Ancora pharmacy su siti italiani di P.A. Un esempio di esteso uso di referer per redirigere su siti di pharmacy

Si tratta del sito di un Comune italiano capoluogo di Provincia, che presenta un elevato grado di compromissione relativamente a contenuti di pharmacy hacking.
Questa la homepage del sito comunale  (le date presenti mostrano che si tratta di sito attualmente attivo)
 che viene proposto da Google nei risultati di ricerca con termini di pharmacy.
Le date di indicizzazione da parte di Google non asciano dubbi sull’attuale azione di pharmacy hacking
La particolarita’ e’ che cliccando su uno dei tanti risultati proposti dal motore di ricerca si viene rediretti (senza che praticamente venga visualizzato il sito comunale) su diversi noti siti di vendita di medicinali online.
I codici di pharmacy hacking inclusi nel sito gestiscono non solo la notifica a Google dei termini di pharmacy quando, come in questo caso, l’user agent e’ quello del bot del motore di ricerca (notate il testo di pharmacy quasi esclusivamente in lingua italiana)
ma permettono di sfruttare il referer in modo molto efficiente, come vedremo dai seguenti esempi.
Richiamando direttamente dal browser la home page del sito comunale, come ovvio, otteniamo la pagina legittima
ma se attiviamo anche solo un semplice referer costituito da due semplici parole ‘ viagra google
ma anche “viagra bing” , “viagra yahoo” ecc……
invece che il sito comunale otteniamo in sequenza un redirect ad uno dei siti di pharmacy che possiamo vedere nei seguenti screenshots
e
ed ancora
ecc…
Per almeno uno dei siti proposti e’ possibile selezionare la versione in lingua italiana
In pratica il sito comunale funge da primo redirect ai siti di pharmacy.
Come si vede infatti da una analisi Fiddler il redirect ai vari siti di pharmacy passa per un ulteriore sito intermedio
ed anche
 su server con IP in range olandese
che seleziona ogni volta un differente indirizzo al sito di  vendita di medicinali online (parrebbe trattarsi di 4 indirizzi web selezionati ciclicamente)
Anche se i contenuti di pharmacy sono, come visto nella maggior parte dei casi in passato, nascosti a chi visita normalmente il sito gli effetti ‘collaterali’ a questo genere di hacking sono sempre possibili.
A parte un probabile aumento di ‘traffico’ non voluto sull’indirizzo web del sito compromesso si possono evidenziare altri problemi.
Intanto il fatto che l’url legittima del sito colpito appaia nei risultati di una ricerca in rete associata a vendita  di pharmacy, non e’ certo una buona pubblicita’, ma anche forse piu’ grave, e’ la possibilita’ che Google evidenzi nei risultati di ricerca il sito come vittima di possibile hacking, 
facendolo quindi apparire poco sicuro e magari, agli occhi di un possibile visitatore, contenente malware.
Qui, in un precedente post, altri dettagli sul pharmacy hacking.
Edgar