كبيرًا في الهند.

بالإضافة إلى ذلك، فإن المنصات التي تقدم جوائز نقدية وبطولات جعلتها أكثر جاذبية. ومع ذلك، في حين أنه يوفر الترفيه والفرص للفوز، لا يمكن تجاهل المخاطر المالية. يبالغ العديد من اللاعبين في تقدير قدراتهم ويستمرون في المراهنة/الاستثمار بمبالغ أكبر، مما يؤدي إلى خسائر. غالبًا ما تؤدي الرغبة في استرداد الخسائر، والمعروفة باسم «مطاردة الخسائر»، إلى حبس اللاعبين في دائرة الرهانات المتزايدة.

التعبير عن القلق على وسائل التواصل الاجتماعي

منذ أن تم تسليط الضوء على سيناريو الهجوم المتكشف على X (Twitter سابقًا) العام الماضي، ظهرت حفنة من المنشورات المماثلة على منصات مثل Linkedin و X ومنفذ الأخبار تيك كرانش.

الشكل 1 - لينكد إن بوست - مصدر

الشكل 2 - X بوست - مصدر

الشكل 3 - مقالة تك كرانش - مصدر

التحليل الفني

التلاعب المتشابك برأس المرجع وإخفاء وكيل المستخدم: استخدام التقنية في الوقت الفعلي

يُظهر فحص شفرة المصدر، على أحد مواقع الحكومة الهندية المتأثرة، مقتطفًا من جافا سكريبت. وظيفة مقتطف الشفرة كما يلي: -

  1. يقوم باسترداد مُحيل المستند الحالي (أي عنوان URL للصفحة المرتبطة بالصفحة الحالية) وتحويله إلى أحرف صغيرة.
  1. يقوم بإعداد مصفوفة تحتوي على سلاسل من وكلاء المستخدم (في هذه الحالة، «iPhone». و «Android».).
  1. يتم تشغيله عبر المصفوفة للتحقق مما إذا كان المرجع يحتوي على أي من سلاسل محرك البحث المحددة.
  1. إذا تم العثور على تطابق وتم تحديد المستخدم على أنه موجود على جهاز محمول (باستخدام تعبير عادي يتحقق من navigator.userAgent)، فإنه يعيد توجيه المستخدم إلى»https [:] //yono-allslots [.] com/«.

في هذه الحالة،»https [:] //yono-allslots [.] com/«يعيد التوجيه إلى indorummy [.] net، وهو موقع إلكتروني آخر لألعاب الرومي.

الشكل 4 - مقتطف شفرة جافا سكريبت المميز باستخدام معالجة رأس المرجع

لاستكشاف ما إذا كان هذا ممكنًا حقًا، تم إجراء بحث باستخدام الأحمق موقع «رومي»: *.gov.in، وتم تحليل منطق البرنامج النصي باستخدام أدوات مطوري Google وتغيير نوع الجهاز.

الشكلان 5 و 6 - يؤدي تعديل وكيل المستخدم باستخدام أداة أدوات المطور من Google إلى عرض صفحتي ويب مختلفتين بعد النقر على موقع ويب حكومي متأثر

كان السيناريو يعمل على النحو المنشود ويمضي في توضيح كيفية عمل الجهات الفاعلة في مجال التهديد الخفي، بطريقة أكثر مما تراه العين.

عند التحقق من البرنامج النصي، من الواضح أنه تم إجراء استثناء للمتصفحات المستندة إلى سطح المكتب، حيث يفضل المستخدمون عرض صفحة خطأ 404، عند النقر على نتائج تم التلاعب بها بشكل مماثل. هذه حالة إخفاء وكيل المستخدم في الممارسة.

في حالات أخرى، يكون الأمر أكثر مباشرة، حيث يتم تحميل الصفحة المقصودة التي تصور موقع rummy المعني بعد أن تصل أداة التحميل المسبق إلى 100٪. يتم المساعدة في ذلك باستخدام إعادة التوجيه واستخدام جافا سكريبت وينعكس نفس المحتوى، بغض النظر عن وكيل المستخدم.

الشكل 7 - مثيل إعادة توجيه المُحيل في الكود المصدري لموقع الويب

الشكل 8 - يقوم برنامج Preloader على الصفحة المقصودة بإعادة توجيه المستخدم إلى موقع ويب استثماري

الشكل 9 - فحص الطلب يسلط الضوء على أن المُحيل كان موقعًا حكوميًا

كيف يتم حقن التعليمات البرمجية في مواقع الويب؟

الجواب المحتمل على ذلك هو استغلال وظيفة تحميل الملفات داخل مواقع الويب جنبا إلى جنب مع حقن كود جافا سكريبت، ربما باستخدام CSS المخزنة في هذه العملية. نذكر هذا مع وسيلة الثقة.

كما ذكرنا أعلاه، أثناء تحليلنا عند تحليل المزيد من مواقع الويب، تبين أنه تم تحميل وفرة من الملفات ذات الامتدادات «.shtml» و «.html» و «.aspx» على ما يبدو إلى أدلة غير موجودة، داخل مواقع الويب المتأثرة (المشار إليها بواسطة عنوان URL لنتائج البحث). ومع ذلك، لم نتمكن من تحديد الثغرة الأمنية الدقيقة التي يتم استغلالها.

الشكل 10 - يُظهر عنوان URL المميز وجود ملف، مع تحميل ملحق «.shtml» إلى خادم الملفات

كما نعلم، فإن ملفات.shtml، أو ملفات Server Side Includes (SSI)، هي ملفات HTML تتضمن أوامر البرمجة النصية من جانب الخادم التي تتم معالجتها بواسطة خادم الويب قبل إرسالها إلى متصفح الويب الخاص بالعميل. يمكن أن يشير هذا إلى أنه يمكن إدخال رمز إعادة التوجيه في هذه الملفات

تتم إزالة هذه الملفات عند الإبلاغ - من خلال استخدام أداة مشرفي المواقع من Google، ولكن يتم تخزينها مؤقتًا وتظهر كنواتج بواسطة آلية فهرسة Google، والتي غالبًا ما تعكس محتوى موقع الويب الذي تمت إعادة توجيهه في نتائج البحث.

الشكل 11 - نتائج البحث عن أصول حكومة ولاية كيرالا، والتي تم تثبيتها بمحتوى من مواقع ألعاب رومي

حشو الكلمات الرئيسية: استخدام التقنية في الوقت الحقيقي

في حالة معينة من التحقيق في استفسارات العملاء، اكتشفنا سلسلة من مواقع البريد العشوائي وضع الكلمات الرئيسية لبنك القطاع العام الوطني وتطبيقه المصرفي في الصفحة الأولى للترويج لألعاب الرومي.

عند التعمق في هذه المواقع، تم اكتشاف أن مواقع الويب تستهدف المزيد من الشركات الهندية في القطاع المالي واستخدمت نموذج مواقع الويب المماثلة الأخرى، الموجهة نحو الترويج لألعاب الكازينو الإندونيسية.

الشكل 12 - لقطة شاشة تسلط الضوء على تشابه استخدام القالب

مع مسار التقدم النهائي، إن لم يتم إيقافه في مساراته، يمكن أن يلوح خطر خداع العملاء في الأفق على المنظمات الأخرى والصناعات المتنوعة الأخرى

محتوى موقع الويب يستهدف مصطلحات البحث الرئيسية

بأخذ لقطة الشاشة الواردة أدناه كمثال، يمكننا أن نرى أن الكلمات الرئيسية مثل طلب القرض والبطاقة، التي تستهدف الاستفسارات المصرفية قد تم وضعها في صفحة الويب، مما جعل المستخدمين يصلون إلى مثل هذه الصفحات غير الموثوق بها ويتابعون رؤية النص الذي يجذب المستخدمين للمشاركة في ألعاب رومي.

حشو الكلمات الرئيسية: مصدر هذا النص هو الإعلانات الرقمية التي يطلبها البنك المعني، والنص الترويجي من مواقع الويب الخاصة به، ومجموعة من الاستفسارات الشائعة من مجموعة العملاء، على سبيل المثال، تلقي الاستفسارات حيث يسعى العملاء للحصول على قروض شخصية فورية بأسعار فائدة منخفضة.

الشكل 13 - صفحة ويب تحتوي على كلمات رئيسية وعبارات بحث تستهدف البنك الوطني، مع الترويج لألعاب الرومي

في حالة معينة، تم اكتشاف رسالة نموذجية تدفع روابط التصيد الاحتيالي من «Mobile SMS» على صفحة ويب.

الشكل 13 - إدراج رسالة التصيد الاحتيالي على صفحة الويب، كجزء من حشو الكلمات الرئيسية

تنشئ نطاقات انتحال الهوية مسارات ويب تستهدف الشركات، كما تم تصميم عناوين الصفحات لتتناسب مع اسم الشركة

الشكل 14 - لقطات شاشة تسلط الضوء على أمثلة لأسماء العلامات التجارية المستخدمة للحصول على نقرات من عنوان الصفحة ومحتوى صفحة الويب

فيما يلي مثال على حشو النص، باستخدام عنوان نطاق فرعي تابع لحكومة Telengana، على صفحة مشابهة للترويج لألعاب rummy.

الشكل 15 - لقطة شاشة تسلط الضوء على حشو الكلمات الرئيسية لعنوان النطاق الحكومي

صفحات الويب المترابطة: يُشار إليه باسم «Link Farms»، ويتضمن ذلك إنشاء صفحات ويب متعددة مرتبطة ببعضها البعض لزيادة الروابط الواردة وتعزيز تصنيف موقع الويب. بعد إجراء المزيد من الفحوصات، تبين أن محاولات لعب هذه الألعاب تؤدي إلى موقع ويب يسمى «teenpattionline.game»/teenpatti.com، يقدم مجموعة من الألعاب التي تتضمن المراهنة للحصول على مكافآت.

داخل هذه الألعاب

تتبع ألعاب رومي هذه، المجمعة تحت أسماء مختلفة، نهجًا يشبه عمليات الاحتيال الاستثمارية، كما هو موضح أدناه:

الشكل 16 - الأحداث الرئيسية التي تمت مواجهتها أثناء لعب ألعاب Rummy، خاصة تلك غير الموثوق بها

بعد إجراء المزيد من الفحوصات، تبين أن محاولات لعب هذه الألعاب تؤدي إلى موقع ويب يسمى»خط تربية المراهقين. لعبة«، حيث تقدم مجموعة من الألعاب التي تنطوي على المراهنة للحصول على مكافآت.

لماذا يتم إغراء المستخدمين بهذه الألعاب؟

المزايا التي تقدمها الألعاب

1. مكافأة الإحالة: مقابل كل إحالة، يتلقى المستخدم مبلغًا رمزيًا يتراوح من 20 إلى 80 روبية، مما يؤدي إلى جذب المزيد من الأفراد إلى أعتاب المقامرة والخراب المالي المحتمل. لا يتم احتساب عمليات تسجيل الدخول الجديدة من نفس الجهاز ضمن هذا.

الشكل 17 - نافذة اللعبة المنبثقة التي تشجع المستخدمين على إحالة المنصة إلى أفراد آخرين مقابل مكافآت مالية

2. مكافأة تسجيل الدخول: تقدم هذه الألعاب مكافآت تافهة لعمليات تسجيل الدخول اليومية، مما يجعلها فرصة مثيرة للاهتمام لجذب انتباه الناس وحثهم على الإنفاق يوميًا على الألعاب

الشكلان 18 و 19 - لقطات شاشة من بوابة اللعبة تسلط الضوء على متطلبات استثمار الأموال أولاً، للحصول على مكافآت

هيكلة قاعدة مستخدمي VIP

هذا هو المفهوم الذي نراه في معظم نماذج Pig Butchering/Ponzi Scam، حيث يتم تصنيف المستخدمين الذين يميلون إلى الاستثمار أكثر للحصول على مكافآت أفضل، ضمن مستويات VIP. كلما ارتفع مستوى VIP الذي تم تصنيفك تحته، زادت فرص تعرض الفرد للخداع

الشكل 20 - Game Popup يسلط الضوء على فوائد الترقية إلى مستوى أعلى، لتلقي المزيد من المكافآت الإضافية

الارتباط بخدع التنبؤ بالألوان

أثناء إجراء المزيد من التحليل، يمكن أن يكون هناك طريق جديد لخداع الأفراد من أجل الحصول على المال، بمساعدة ألعاب التنبؤ بالألوان.

من بحثنا السابق حول هذا النوع من الاحتيال، توفر الألعاب والنطاقات التي تنتحل شخصية الشركات البارزة فرصًا للمراهنة والحصول على مكافآت مالية للتنبؤ باللون المناسب.

تشبه عملية الاحتيال مخطط Ponzi/الهرمي، حيث يتم استخدام الأموال التي يتم جمعها من اللاعبين/المستثمرين الجدد لدفع الأرباح للمتبنين/المستثمرين الأوائل.

ملاحظة: إن إمكانية الترويج لمثل هذه الألعاب في المستقبل، يتم ذكرها فقط كاحتمال، مع وجود هذه الألعاب وطبيعتها الاحتيالية ذات صلة والقدرة على سحب مبالغ كبيرة من المال.

الشكل 21 - مثيل حشو الكلمات الرئيسية لألعاب التنبؤ بالألوان

التحديات مع صفحات SEO غير المرغوب فيها

  • تعد إزالة صفحات تحسين محركات البحث غير المرغوب فيها أمرًا صعبًا نظرًا لحجمها الهائل والسرعة التي يتم إنشاؤها بها. يعمل العديد منها عبر مجالات متعددة، مما يجعل من الصعب تتبعها والقضاء عليها تمامًا.
  • تعاني المؤسسات من تحسين محركات البحث غير المرغوب فيها لأنها تحول حركة المرور عن المحتوى الشرعي، مما يؤثر على الرؤية والإيرادات.
  • يمكن أن تؤدي الإيجابيات الكاذبة في اكتشاف الرسائل غير المرغوب فيها إلى وضع علامة على المحتوى الشرعي عن طريق الخطأ، مما يؤدي إلى مخاطر إضافية. غالبًا ما تكون الإجراءات القانونية ضد مشغلي البريد العشوائي بطيئة ومكلفة، مع ضمان ضئيل للنجاح. علاوة على ذلك، يصبح الحفاظ على الثقة مع المستخدمين أمرًا صعبًا لأن البريد العشوائي يقوض سمعة العلامة التجارية ومصداقيتها

استكشاف روابط الروابط الخلفية

خلال تحليلنا لأحد مواقع ألعاب rummy المشبوهة، أي indorummy [.] net، تبين أن موقع الويب يحتوي على روابط لاستخدام خدمات الربط الخلفي. بالإضافة إلى ذلك، تم العثور على موقع الويب ليكون مدرجًا بين مواقع أخرى على مواقع Link Farm.

الشكل 22 - تم العثور على روابط خلفية لـ indorummy [.] net - المصدر مُحسِّن محركات البحث

لتوفير المزيد من السياق، إليك كيفية مساعدة مزارع الروابط هذه لمواقع الويب الصغيرة، أو أي موقع ويب مخادع يستخدم خدماته: -

تعزيز تصنيفات البحث: -

  • تعد الروابط الخلفية عامل تصنيف رئيسي في خوارزمية Google. يمكن أن يؤدي وجود العديد من الروابط من نطاقات مختلفة إلى خداع محركات البحث للاعتقاد بأن «indorummy.net» هو موقع موثوق.
  • يمكن أن يؤدي ذلك إلى تعزيز التصنيفات بشكل مصطنع في صفحات نتائج محرك البحث (SERPs).

التلاعب بسلطة المجال (DA):-

  • تأتي بعض الروابط من مواقع تقدم «DA Ancread Services»، مما يشير إلى أنه تم شراء الروابط الخلفية.
  • تهدف هذه الخدمات إلى تضخيم سلطة نطاق موقع الويب (DA) باستخدام روابط خلفية غير مرغوب فيها.

زيادة الفهرسة وتكرار الزحف

  • تكتشف محركات البحث مواقع ويب جديدة من خلال الروابط الخلفية.
  • تجبر مزارع الروابط محركات البحث على الزحف إلى «indorummy.net» والمواقع المشابهة بشكل متكرر.
  • يمكن أن تساعد بعض مواقع الإحالة في توليد حركة إحالة وهمية.

الشكل 23 - تردد الربط الخلفي - المصدر: Neilpatel.com - محلل تحسين محركات البحث

رؤى من الرسم البياني: -

  • النمو المفاجئ: في حوالي نوفمبر 2024، كان هناك ارتفاع كبير في كلا المقياسين:
  • زادت الروابط الخلفية إلى حوالي 33
  • نمت نطاقات الإحالة إلى ما يقرب من 15
  • المستوى المستدام: بعد الارتفاع، يبدو أن كلا المقياسين قد استقرا عند مستوياتهما الأعلى الجديدة حتى فبراير 2025، مما يشير إلى أن النمو لم يكن مجرد حالة شاذة مؤقتة.
  • النمو الموازي: حدث النمو في الروابط الخلفية ونطاقات الإحالة في وقت واحد، مما يشير إلى جهد منسق لتحسين محركات البحث أو حدث مهم أدى إلى تشغيل مواقع متعددة للربط بالمحتوى في وقت واحد.

تم العثور على عنوان Telegram الشائع مرتبطًا داخل مواقع الويب هذه لاستشارة Backlinking. أصبح المقبض غير نشط منذ ذلك الحين. بالإضافة إلى ذلك، الخدمات على منصة العمل المستقل «فايفر» تم ربطها بهذه المواقع. مصداقية هذه القوائم مشكوك فيها.

الشكل 24 - إعادة ربط إعلان جهة الاتصال

الشكل 25 - ربط الإعلانات مرة أخرى على Fiverr

البنية التحتية

باستخدام indorummy [.] net و vc99 [.] net، من بين المتغيرات الأخرى التي تظهر على المتصفحات عادةً من النتائج المسمومة، امتد تحقيقنا إلى سجلات DNS الخاصة بهم.

ما يثير القلق بشأن هذه الطريقة التي تستخدمها الجهات الفاعلة في التهديد هو الحجم الهائل لبنيتها التحتية. كنا قادرين على تحديد 12 عنوان IP مرتبطًا، مع نطاقات متعددة تحتوي على بادئة «bet» أو «rummy» أو «vip»، مما يشير إلى منصات rummy/Investment ويستغل أموال الأشخاص التي يكسبونها بشق الأنفس.

ملاحظة: يتم استخدام النطاق 104.21.x.1 بواسطة Cloudflare كجزء من خدمة حماية البروكسي وDDoS. عندما يستخدم موقع ويب Cloudflare، تشير السجلات A عادةً إلى عناوين IP الخاصة بـ Cloudflare بدلاً من الخادم الفعلي لموقع الويب. تقوم Cloudflare بعد ذلك بتوجيه حركة المرور إلى الوجهة الحقيقية أثناء تصفية الطلبات الضارة.

يشير وجود سجلات A متعددة في نفس نطاق IP إلى أن المجالات تستخدم عناوين IP متعددة لموازنة التحميل أو التكرار أو تحسين الأداء. على سبيل المثال، تم تسليط الضوء على المجالات التي تشترك في نفس نطاق IP في الجدول أدناه: -

الجدول 1 - تفاصيل ASN ومواقع الويب المرتبطة بحملة blackhat SEO

IP ASN Example Domain
104.21.16.1 AS13335 (CloudFlare) rummydeity[.]cc
104.21.32.1 AS13335 (CloudFlare) rummymost[.]com
104.21.48.1 AS13335 (CloudFlare) rummyhowtoplay[.]com
104.21.64.1 AS13335 (CloudFlare) rummyvibe[.]com
104.21.80.1 AS13335 (CloudFlare) rummyjax.in
104.21.96.1 AS13335 (CloudFlare) rummyox26[.]mom
104.21.112.1 AS13335 (CloudFlare) 74rummy[.]com
104.21.29.218 AS13335 (CloudFlare) Crickexlive[.]vip and 99vc[.]net
18.160.46.4 AS16509 (AMAZON-02) indslotscash[.]com
18.160.46.5 AS16509 (AMAZON-02) betweb[.]vip
18.160.46.88 AS16509 (AMAZON-02) vipdiorbet[.]com
18.160.46.121 AS16509 (AMAZON-02) indslots[.]net

تتمثل إحدى المشكلات الشائعة في وجود إجراءات أمنية متساهلة داخل شبكات ASN هذه، مما يجعلها أهدافًا جذابة لمجرمي الإنترنت الذين يستغلون نقاط الضعف ويستضيفون المحتوى الضار. بالإضافة إلى ذلك، تسمح بعض شبكات ASN للمستخدمين بتسجيل الخدمات دون الكشف عن هويتهم، مما يوفر بيئة مواتية للجهات الخبيثة للعمل دون تحديد سهل.

فيما يلي بعض شبكات ASN التي تمكنا من تحديدها والمرتبطة بالحملة وتم الإبلاغ عنها بسبب التصيد الاحتيالي والبرامج الضارة وما إلى ذلك:

الجدول 2 - التقارير العامة لـ ASN

IP ASN Report
104.21.80.1 AS13335 (CloudFlare) https://www.malwareurl.com/ns_listing.php?as=AS13335
18.160.46.121 AS16509 (AMAZON-02) https://www.malwareurl.com/ns_listing.php?as=AS16509

مخالب Blackhat SEO، على مواقع الحكومة الماليزية

خلال بحثنا، لفت انتباهنا منشور Linkedin حيث كانت حملة مماثلة تتكشف في ماليزيا منذ حوالي أربعة أشهر، حيث تم ربط مواقع الويب الحكومية مرة أخرى بمواقع Rummy و Casino.

الشكل 26 - لينكد إن بوست - مصدر

ويمضي أيضًا في إثبات حقيقة أن البنية التحتية غير الآمنة ستكون دائمًا محصنة ضد الأنشطة غير الأخلاقية، إذا لم يتم اتباع ممارسات الترميز الآمنة والفشل في حماية البنية التحتية الحيوية. هذه ليست حادثة معزولة.

التخفيف

للسلطات والموظفين ذوي الصلة

تحسينات البنية الأساسية للأمان

  • قم بتطبيق التحقق الصارم من تحميل الملفات والقيود.
  • ابحث بانتظام عن ملفات HTML/SHTML غير المصرح بها.
  • مراقبة إمكانات إدخال النص البرمجي وتقييدها، من خلال الاحتضان التحقق من صحة الإدخال.

مراقبة الموقع

  • قم بمراجعة محتوى موقع الويب والروابط الخلفية بانتظام.
  • قم بإعداد التنبيهات لمراجع المجال غير المصرح بها.
  • راقب نتائج محرك البحث بحثًا عن القوائم المشبوهة.
  • استخدم Google Search Console لتحديد الروابط الخلفية الضارة وإزالتها.

بالنسبة للمستخدمين

التوعية الأمنية العامة

  • تحقق من عناوين URL لمواقع الويب قبل النقر، خاصة للمواقع الحكومية.
  • كن حذرًا من نتائج البحث التي تروج للألعاب أو المراهنة.
  • لا تثق بمواقع الويب لمجرد ظهورها في أفضل نتائج البحث.
  • استخدم متاجر تطبيقات الجوال الرسمية فقط.

الحماية المالية

  • لا تقدم أبدًا تفاصيل مصرفية لمنصات ألعاب غير معروفة.
  • احذر من عروض كسب المال «الجيدة جدًا لدرجة يصعب تصديقها».
  • تجنب المشاركة في أنشطة المقامرة غير المنظمة.

التوعية العامة

  • إصدار إرشادات عامة حول عمليات الاحتيال المعروفة، لتبني عقلية المواطن أولاً وغرس الشعور بالمساءلة والوعي.
  • توفير آليات الإبلاغ للجمهور.
  • قم بتحذير مستخدمي قاعدة العملاء من الألعاب التي تروج لها SEP من خلال توزيع إرشادات حول تحديد منصات الألعاب الاحتيالية أو الاحتيالية.

المراجع

الملحق

الشكل 27 - روابط لمواقع الكازينو الخارجية، على موقع الحكومة الهندية

Author

نويل فارغيز

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
التهديدات الناشئة

The Faux SEO Spiderweb: استكشاف كيف أفسدت تقنية تحسين محركات البحث ذات القبعة السوداء مساحة الإنترنت الهندية

تعمل أساليب تحسين محركات البحث ذات القبعة السوداء على تعريض مساحة الإنترنت الهندية للخطر، حيث يستغل مجرمو الإنترنت التسمم بمحركات البحث للتسلل إلى مواقع الويب الحكومية والتعليمية والمالية. يكشف هذا التحليل المتعمق كيف تتلاعب الجهات الخبيثة بتصنيفات البحث باستخدام حشو الكلمات الرئيسية والإخفاء والربط الخلفي لإعادة توجيه المستخدمين غير المرتابين إلى منصات الألعاب والاستثمار الاحتيالية. ويسلط التقرير الضوء على الحجم المقلق لهذا الخداع الرقمي، ويحث السلطات على تعزيز الإجراءات الأمنية والمستخدمين على البقاء يقظين ضد نتائج البحث التي يتم التلاعب بها. ابق على اطلاع وقم بحماية تجربتك على الإنترنت من تهديدات تحسين محركات البحث ذات القبعة السوداء. 🚨 #CyberSecurity #SEO
February 14, 2025
15
min
Table of Content
Example H2

ملخص تنفيذي

تأثرت مواقع الحكومة الهندية والمواقع التعليمية والعلامات التجارية المالية المعروفة على نطاق واسع، بتسمم تحسين محركات البحث، مما أدى إلى إعادة توجيه حركة مرور المستخدمين إلى مواقع الويب البسيطة التي تروج لألعاب رومي وغيرها من الألعاب التي تركز على الاستثمار. في هذه النصيحة، سنناقش التقنيات المستخدمة لتضليل مستخدمي الإنترنت الهنود، عند إجراء عمليات بحث لمسح استفساراتهم.

نظرة عامة

في تطور حديث، اكتشف المحللون في CloudSek الاستخدام السيئ للغاية لتسمم محرك البحث ذو القبعة السوداء من قبل الجهات الفاعلة في مجال التهديد، لدفع مواقع الويب التي تركز على Rummy and Investment إلى المستخدمين المطمئنين. تشمل الأهداف ذات الاهتمام مواقع الويب التي تحتوي على .gov.in ، .ac.in نطاقات المستوى الأعلى واستخدام حشو الكلمات الرئيسية التي تشير إلى العلامات التجارية المالية المعروفة في الهند. تأثرت أكثر من 150 بوابة حكومية، معظمها تنتمي إلى حكومات الولايات، على نطاق واسع.

ما هو تسمم محرك البحث؟

يشير تسمم محرك البحث إلى الممارسات الضارة التي تهدف إلى التلاعب بنتائج محرك البحث للترويج للمحتوى الضار أو المخادع. عادةً ما يتم استخدام هذه التكتيكات من قبل مجرمي الإنترنت لإعادة توجيه المستخدمين إلى مواقع الويب الاحتيالية أو توزيع البرامج الضارة أو شن هجمات التصيد الاحتيالي.

تقنيات اللعب:

  • التلاعب برأس المُحيل - التلاعب برأس المُحيل هو أسلوب تستخدمه الجهات الفاعلة الضارة لإخفاء مصدر الطلب. يمكن القيام بذلك باستخدام إدخال البرنامج النصي في الكود المصدري لموقع الويب. تكتيك يمكن تصنيفه تحت الإخفاء.
  • إخفاء الهوية - الإخفاء هو أسلوب يعرض فيه موقع الويب محتوى مختلفًا لمحركات البحث والزوار من البشر. الغرض من إخفاء الهوية هو خداع محركات البحث والتلاعب بالتصنيفات من خلال تقديم محتوى تم تحسينه من أجل المؤكد محركات البحث ولكن غير مرئية للمستخدمين، باستخدام بعض وكيل المستخدم.
  • حشو الكلمات الرئيسية: يستهدف مجرمو الإنترنت الكلمات الرئيسية أو الأحداث الشائعة (مثل الأخبار العاجلة والمنتجات الشائعة) ويخلقون مواقع ويب ضارة محسّنة لتحتل مرتبة عالية في نتائج البحث.
  • Backlinking - يشير Backlinking in blackhat SEO إلى ممارسة الحصول على روابط خلفية من خلال وسائل التلاعب من أجل تعزيز تصنيفات محرك البحث لموقع الويب بشكل مصطنع. يمكن أن يشمل ذلك تكتيكات مثل زراعة الروابط.
  • ثغرات النظام الأساسية - يمكن للجهات الفاعلة في مجال التهديد استغلال نقاط الضعف الأساسية في أنظمة مثل استضافة محتوى الويب الخاص بـ CMS لإنشاء أدلة واستضافة محتوى عليها مثل الملفات التي تحتوي على .shtml و.html ملحقات. ومع ذلك، لم نتمكن من تحديد الثغرة الأمنية الدقيقة التي يتم استغلالها.

كيف تظهر ألعاب رومي والألعاب التي تركز على الاستثمار في الصورة؟

تتمتع ألعاب Rummy بتاريخ غني ونمت شعبيتها بشكل كبير في الهند، سواء خارج الإنترنت أو عبر الإنترنت. أدى ظهور منصات الألعاب عبر الإنترنت إلى زيادة شعبيتها. من خلال الوصول إلى الهواتف الذكية والإنترنت بأسعار معقولة وراحة اللعب من المنزل، وجدت ألعاب rummy جمهورًا كبيرًا في الهند.

بالإضافة إلى ذلك، فإن المنصات التي تقدم جوائز نقدية وبطولات جعلتها أكثر جاذبية. ومع ذلك، في حين أنه يوفر الترفيه والفرص للفوز، لا يمكن تجاهل المخاطر المالية. يبالغ العديد من اللاعبين في تقدير قدراتهم ويستمرون في المراهنة/الاستثمار بمبالغ أكبر، مما يؤدي إلى خسائر. غالبًا ما تؤدي الرغبة في استرداد الخسائر، والمعروفة باسم «مطاردة الخسائر»، إلى حبس اللاعبين في دائرة الرهانات المتزايدة.

التعبير عن القلق على وسائل التواصل الاجتماعي

منذ أن تم تسليط الضوء على سيناريو الهجوم المتكشف على X (Twitter سابقًا) العام الماضي، ظهرت حفنة من المنشورات المماثلة على منصات مثل Linkedin و X ومنفذ الأخبار تيك كرانش.

الشكل 1 - لينكد إن بوست - مصدر

الشكل 2 - X بوست - مصدر

الشكل 3 - مقالة تك كرانش - مصدر

التحليل الفني

التلاعب المتشابك برأس المرجع وإخفاء وكيل المستخدم: استخدام التقنية في الوقت الفعلي

يُظهر فحص شفرة المصدر، على أحد مواقع الحكومة الهندية المتأثرة، مقتطفًا من جافا سكريبت. وظيفة مقتطف الشفرة كما يلي: -

  1. يقوم باسترداد مُحيل المستند الحالي (أي عنوان URL للصفحة المرتبطة بالصفحة الحالية) وتحويله إلى أحرف صغيرة.
  1. يقوم بإعداد مصفوفة تحتوي على سلاسل من وكلاء المستخدم (في هذه الحالة، «iPhone». و «Android».).
  1. يتم تشغيله عبر المصفوفة للتحقق مما إذا كان المرجع يحتوي على أي من سلاسل محرك البحث المحددة.
  1. إذا تم العثور على تطابق وتم تحديد المستخدم على أنه موجود على جهاز محمول (باستخدام تعبير عادي يتحقق من navigator.userAgent)، فإنه يعيد توجيه المستخدم إلى»https [:] //yono-allslots [.] com/«.

في هذه الحالة،»https [:] //yono-allslots [.] com/«يعيد التوجيه إلى indorummy [.] net، وهو موقع إلكتروني آخر لألعاب الرومي.

الشكل 4 - مقتطف شفرة جافا سكريبت المميز باستخدام معالجة رأس المرجع

لاستكشاف ما إذا كان هذا ممكنًا حقًا، تم إجراء بحث باستخدام الأحمق موقع «رومي»: *.gov.in، وتم تحليل منطق البرنامج النصي باستخدام أدوات مطوري Google وتغيير نوع الجهاز.

الشكلان 5 و 6 - يؤدي تعديل وكيل المستخدم باستخدام أداة أدوات المطور من Google إلى عرض صفحتي ويب مختلفتين بعد النقر على موقع ويب حكومي متأثر

كان السيناريو يعمل على النحو المنشود ويمضي في توضيح كيفية عمل الجهات الفاعلة في مجال التهديد الخفي، بطريقة أكثر مما تراه العين.

عند التحقق من البرنامج النصي، من الواضح أنه تم إجراء استثناء للمتصفحات المستندة إلى سطح المكتب، حيث يفضل المستخدمون عرض صفحة خطأ 404، عند النقر على نتائج تم التلاعب بها بشكل مماثل. هذه حالة إخفاء وكيل المستخدم في الممارسة.

في حالات أخرى، يكون الأمر أكثر مباشرة، حيث يتم تحميل الصفحة المقصودة التي تصور موقع rummy المعني بعد أن تصل أداة التحميل المسبق إلى 100٪. يتم المساعدة في ذلك باستخدام إعادة التوجيه واستخدام جافا سكريبت وينعكس نفس المحتوى، بغض النظر عن وكيل المستخدم.

الشكل 7 - مثيل إعادة توجيه المُحيل في الكود المصدري لموقع الويب

الشكل 8 - يقوم برنامج Preloader على الصفحة المقصودة بإعادة توجيه المستخدم إلى موقع ويب استثماري

الشكل 9 - فحص الطلب يسلط الضوء على أن المُحيل كان موقعًا حكوميًا

كيف يتم حقن التعليمات البرمجية في مواقع الويب؟

الجواب المحتمل على ذلك هو استغلال وظيفة تحميل الملفات داخل مواقع الويب جنبا إلى جنب مع حقن كود جافا سكريبت، ربما باستخدام CSS المخزنة في هذه العملية. نذكر هذا مع وسيلة الثقة.

كما ذكرنا أعلاه، أثناء تحليلنا عند تحليل المزيد من مواقع الويب، تبين أنه تم تحميل وفرة من الملفات ذات الامتدادات «.shtml» و «.html» و «.aspx» على ما يبدو إلى أدلة غير موجودة، داخل مواقع الويب المتأثرة (المشار إليها بواسطة عنوان URL لنتائج البحث). ومع ذلك، لم نتمكن من تحديد الثغرة الأمنية الدقيقة التي يتم استغلالها.

الشكل 10 - يُظهر عنوان URL المميز وجود ملف، مع تحميل ملحق «.shtml» إلى خادم الملفات

كما نعلم، فإن ملفات.shtml، أو ملفات Server Side Includes (SSI)، هي ملفات HTML تتضمن أوامر البرمجة النصية من جانب الخادم التي تتم معالجتها بواسطة خادم الويب قبل إرسالها إلى متصفح الويب الخاص بالعميل. يمكن أن يشير هذا إلى أنه يمكن إدخال رمز إعادة التوجيه في هذه الملفات

تتم إزالة هذه الملفات عند الإبلاغ - من خلال استخدام أداة مشرفي المواقع من Google، ولكن يتم تخزينها مؤقتًا وتظهر كنواتج بواسطة آلية فهرسة Google، والتي غالبًا ما تعكس محتوى موقع الويب الذي تمت إعادة توجيهه في نتائج البحث.

الشكل 11 - نتائج البحث عن أصول حكومة ولاية كيرالا، والتي تم تثبيتها بمحتوى من مواقع ألعاب رومي

حشو الكلمات الرئيسية: استخدام التقنية في الوقت الحقيقي

في حالة معينة من التحقيق في استفسارات العملاء، اكتشفنا سلسلة من مواقع البريد العشوائي وضع الكلمات الرئيسية لبنك القطاع العام الوطني وتطبيقه المصرفي في الصفحة الأولى للترويج لألعاب الرومي.

عند التعمق في هذه المواقع، تم اكتشاف أن مواقع الويب تستهدف المزيد من الشركات الهندية في القطاع المالي واستخدمت نموذج مواقع الويب المماثلة الأخرى، الموجهة نحو الترويج لألعاب الكازينو الإندونيسية.

الشكل 12 - لقطة شاشة تسلط الضوء على تشابه استخدام القالب

مع مسار التقدم النهائي، إن لم يتم إيقافه في مساراته، يمكن أن يلوح خطر خداع العملاء في الأفق على المنظمات الأخرى والصناعات المتنوعة الأخرى

محتوى موقع الويب يستهدف مصطلحات البحث الرئيسية

بأخذ لقطة الشاشة الواردة أدناه كمثال، يمكننا أن نرى أن الكلمات الرئيسية مثل طلب القرض والبطاقة، التي تستهدف الاستفسارات المصرفية قد تم وضعها في صفحة الويب، مما جعل المستخدمين يصلون إلى مثل هذه الصفحات غير الموثوق بها ويتابعون رؤية النص الذي يجذب المستخدمين للمشاركة في ألعاب رومي.

حشو الكلمات الرئيسية: مصدر هذا النص هو الإعلانات الرقمية التي يطلبها البنك المعني، والنص الترويجي من مواقع الويب الخاصة به، ومجموعة من الاستفسارات الشائعة من مجموعة العملاء، على سبيل المثال، تلقي الاستفسارات حيث يسعى العملاء للحصول على قروض شخصية فورية بأسعار فائدة منخفضة.

الشكل 13 - صفحة ويب تحتوي على كلمات رئيسية وعبارات بحث تستهدف البنك الوطني، مع الترويج لألعاب الرومي

في حالة معينة، تم اكتشاف رسالة نموذجية تدفع روابط التصيد الاحتيالي من «Mobile SMS» على صفحة ويب.

الشكل 13 - إدراج رسالة التصيد الاحتيالي على صفحة الويب، كجزء من حشو الكلمات الرئيسية

تنشئ نطاقات انتحال الهوية مسارات ويب تستهدف الشركات، كما تم تصميم عناوين الصفحات لتتناسب مع اسم الشركة

الشكل 14 - لقطات شاشة تسلط الضوء على أمثلة لأسماء العلامات التجارية المستخدمة للحصول على نقرات من عنوان الصفحة ومحتوى صفحة الويب

فيما يلي مثال على حشو النص، باستخدام عنوان نطاق فرعي تابع لحكومة Telengana، على صفحة مشابهة للترويج لألعاب rummy.

الشكل 15 - لقطة شاشة تسلط الضوء على حشو الكلمات الرئيسية لعنوان النطاق الحكومي

صفحات الويب المترابطة: يُشار إليه باسم «Link Farms»، ويتضمن ذلك إنشاء صفحات ويب متعددة مرتبطة ببعضها البعض لزيادة الروابط الواردة وتعزيز تصنيف موقع الويب. بعد إجراء المزيد من الفحوصات، تبين أن محاولات لعب هذه الألعاب تؤدي إلى موقع ويب يسمى «teenpattionline.game»/teenpatti.com، يقدم مجموعة من الألعاب التي تتضمن المراهنة للحصول على مكافآت.

داخل هذه الألعاب

تتبع ألعاب رومي هذه، المجمعة تحت أسماء مختلفة، نهجًا يشبه عمليات الاحتيال الاستثمارية، كما هو موضح أدناه:

الشكل 16 - الأحداث الرئيسية التي تمت مواجهتها أثناء لعب ألعاب Rummy، خاصة تلك غير الموثوق بها

بعد إجراء المزيد من الفحوصات، تبين أن محاولات لعب هذه الألعاب تؤدي إلى موقع ويب يسمى»خط تربية المراهقين. لعبة«، حيث تقدم مجموعة من الألعاب التي تنطوي على المراهنة للحصول على مكافآت.

لماذا يتم إغراء المستخدمين بهذه الألعاب؟

المزايا التي تقدمها الألعاب

1. مكافأة الإحالة: مقابل كل إحالة، يتلقى المستخدم مبلغًا رمزيًا يتراوح من 20 إلى 80 روبية، مما يؤدي إلى جذب المزيد من الأفراد إلى أعتاب المقامرة والخراب المالي المحتمل. لا يتم احتساب عمليات تسجيل الدخول الجديدة من نفس الجهاز ضمن هذا.

الشكل 17 - نافذة اللعبة المنبثقة التي تشجع المستخدمين على إحالة المنصة إلى أفراد آخرين مقابل مكافآت مالية

2. مكافأة تسجيل الدخول: تقدم هذه الألعاب مكافآت تافهة لعمليات تسجيل الدخول اليومية، مما يجعلها فرصة مثيرة للاهتمام لجذب انتباه الناس وحثهم على الإنفاق يوميًا على الألعاب

الشكلان 18 و 19 - لقطات شاشة من بوابة اللعبة تسلط الضوء على متطلبات استثمار الأموال أولاً، للحصول على مكافآت

هيكلة قاعدة مستخدمي VIP

هذا هو المفهوم الذي نراه في معظم نماذج Pig Butchering/Ponzi Scam، حيث يتم تصنيف المستخدمين الذين يميلون إلى الاستثمار أكثر للحصول على مكافآت أفضل، ضمن مستويات VIP. كلما ارتفع مستوى VIP الذي تم تصنيفك تحته، زادت فرص تعرض الفرد للخداع

الشكل 20 - Game Popup يسلط الضوء على فوائد الترقية إلى مستوى أعلى، لتلقي المزيد من المكافآت الإضافية

الارتباط بخدع التنبؤ بالألوان

أثناء إجراء المزيد من التحليل، يمكن أن يكون هناك طريق جديد لخداع الأفراد من أجل الحصول على المال، بمساعدة ألعاب التنبؤ بالألوان.

من بحثنا السابق حول هذا النوع من الاحتيال، توفر الألعاب والنطاقات التي تنتحل شخصية الشركات البارزة فرصًا للمراهنة والحصول على مكافآت مالية للتنبؤ باللون المناسب.

تشبه عملية الاحتيال مخطط Ponzi/الهرمي، حيث يتم استخدام الأموال التي يتم جمعها من اللاعبين/المستثمرين الجدد لدفع الأرباح للمتبنين/المستثمرين الأوائل.

ملاحظة: إن إمكانية الترويج لمثل هذه الألعاب في المستقبل، يتم ذكرها فقط كاحتمال، مع وجود هذه الألعاب وطبيعتها الاحتيالية ذات صلة والقدرة على سحب مبالغ كبيرة من المال.

الشكل 21 - مثيل حشو الكلمات الرئيسية لألعاب التنبؤ بالألوان

التحديات مع صفحات SEO غير المرغوب فيها

  • تعد إزالة صفحات تحسين محركات البحث غير المرغوب فيها أمرًا صعبًا نظرًا لحجمها الهائل والسرعة التي يتم إنشاؤها بها. يعمل العديد منها عبر مجالات متعددة، مما يجعل من الصعب تتبعها والقضاء عليها تمامًا.
  • تعاني المؤسسات من تحسين محركات البحث غير المرغوب فيها لأنها تحول حركة المرور عن المحتوى الشرعي، مما يؤثر على الرؤية والإيرادات.
  • يمكن أن تؤدي الإيجابيات الكاذبة في اكتشاف الرسائل غير المرغوب فيها إلى وضع علامة على المحتوى الشرعي عن طريق الخطأ، مما يؤدي إلى مخاطر إضافية. غالبًا ما تكون الإجراءات القانونية ضد مشغلي البريد العشوائي بطيئة ومكلفة، مع ضمان ضئيل للنجاح. علاوة على ذلك، يصبح الحفاظ على الثقة مع المستخدمين أمرًا صعبًا لأن البريد العشوائي يقوض سمعة العلامة التجارية ومصداقيتها

استكشاف روابط الروابط الخلفية

خلال تحليلنا لأحد مواقع ألعاب rummy المشبوهة، أي indorummy [.] net، تبين أن موقع الويب يحتوي على روابط لاستخدام خدمات الربط الخلفي. بالإضافة إلى ذلك، تم العثور على موقع الويب ليكون مدرجًا بين مواقع أخرى على مواقع Link Farm.

الشكل 22 - تم العثور على روابط خلفية لـ indorummy [.] net - المصدر مُحسِّن محركات البحث

لتوفير المزيد من السياق، إليك كيفية مساعدة مزارع الروابط هذه لمواقع الويب الصغيرة، أو أي موقع ويب مخادع يستخدم خدماته: -

تعزيز تصنيفات البحث: -

  • تعد الروابط الخلفية عامل تصنيف رئيسي في خوارزمية Google. يمكن أن يؤدي وجود العديد من الروابط من نطاقات مختلفة إلى خداع محركات البحث للاعتقاد بأن «indorummy.net» هو موقع موثوق.
  • يمكن أن يؤدي ذلك إلى تعزيز التصنيفات بشكل مصطنع في صفحات نتائج محرك البحث (SERPs).

التلاعب بسلطة المجال (DA):-

  • تأتي بعض الروابط من مواقع تقدم «DA Ancread Services»، مما يشير إلى أنه تم شراء الروابط الخلفية.
  • تهدف هذه الخدمات إلى تضخيم سلطة نطاق موقع الويب (DA) باستخدام روابط خلفية غير مرغوب فيها.

زيادة الفهرسة وتكرار الزحف

  • تكتشف محركات البحث مواقع ويب جديدة من خلال الروابط الخلفية.
  • تجبر مزارع الروابط محركات البحث على الزحف إلى «indorummy.net» والمواقع المشابهة بشكل متكرر.
  • يمكن أن تساعد بعض مواقع الإحالة في توليد حركة إحالة وهمية.

الشكل 23 - تردد الربط الخلفي - المصدر: Neilpatel.com - محلل تحسين محركات البحث

رؤى من الرسم البياني: -

  • النمو المفاجئ: في حوالي نوفمبر 2024، كان هناك ارتفاع كبير في كلا المقياسين:
  • زادت الروابط الخلفية إلى حوالي 33
  • نمت نطاقات الإحالة إلى ما يقرب من 15
  • المستوى المستدام: بعد الارتفاع، يبدو أن كلا المقياسين قد استقرا عند مستوياتهما الأعلى الجديدة حتى فبراير 2025، مما يشير إلى أن النمو لم يكن مجرد حالة شاذة مؤقتة.
  • النمو الموازي: حدث النمو في الروابط الخلفية ونطاقات الإحالة في وقت واحد، مما يشير إلى جهد منسق لتحسين محركات البحث أو حدث مهم أدى إلى تشغيل مواقع متعددة للربط بالمحتوى في وقت واحد.

تم العثور على عنوان Telegram الشائع مرتبطًا داخل مواقع الويب هذه لاستشارة Backlinking. أصبح المقبض غير نشط منذ ذلك الحين. بالإضافة إلى ذلك، الخدمات على منصة العمل المستقل «فايفر» تم ربطها بهذه المواقع. مصداقية هذه القوائم مشكوك فيها.

الشكل 24 - إعادة ربط إعلان جهة الاتصال

الشكل 25 - ربط الإعلانات مرة أخرى على Fiverr

البنية التحتية

باستخدام indorummy [.] net و vc99 [.] net، من بين المتغيرات الأخرى التي تظهر على المتصفحات عادةً من النتائج المسمومة، امتد تحقيقنا إلى سجلات DNS الخاصة بهم.

ما يثير القلق بشأن هذه الطريقة التي تستخدمها الجهات الفاعلة في التهديد هو الحجم الهائل لبنيتها التحتية. كنا قادرين على تحديد 12 عنوان IP مرتبطًا، مع نطاقات متعددة تحتوي على بادئة «bet» أو «rummy» أو «vip»، مما يشير إلى منصات rummy/Investment ويستغل أموال الأشخاص التي يكسبونها بشق الأنفس.

ملاحظة: يتم استخدام النطاق 104.21.x.1 بواسطة Cloudflare كجزء من خدمة حماية البروكسي وDDoS. عندما يستخدم موقع ويب Cloudflare، تشير السجلات A عادةً إلى عناوين IP الخاصة بـ Cloudflare بدلاً من الخادم الفعلي لموقع الويب. تقوم Cloudflare بعد ذلك بتوجيه حركة المرور إلى الوجهة الحقيقية أثناء تصفية الطلبات الضارة.

يشير وجود سجلات A متعددة في نفس نطاق IP إلى أن المجالات تستخدم عناوين IP متعددة لموازنة التحميل أو التكرار أو تحسين الأداء. على سبيل المثال، تم تسليط الضوء على المجالات التي تشترك في نفس نطاق IP في الجدول أدناه: -

الجدول 1 - تفاصيل ASN ومواقع الويب المرتبطة بحملة blackhat SEO

IP ASN Example Domain
104.21.16.1 AS13335 (CloudFlare) rummydeity[.]cc
104.21.32.1 AS13335 (CloudFlare) rummymost[.]com
104.21.48.1 AS13335 (CloudFlare) rummyhowtoplay[.]com
104.21.64.1 AS13335 (CloudFlare) rummyvibe[.]com
104.21.80.1 AS13335 (CloudFlare) rummyjax.in
104.21.96.1 AS13335 (CloudFlare) rummyox26[.]mom
104.21.112.1 AS13335 (CloudFlare) 74rummy[.]com
104.21.29.218 AS13335 (CloudFlare) Crickexlive[.]vip and 99vc[.]net
18.160.46.4 AS16509 (AMAZON-02) indslotscash[.]com
18.160.46.5 AS16509 (AMAZON-02) betweb[.]vip
18.160.46.88 AS16509 (AMAZON-02) vipdiorbet[.]com
18.160.46.121 AS16509 (AMAZON-02) indslots[.]net

تتمثل إحدى المشكلات الشائعة في وجود إجراءات أمنية متساهلة داخل شبكات ASN هذه، مما يجعلها أهدافًا جذابة لمجرمي الإنترنت الذين يستغلون نقاط الضعف ويستضيفون المحتوى الضار. بالإضافة إلى ذلك، تسمح بعض شبكات ASN للمستخدمين بتسجيل الخدمات دون الكشف عن هويتهم، مما يوفر بيئة مواتية للجهات الخبيثة للعمل دون تحديد سهل.

فيما يلي بعض شبكات ASN التي تمكنا من تحديدها والمرتبطة بالحملة وتم الإبلاغ عنها بسبب التصيد الاحتيالي والبرامج الضارة وما إلى ذلك:

الجدول 2 - التقارير العامة لـ ASN

IP ASN Report
104.21.80.1 AS13335 (CloudFlare) https://www.malwareurl.com/ns_listing.php?as=AS13335
18.160.46.121 AS16509 (AMAZON-02) https://www.malwareurl.com/ns_listing.php?as=AS16509

مخالب Blackhat SEO، على مواقع الحكومة الماليزية

خلال بحثنا، لفت انتباهنا منشور Linkedin حيث كانت حملة مماثلة تتكشف في ماليزيا منذ حوالي أربعة أشهر، حيث تم ربط مواقع الويب الحكومية مرة أخرى بمواقع Rummy و Casino.

الشكل 26 - لينكد إن بوست - مصدر

ويمضي أيضًا في إثبات حقيقة أن البنية التحتية غير الآمنة ستكون دائمًا محصنة ضد الأنشطة غير الأخلاقية، إذا لم يتم اتباع ممارسات الترميز الآمنة والفشل في حماية البنية التحتية الحيوية. هذه ليست حادثة معزولة.

التخفيف

للسلطات والموظفين ذوي الصلة

تحسينات البنية الأساسية للأمان

  • قم بتطبيق التحقق الصارم من تحميل الملفات والقيود.
  • ابحث بانتظام عن ملفات HTML/SHTML غير المصرح بها.
  • مراقبة إمكانات إدخال النص البرمجي وتقييدها، من خلال الاحتضان التحقق من صحة الإدخال.

مراقبة الموقع

  • قم بمراجعة محتوى موقع الويب والروابط الخلفية بانتظام.
  • قم بإعداد التنبيهات لمراجع المجال غير المصرح بها.
  • راقب نتائج محرك البحث بحثًا عن القوائم المشبوهة.
  • استخدم Google Search Console لتحديد الروابط الخلفية الضارة وإزالتها.

بالنسبة للمستخدمين

التوعية الأمنية العامة

  • تحقق من عناوين URL لمواقع الويب قبل النقر، خاصة للمواقع الحكومية.
  • كن حذرًا من نتائج البحث التي تروج للألعاب أو المراهنة.
  • لا تثق بمواقع الويب لمجرد ظهورها في أفضل نتائج البحث.
  • استخدم متاجر تطبيقات الجوال الرسمية فقط.

الحماية المالية

  • لا تقدم أبدًا تفاصيل مصرفية لمنصات ألعاب غير معروفة.
  • احذر من عروض كسب المال «الجيدة جدًا لدرجة يصعب تصديقها».
  • تجنب المشاركة في أنشطة المقامرة غير المنظمة.

التوعية العامة

  • إصدار إرشادات عامة حول عمليات الاحتيال المعروفة، لتبني عقلية المواطن أولاً وغرس الشعور بالمساءلة والوعي.
  • توفير آليات الإبلاغ للجمهور.
  • قم بتحذير مستخدمي قاعدة العملاء من الألعاب التي تروج لها SEP من خلال توزيع إرشادات حول تحديد منصات الألعاب الاحتيالية أو الاحتيالية.

المراجع

الملحق

الشكل 27 - روابط لمواقع الكازينو الخارجية، على موقع الحكومة الهندية
نويل فارغيز

Related Blogs

استخبارات الخصم
August 9, 2024
8
min
التركيز على الأمن السيبراني: التهديدات الأخيرة التي تستهدف سنغافورة وسط احتفالات اليوم الوطني
Read more
تسريبات البيانات
November 24, 2023
7
min
أهم 5 هجمات شهيرة لسلسلة توريد البرامج في عام 2023
Read more
الهاكتيفية
June 7, 2023
8
min
كيف تدافع CloudSek عن أنفسنا ضد هجوم DDoS الضخم
Read more