¿Ahora vendemos Viagra? PharmaHack

A pesar de lo jocoso del título, este tipo de ataque no tiene demasiada gracia, por la persistencia del malware utilizado, por la pérdida de reputación de la empresa afectada y por los más que dudosos productos que ofertan estos portales.

Incluso se ha producido alguna muerte por intoxicación a raiz de los fármacos vendidos por estas supuestas "farmacias canadienses".

Técnicamente, el ataque se denomina Cloaking forzado y es tan fácil o difícil de descubrir como realizar una búsqueda:

site:www.weblegítima.com -site:weblegítima.com

Si dicha búsqueda arroja mensajes en el motor del tipo "Este sitio puede haber sido comprometido" junto con resultados referentes a Levitra, Cyalis...ya estamos, indirectamente, vendiendo Viagra.

No, no es una nueva estrategia empresarial a lo "Breaking Bad" ; es PharmaHack.

¿Por qué realizan este cloaking forzado los scammers farmaceúticos? Para aprovecharse del PageRank, la reputación en buscadores, del portal legítimo.

En muchos casos se trata de páginas de Universidades, Centros Educativos y empresas totalmente alejadas de la química barata.

Lo curioso del caso, es que si reportas el hallazgo al webmaster, facilitándole la URL, el webmaster visionará un resultado de "página no encontrada".

Esto es debido a que la redirección solo se produce cuando la visita procede de una página de resultados de Google. 

PharmaHack hace uso de la cabecera HTTP "Referer" y "User-Agent". Conceptos que ya abordaremos.

En caso de obtener el resultado desde el buscador, el usuario accederá a la "farmacia canadiense" para llenar su carrito de pastis de colores.