Не верь глазам своим. Почему первая строчка в Google больше не гарантирует, что вы заходите в свой онлайн-банк
Чем привычнее путь, тем проще не заметить подвоха.
Команда аналитиков Fortra Intelligence and Research обнаружила подпольную площадку, которая за несколько лет превратилась в полноценный рынок услуг по манипуляции поисковой выдачей. Группа, называющая себя Haxor, использует схему SEO Poisoning (отравление поисковой выдачи), позволяя фишинговым и вредоносным страницам выходить в топ поисковых систем и маскироваться под ресурсы известных финансовых организаций.
Проект получил название HxSEO и работает в мессенджерах Telegram и WhatsApp. Его ключевая услуга — продажа ссылок с уже взломанных легитимных сайтов, что создаёт иллюзию доверия к подставным страницам. Аналитики Fortra зафиксировали случаи, когда поддельные страницы входа в онлайн-банкинг оказывались в поиске выше официальных порталов крупных мировых банков. За счёт этого пользователи переходили на фальшивые ресурсы, не подозревая о подмене.
В основе схемы лежит сеть скомпрометированных доменов, многим из которых 15–20 лет. Такие домены имеют высокий уровень доверия у поисковых алгоритмов, поэтому ссылки с них значительно усиливают позиции подставных страниц. После оплаты Haxor добавляет вредоносную ссылку на легитимный ресурс через заранее установленные webshell-скрипты, обеспечивая рост рейтинга сайта покупателя. Стоимость одной ссылки составляет около 6 долларов в эквиваленте индонезийской рупии, что делает сервис доступным для разных групп злоумышленников.
Помимо продажи ссылок, участники сети применяют классические приёмы «чёрного» SEO — перегрузку страниц ключевыми словами, скрытый текст и автоматически сгенерированный контент. Всё это помогает поднимать вредоносные сайты в выдаче по запросам, связанным с финансами, юридическими услугами и бизнес-сервисами. В результате пользователи попадают либо на страницы для кражи учётных данных, либо на порталы, распространяющие вредоносное ПО, включая программы-вымогатели и инфостилеры.
По данным Fortra, инфраструктура Haxor построена на массовом использовании уязвимостей в PHP-компонентах и плагинах WordPress. Для управления взломанными сайтами применяется модифицированная версия известного веб-шелла, ранее замеченного в атаках на финансовые организации в 2025 году. Масштаб сети и низкий порог входа в сервис позволяют проводить атаки сериями, что делает такие кампании особенно опасными.