La página está comprometida. En este caso, en vez de un script en JavaScript, parece que le han introducido un 302 que lleva a la web maliciosa. Como ya sabemos, estas páginas suelen fijarse en el Referer como condición para redirigir, así que lo comprobamos con la cadena "google".
No funcionaba. Devolvía la página original. Extraño. Después de varios intentos infructuosos, comprobamos que, con Bing y otros buscadores, sí que funciona la redirección.
¿Estamos ante un "Bing poisoining"? ¿Se ha vuelto tan popular el buscador de Microsoft que han obviado a Google y se han centrado solo en Bing? No, evidentemente. Después de inspeccionar el tráfico, comprobamos que, para la redirección, los atacantes no solo tienen en cuenta el dominio google, sino también un parámetro concreto. "sa". Solo con ese parámetro, más "google.com" en la cadena de Referer, se produce la redirección.
Investigando, comprobamos la utilidad del parámetro. Al parecer controla el "Search engine results page", o sea, cómo se usa la página de resultados de búsqueda. Esto quiere decir que solo funciona si de verdad has buscado esos términos en Google, y se ha elegido uno de los resultados. Parece que no sirve para GoogleBot o cualquier otro uso en el que se incluya solo "google" en el Referer.
Fuente: http://www.blueglass.com/blog/google-search-url-parameters-query-string-anatomy/
Así que en realidad, se trata de un pequeño refinamiento en el comportamiento con (y solo con) el buscador de Google y no un cambio de tendencia...
No hay comentarios.:
Publicar un comentario