Apa itu SEO Poisoning (search poisoning)?
SEO poisoning, yang juga dikenal sebagai search poisoning, adalah jenis iklan jahat (malvertising) di mana penjahat dunia maya membuat situs web berbahaya dan kemudian menggunakan teknik optimisasi mesin pencari (SEO) untuk menyebabkan tautan situs web tersebut muncul secara mencolok di hasil pencarian, sering kali sebagai iklan di bagian atas. Karena posisi mereka yang menonjol dalam hasil pencarian, pengguna sering menganggap bahwa tautan tersebut mengarah ke situs web yang sah dan aman.
Salah satu alasan utama mengapa aktor ancaman menggunakan SEO poisoning adalah untuk membuat pengunjung situs tanpa sengaja mengunduh malware ke sistem mereka. Misalnya, pengguna mungkin mengklik tautan ke situs berbahaya yang terlihat seperti halaman untuk mengunduh aplikasi yang dikenal. Ketika mereka mengunjungi situs tersebut, mereka akan diminta untuk mengunduh file berbahaya, mengira itu adalah aplikasi yang mereka cari. Setelah malware terinstal di sistem mereka, malware tersebut dapat merekam penekanan tombol, mengambil alih komputer mereka, atau menyebar ke perangkat lain di jaringan, yang membuat perusahaan rentan terhadap ransomware, data yang terkompromikan, atau ancaman lainnya.
Para aktor ancaman juga bisa menggunakan SEO poisoning untuk membuat pengguna mengungkapkan informasi sensitif, seperti nomor kartu kredit, kredensial login, atau informasi pribadi yang dapat diidentifikasi (PII). Sebagai contoh, seorang pengguna mungkin mengklik tautan ke situs web yang tampaknya merupakan toko online, berniat untuk melakukan pembelian. Namun, tautan tersebut malah mengarahkan pengguna ke situs berbahaya yang terlihat hampir identik dengan toko yang sebenarnya atau setidaknya cukup kredibel untuk terlihat dapat dipercaya. Di sana, pengguna akan diminta untuk memasukkan nama, alamat, dan nomor kartu kredit, informasi yang kemudian dengan cepat dijual kepada pihak yang membayar lebih.
SEO poisoning menipu korban untuk mengunjungi situs web palsu untuk menginfeksi mereka dengan malware atau mengakses informasi sensitif secara curang.
Tidak semua situs web berbahaya mencoba meniru situs yang kredibel. Beberapa situs web mungkin dibuat hanya untuk menampilkan konten yang berisi kata kunci yang kemungkinan besar akan dimasukkan dalam pencarian orang banyak, seperti frasa yang terkait dengan item berita atau video viral.
Para aktor ancaman mungkin juga membuat situs web dengan nama dan deskripsi yang terkait dengan topik populer atau tren. Misalnya, menjelang Halloween, para penjahat dunia maya mungkin meluncurkan situs yang menawarkan template kostum Halloween gratis. Atau pada bulan sebelum Natal, mereka mungkin meluncurkan situs resep liburan. Situs-situs tersebut mungkin tidak memiliki konten relevan atau bahkan mungkin menampilkan konten yang dicuri dari situs yang sah. Tujuan mereka hanya untuk menginfeksi pengunjung dengan malware atau secara curang mengakses informasi sensitif.
Contoh SEO poisoning adalah ketika malware SolarMarker disebarkan sebagai file PDF berbahaya melalui topik yang fokus pada SEO palsu di Google Groups. Ditemukan pada akhir 2020, malware ini akan disematkan dalam situs yang muncul di dekat bagian atas hasil pencarian Google karena SEO poisoning dari para aktor ancaman. Tujuannya adalah untuk membuat korban mengklik tautan untuk mengunduh installer Windows palsu yang menjalankan skrip PowerShell.
Peningkatan SEO Poisoning
Pada Januari 2023, perusahaan keamanan siber SentinelOne menerbitkan sebuah posting blog oleh Tom Hegel yang memperingatkan tentang peningkatan serangan SEO poisoning. Perusahaan tersebut menemukan bahwa, dalam sebagian besar serangan, aktor ancaman mencoba menginfeksi sistem pengguna dengan malware komoditas. Menurut postingan tersebut, para penjahat dunia maya paling berhasil ketika mereka menggunakan SEO poisoning untuk mempengaruhi hasil pencarian untuk “unduhan populer yang terkait dengan organisasi yang tidak memiliki sumber daya perlindungan merek internal yang ekstensif.”
Untuk menggambarkan konsep ini, Hegel mengacu pada kampanye SEO poisoning yang sedang berlangsung yang terkait dengan aplikasi grafis 3D Blender. Dia menyertakan beberapa contoh iklan curang di bagian atas hasil pencarian Google yang mengarah ke situs web berbahaya. Hegel juga mencatat bahwa iklan berbahaya ini cepat bergeser di antara pencarian, menunjukkan bahwa para penjahat dunia maya mengotomatisasi serangan mereka dalam skala besar. Otomatisasi ini tampaknya diterapkan baik pada SEO poisoning itu sendiri maupun pada domain berbahaya yang dibuat.
Pada Februari 2023, Cybereason menerbitkan peringatan tentang malware GootLoader. Peringatan tersebut menguraikan bagaimana SEO poisoning digunakan untuk menyebarkan malware melalui situs web palsu. GootLoader biasanya mengandalkan JavaScript untuk menginfeksi sistem pengguna yang tidak curiga yang diarahkan ke situs web berbahaya melalui tautan iklan mesin pencari. Iklan-iklan tersebut juga dapat digunakan untuk mengarahkan pengguna langsung ke malware yang terinfeksi.
Pada April 2023, BlackBerry menerbitkan “Laporan Intelijen Ancaman Global” yang mencakup periode dari Desember 2022 hingga Februari 2023. Menurut laporan tersebut, SEO poisoning meningkat selama periode pelaporan, terutama di industri kesehatan. Laporan tersebut juga menyimpulkan bahwa SEO poisoning semakin meluas dan diperkirakan akan terus meningkat.
Pada Juni 2023, Health Sector Cybersecurity Coordination Center (HC3) dari Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) menerbitkan catatan analis yang memperingatkan tentang peningkatan penggunaan SEO poisoning terhadap sektor kesehatan dan kesehatan masyarakat. Menurut laporan tersebut, para penjahat dunia maya melancarkan serangan mereka dengan memanfaatkan teknik SEO peretas, yang merupakan taktik tidak etis yang digunakan oleh pemilik situs web untuk meningkatkan peringkat mesin pencari mereka.
Catatan analis HHS juga memperingatkan bahwa teknik SEO peretas sedang digunakan bersama dengan typosquatting, metode lain untuk mengalihkan pengguna ke situs web berbahaya. Aktor ancaman menggunakan typosquatting untuk menargetkan mereka yang salah mengeja URL saat memasukkannya ke browser. Aktor ancaman kemudian membuat domain dengan nama yang cocok dengan kesalahan ejaan tersebut dan menunggu pengguna datang ke situs mereka. Ketika typosquatting digabungkan dengan SEO poisoning, tautan ke situs web berbahaya sering kali muncul di bagian atas hasil pencarian, membuatnya lebih mungkin untuk diklik pengguna karena alamatnya sangat mirip dengan yang asli.
Para ahli keamanan menawarkan beberapa rekomendasi bagi pengguna yang ingin melindungi diri mereka dari serangan SEO poisoning. Pengguna harus memperbarui browser dan perangkat lunak antivirus mereka, menghindari mengklik tautan yang mencurigakan, dan tidak memberikan informasi pribadi secara online kecuali mereka yakin situs tersebut sah dan transaksi tersebut aman.