Vreemde Google zoekresultaten....
Iemand meldde ons een opmerkelijk Google zoekresultaat bij het zoeken naar een zeer specifiek elektronica-component. De man vertelde dat hij op de website van een Nederlands autoschadebedrijf ook elektronica-componenten kon bestellen. Dit specifieke component is zeer lastig te verkrijgen, dus dat vertrouwde hij niet. Wij zijn op onderzoek uitgegaan en hebben ontdekt wat hier precies gaande was.

Aan de hand van de tekst in de nep-pagina zijn we er in geslaagd om meerdere getroffen websites te achterhalen. Het blijken allemaal Wordpress websites te zijn, met een specifiek contactformulier van de Wordpress Plugin Contact Form 7. Dit contactformulier heeft een bekende kwetsbaarheid, die deze hackers gebruiken om hun valse productpagina's op andere websites te kunnen plaatsen.
En zo komt een lastig verkrijgbaar electronica-component op de site van een autoschadebedrijf terecht.

Vreemd genoeg bevat geen enkele van deze valse productpagina's links naar een andere website of kwaadaardige code. Dus wat is nu precies het doel van deze hackers? Waarom plaatsen zij zomaar productpagina's op websites ?

Via de Contact Form 7 plugin op Wordpress websites plaatsen ze met behulp van een exploit een valse productpagina, daarmee maken ze misbruik van de SEO en de betrouwbare naam van bestaande websites. Deze websites bestaan vaak langere tijd en hebben een goede SEO score zodat deze hoog in de organische zoekresultaten van Google verschijnen.

Wanneer we klikken op de valse links komen we uit op de valse productpagina, die vervolgens niets verkeerd doet en ook geen links bevat naar een website van kwaadwillenden.
Een link van een valse productpagina openen vanuit Google Images zet ons wél door naar een valse webwinkel waar hetzelfde product wordt aangeboden. Het zoekresultaat van het elektronica-component verschijnt voor een bekend, vertrouwd, maar ongerelateerd .nl domein. Wanneer we daar op klikken, staan we ineens in een valse webwinkel.

Hoe werkt die truuk dan?
In de code van de valse productpagina's kunnen we niet terug zien wat de code is die verantwoordelijk is voor de doorzetting naar de valse webwinkel. Alleen zien we dat er een paar Google Tag Manager en Google Analytics scripts worden geladen, die na kort bestuderen ook daadwerkelijk netjes vanaf Google worden geladen.

Ondanks dat deze scripts vanaf Google worden geladen, zit hier toch de hack in verstopt.
De Google Tag Manager is bekend kwetsbaar te zijn voor dit soort doorzettingen. In de ID van de Google Tag Manager specificeren de hackers hun eigen ID met daarachter de scripts die worden geladen.
Dit is reguliere functionaliteit die Tag Manager flexibel houdt, maar dus ook kwetsbaar maakt.
Google Tag Manager en Google Analytics zijn veel gebruikte en vertrouwde oplossingen. Door de scripts juist daar te verstoppen valt de hack minder snel in het oog bij beheerders.

Hoe verdienen ze hier geld aan?
De hackers uploaden zelfs de links van plaatjes voor deze producten op eBayimg, picclickimg en andere locaties. Met deze plaatjes komt de pagina ook keurig terug in de Image Search resultaten van Google en komt de pagina betrouwbaar over voor bezoekers, want zij zien de domeinnaam van het slachtoffer, niet het domein van de valse webwinkel.

De hackers slagen er zo in ongemerkt verkeer te trekken naar de webwinkels die zij beheren, of ze verkopen dit soort constructies aan bedrijven om zo meer traffic te genereren.

Afloop
De Nederlandse slachtoffers zijn door ons gewaarschuwd, zij hebben snel actie ondernomen.

Meer achtergrond informatie
WP exploit: https://www.exploit-db.com/exploits/44367
Google Tag Manager: https://securityboulevard.com/2018/04/malicious-activities-with-google-tag-manager/