Til tross for at Google konstant prøver å fjerne farlige lenker fra søkeresultater og fra sitt annonsenettverk, er Google-søk, Google-annonser og Googles YouTube-tjeneste fortsatt en av de viktigste kildene til virus og annen ondsinnet programvare. Det forteller flere sikkerhetseksperter Dagens it har snakket med.
Men hvor farlig er det egentlig å ukritisk klikke på søkeresultater i Google og andre søkemotorer? Og er man nesten garantert å bli infisert hvis man klikker på Google-annonser, slik mange hevder?
- Jeg vil ikke gå så langt som å si at en blir garantert infisert ved å klikke på en annonse – stort sett er de legitime, forteller sikkerhetsekspert Okan Kalak i Trend Micro til Dagensit.no.
Han legger imidlertid til at det finnes eksempler på at sponsede lenker i både Google- og Microsoft Bing-søk har ført til ondsinnet programvare.
Mål for cyberkrimminelle
Thomas Jensen i Google opplyser til Dagensit.no at de bruker automatiserte skannere som hele tiden søker etter ondsinnet programvare og phishing-forsøk i nettsider Google har indeksert. Det samme gjelder annonser som leveres via Googles annonsenettverk.
- Vi har både manuelle og automatiserte prosessor for å ivareta våre policies, sier Jensen.
Alt tyder likevel på at man ikke kan være trygg, ettersom store nettsteder som Google er et attraktivt mål for cyberkriminelle.
Kalak advarer også mot phishingforsøk som utnytter Googles YouTube-tjeneste og andre populære tjenester på nettet. Et ferskt eksempel er Koobface-ormen, som blant annet bruker sosiale nettverkstjenester som Facebook til å lenke til falske YouTube-sider som infiserer pc-ene.
Foto: Trend Micro.
Okan Kalak, sikkerhetsekspert i Trend Micro.
- En annen måte å bli infisert "via Youtube" er via linker du finner i videoer og videobeskrivelser, forteller Kalak videre.
Disse linkene dukker gjerne opp når du søker etter en video som ikke er tillatt vist på YouTube, for eksempel opphavsrettsbeskyttet materiale som for eksempel høydepunkter fra en Premier League-kamp. Du får da opp en video som forklarer at videoen ikke er tilgjengelig på YouTube, men at du kan gå inn på en annen nettside for å se videoen.
- Det er ofte denne URL-en som starter prosedyren med å lure brukeren, med såkalt socially engineered malware, og infiserer maskinen, sier Kalak.
Søkeresultater ikke trygge
Når man søker på Google.no eller Google.com, skal i utgangspunktet søkeresultatene være sjekket av Google – og farlige nettsteder luket vekk.
Problemet er bare at cyberkriminelle ofte ligger et lite hakk foran, og dermed er du ikke garantert at det ikke dukker opp også farlige lenker i søkeresultatene. Dette kan være lenker som infiserer pc-en via såkalt "drive-by-download" – det vil si at du blir infisert bare ved å besøke nettsiden, hvis det er sikkerhetshull i nettleseren din eller programvare som brukes for å vise innhold på nettsiden (som for eksempel Flash Player). Andre ganger kan det være nettsider som forsøker å lure brukeren til å installere ondsinnet programvare.
Søkeresultater i Google og andre søkemotorer inneholder svært ofte lenker til "farlige" nettsteder.
Flere populære sikkerhetsprogrammer merker også mange av søkeresultatene i Google som farlige. Kalak mener man kunne unngått at farlige lenker slapp gjennom, hvis Google hadde begynt å samarbeide med sikkerhetsselskapene om å luke ut disse lenkene.
Nettstedet eWeek skriver at cyberkriminelle i det siste har blitt flinkere til såkalt "søkemotoroptimalisering" for å komme høyere opp på brukernes søkeresultater. Et eksempel er hvordan cyberkriminelle brukte jordskjelvet og tsunamien som nylig rammet Samoa til å spre ondsinnet programvare. Bare 24 timer etter tragedien, var cyberkriminelle igang med i distribuere ondsinnet programvare ved hjelp av linker med nyhetsoverskrifter høyt oppe i Google-søkeresultatene, forteller sikkerhetsekspert Roger Thomson til eWeek.
Thomson opplyser at angriperne ofte kunne ha fem eller seks av topp ti-plasseringene på Google, foran seriøse nettsteder som CNN og The Guardian.
Han mener at ettersom interessen for store nyheter er størst rett etter nyhetshendelsen, blir antagelig mange brukere infisert før Google rekker å fjerne linkene.
Cyberkriminelle etterligner utseendet til anerkjente nettsteder, og planter lenker i Google-søk til falske omtaler av ondsinnet programvare forkledd som antivirusprogrammer.
Legitime nettsteder blir hengt ut som "farlige"
Tidligere registrerte gjerne cyberkriminelle en gruppe med nettsteder, som så ble krysslinket for å komme høyt opp på resultatsidene for bestemte søkebegreper. Nå kombineres denne metoden i stadig større grad med å infisere legitime nettsteder, ettersom det er større sannsynlighet for at disse nettstedene blir funnet av søkemotorene.
For å bekjempe dette, skanner Google automatisk for ondsinnet programvare når de indekserer nettsider, og viser advarsler i søkeresultatene for nettsider som kan være "farlige". Dermed risikerer legitime og seriøse nettsteder å bli flagget som "ondsinnet" av Google.
- Selv om det er viktig å beskytte brukerne, vet vi også at de fleste av disse nettsidene ikke sprer ondsinnet programvare med vilje. Vi forstår frustrasjonen til nettansvarlige som fått infisert sine nettsider uten at de vet om det, og oppdager at deres nettsted er blitt "flagget", skriver Lucas Ballard i Google i et blogginnlegg.
Google lanserte derfor nylig en ny funksjon i sine "Webmaster Tools", som skal gjøre det enklere for webutviklere å oppdage infiserte nettsider så tidlig som mulig. Med den nye løsningen skal nettansvarlige raskt få beskjed hvis deres nettside er infisert, og enkelt kunne gi beskjed tilbake til Google når problemet er fikset.
Kraftig økning fra april
Ifølge statistikk fra Google har det vært en sterk økning i antall infiserte nettsider siden april 2009. Antall nettsider som står på Googles "svarteliste" er mer enn doblet i løpet av det siste året, og det har vært perioder hvor mer enn 40 000 web-sider har blitt infisert per uke.
I januar 2008 inneholdt mer enn 1,2 prosent av alle Google-søkeresultater linker til minst ett skadelig nettsted. Dette har bedret seg noe, og i dag er det rundt 0,6-0,8 prosent av søkeresultatene som inneholder linker til skadelige nettsteder.
- Våre systemer er i stand til å raskt gjøre de nødvendige tiltak, ved å flagge resultater eller fjerne annonser som bryter med våre betingelser, sier Jensen.
