Inizia il tuo progetto
In questo articolo vogliamo raccontare come ci siamo accorti di una compromissione di un sito web e come abbiamo posto rimedio.
A metà Luglio, a seguito di un normale cotrollo di routine sull'andamento dei siti web realizzati per i nostri clienti, veniva riscontrata la presenza di nuovi link provenienti da un sito web straniero con estensione .ca, incuriositi dal nome di dominio poco attedibile ne abbiamo fatto visita.
Aprendolo siamo rimasti senza parole; il sito web si presentava esteticamente identico a quanto progettato appositamente per un nostro cliente (dal logo in cima, struttura e tanto di indirizzi della sede), ma al posto dei contenuti reali erano presenti testi a carattere sessuale/pornografico. Da chat online per incontri a contenuti vietati al minori di 18 anni, arrivando addirittura a menzionare minori; tutto avvolto dalla grafica ed immagine del reale sito web.
Attraverso una ricerca sull'WhoIs abbiamo appreso che il dominio era registrato a Phoenix - Arizona, sul quale il maleintenzionato aveva attivato l'estensione sulla privacy per non rendere disponibili le proprie generalità.
Dopo una notte insonne per capire cosa effettivamente fosse stato fatto, abbiamo scoperto che non si trattava di un vero e proprio clone del sito web, ma bensì tutto il traffico che passava da quel dominio veniva canalizzato in un server in Spagna il quale effettuava una "manipolazione dei testi" sovrascrivendo i contenuti e collegamenti con argomentazioni vietate ai minori.
Identificando l'indirizzo IP del server Spagnolo siamo riusciti a tamponare questa ignezione - tutto il traffico da quel server verso il sito del cliente è stato immediatamente bloccato, ma era solo l'inizio di una serie di interventi poichè nel contempo tutti i contenuti erano già stati indicizzati in Google, pertanto abbiamo contattato il noto motore di ricerca per richiederne la rimozione dalle SERP.
Poichè trattasi di contenuti vietati ai minori, è stato indispensabile provvedere anche ad una denuncia presso la polizia postale per tutela nostra e del cliente finale.
Faranno seguito scambi di informazioni con il reparto tecnico di Aruba (sempre molto disponibili) i quali hanno suggerito di contattare l'hoster di Phoenix per segnalare il dominio indicando le giuste motivazioni di illegalità dell'operazione svolta dal maleintenzionato. Anche in questo caso abbiamo potuto apprezzare la celerità del provider che poche ore dopo la nostra segnalazione ha provveduto a sganciare il DNS del dominio rendendolo totalmente inaccessibile.
Questo trucchetto (degno di un maestro del male) ha permesso per un breve lasso di tempo di agevolare l'indicizzazione del sito del nostro cliente facendo reindirizzare il traffico proveniente da Google verso siti web pornografici con link a pagamento.
Nei giorni a seguire la curiosità ci ha portato a continuare le indagini scoprendo che lo stesso giochetto era attivo anche per domini con altre estensioni; .cf e .gq. Benchè non conoscessimo le aziende che stavano subendo questo trattamento, ci è sembrato moralmente corretto segnalare loro questa situzione che persiste ancora.
Non sappiamo e probabilmente non si scoprirà mai chi è l'autore di questa operazione, ma certamente qualche segnale induce a credere che sia italiano poichè tutti i siti web compromessi erano e sono in Milano e Provincia. Forse il "nemico" è più vicino di quanto non si possa immaginare.