O que é URL hijacking e como prevenir um attack?

O chamado URL hijacking pode fazer com que seu site seja removido da indexação de um mecanismo de busca, per­ma­ne­cendo oculto a po­ten­ci­ais vi­si­tan­tes. Este fenômeno costuma ocorrer devido ao uso de re­di­re­ci­o­na­men­tos ao invés de links.

O que é URL hijacking?

URL hijacking pode ser explicado como o fenômeno no qual um site de­sa­pa­rece dos re­sul­ta­dos de um mecanismo de busca, sendo subs­ti­tuído por outro. Este segundo site, por sua vez, acessa o site de fato ou o URL de destino real, por meio de um re­di­re­ci­o­na­mento. Por exemplo, site-linkado.com leva ao site-de-fato.com, por re­di­re­ci­o­na­mento ao invés de pela tag HTML <a>, que é o usual. Nestes casos, o URL de re­di­re­ci­o­na­mento se assemelha ao do exemplo:

site-linkado.com/redirect.php?target=site-de-fato.com

Quando um mecanismo de busca encontra um link assim, ele entende o site que contém o link de re­di­re­ci­o­na­mento e o site de destino como idênticos. Con­se­quen­te­mente, o mecanismo de busca remove um dos dois da indexação, por orientar-se por de­fi­ni­ções de códigos de status HTTP anexados ao re­di­re­ci­o­na­mento de URL.

Enquanto o cógido 301: Movido Per­ma­nen­te­mente (Moved Per­ma­nen­tly) evidencia o re­di­re­ci­o­na­mento per­ma­nente do URL so­li­ci­tado, o código 302: En­con­trado (Found) sinaliza um re­di­re­ci­o­na­mento tem­po­rá­rio para o URL designado. O primeiro caso não traz problemas ao site, en­tre­tanto o re­di­re­ci­o­na­mento 302 é a principal causa de URL hijacking. É que este tipo de re­di­re­ci­o­na­mento sugere aocrawlerdo mecanismo de busca que o site de destino (oficial) é tem­po­rá­rio e que o site linkado (tem­po­rá­rio) é oficial. Sem uma ve­ri­fi­ca­ção adequada, apágina incorreta é indexada e assume a clas­si­fi­ca­ção da página oficial.

Quando re­di­re­ci­o­na­men­tos 301 e 302 são usados?

Existem diversos motivos para se usar re­di­re­ci­o­na­men­tos de URL. O re­di­re­ci­o­na­mento per­ma­nente (301) de domínios com erros de digitação ao domínio correto é uma prática comum. Por exemplo, se você digitar aci­den­tal­mente googel.com, ao invés de google.com na barra de endereço do navegador, ainda assim chegará ao site original do popular mecanismo de busca.

O re­di­re­ci­o­na­mento per­ma­nente ao endereço correto de uma página principal também não é incomum. Por exemplo, ao visitar a página principal (da versão em língua por­tu­guesa) da Wikipédia, digitando pt.wikipedia.org no navegador, você será levado au­to­ma­ti­ca­mente ao endereço https://pt.wikipedia.org/wiki/Wikipédia:Página_principal por meio de um re­di­re­ci­o­na­mento 301. De­sen­vol­ve­do­res também usam re­di­re­ci­o­na­men­tos per­ma­nen­tes para levar vi­si­tan­tes ao novo endereço após uma mudança de domínio ou ao conteúdo de um projeto web que tenha recebido um novo URL.

Por outro lado, re­di­re­ci­o­na­men­tos 302 são usados, prin­ci­pal­mente, para exibir tem­po­ra­ri­a­mente o conteúdo de outro URL, para que o primeiro permaneça acessível. Isso é útil, por exemplo, se a página oficial estiver em ma­nu­ten­ção. Quando um de­sen­vol­ve­dor cria ma­nu­al­mente este tipo de re­di­re­ci­o­na­mento, sua intenção é que o conteúdo volte a ser exibido fu­tu­ra­mente pelo URL oficial. Existem três cenários de re­di­re­ci­o­na­mento que podem resultar em URL hijacking, sendo que um deles é usado in­ten­ci­o­nal­mente com essa fi­na­li­dade.

Uso não in­ten­ci­o­nal do re­di­re­ci­o­na­mento 302

É possível que de­sen­vol­ve­do­res linkem projetos di­fe­ren­tes usando um re­di­re­ci­o­na­mento tem­po­rá­rio, sem que haja má intenção. Por exemplo, eles podem fazer isso aci­den­tal­mente enquanto tentam con­fi­gu­rar um re­di­re­ci­o­na­mento per­ma­nente. O mecanismo de reescrita de URL do servidor web Apache mod_rewrite concede aos re­di­re­ci­o­na­men­tos, por padrão, o código 302.

URLs gerados di­na­mi­ca­mente

PHP é uma linguagem de script am­pla­mente usada no de­sen­vol­vi­mento web. É que os scripts de servidor desta linguagem de pro­gra­ma­ção cons­ti­tuem forma simples e prática de criar conteúdo dinâmico para sites. No entanto, muitas vezes estes scripts PHP integram di­na­mi­ca­mente endereços de destino a URLs já exis­ten­tes, por re­a­li­za­rem re­di­re­ci­o­na­men­tos tem­po­rá­rios por meio da uti­li­za­ção do código 302. Scripts deste tipo são ge­ral­mente usados em di­re­tó­rios de endereços web, mas também podem estar presentes em sistemas de ge­ren­ci­a­mento de conteúdo (CMS).

URL hijacking attack: Re­di­re­ci­o­na­mento in­ten­ci­o­nal

Cri­mi­no­sos conhecem a prática de URL hijacking e, muitas vezes, se apro­vei­tam dela. De forma in­ten­ci­o­nal, eles utilizam re­di­re­ci­o­na­men­tos 302 para im­pul­si­o­nar conteúdos próprios na indexação dos me­ca­nis­mos de busca, “se­ques­trando” (hijacking, em inglês) páginas com boa clas­si­fi­ca­ção. Tal es­tra­té­gia não é sus­ten­tá­vel e tampouco legal, con­fi­gu­rando uma prática que se enquadra como black hat SEO.

URL hijacking attack vs. outros métodos de ataque

URL hijacking attack costuma ser con­fun­dido com outros métodos cri­mi­no­sos, como domain hijacking e ty­pos­quat­ting. Na verdade, cada um configura um ataque diferente, mas todos podem ser usados para pre­ju­di­car você ou a clas­si­fi­ca­ção do seu site.

URL hijacking vs. domain hijacking

Embora tanto URL hijacking quanto domain hijacking sejam usados com o intuito de assumir o controle de um site, os dois métodos de ataque são di­fe­ren­tes, es­pe­ci­al­mente no que diz respeito à abordagem.

A prática de domain hijacking ocorre quando cri­mi­no­sos controlam um domínio depois de con­se­gui­rem acesso às contas de ge­ren­ci­a­mento dele, por exemplo, mediante alteração de con­fi­gu­ra­ções do sistema de nomes de domínio (DNS). No pior dos cenários, os cri­mi­no­sos conseguem assumir controle total sobre a presença web de uma vítima.

URL hijacking vs. ty­pos­quat­ting

A técnica de ataque conhecida como ty­pos­quat­ting se aproveita de erros de digitação. A prática atua nos re­di­re­ci­o­na­men­tos que costumam ser usados para ajudar vi­si­tan­tes a chegarem ao destino desejado, mesmo que cometam pequenos erros de digitação. Ao pra­ti­ca­rem ty­pos­quat­ting, cri­mi­no­sos registram pro­po­si­tal­mente domínios com erros de digitação comuns, para levar vi­si­tan­tes a outros sites, que costumam conter códigos ma­li­ci­o­sos.

Como proteger seu site contra URL hijacking attack

Quem tenta melhorar a clas­si­fi­ca­ção do próprio site sabe como o processo é de­sa­fi­a­dor e demorado. Por con­sequên­cia, quanto mais você sobe na clas­si­fi­ca­ção dos me­ca­nis­mos de busca, maior é a pro­ba­bi­li­dade de suas páginas indexadas serem atacadas. Ao contrário de um ataque que ocorre por causa de brechas de segurança em um projeto, o URL hijacking attack está di­re­ta­mente ligado à prática SEO de link building. Portanto, ele não pode ser impedido por softwares antivírus.

Por isso, é muito im­por­tante que você analise re­gu­lar­mente tanto seus backlinks novos quanto os antigos, com o objetivo de filtrar URLs pro­ble­má­ti­cos. Existem diversas fer­ra­men­tas e serviços que lhe ajudam na tarefa. Entre elas estão:

• SEMrush
• Lin­kRe­se­ar­ch­To­ols
• SISTRIX
• Google Search Console

Ainda, o Google dis­po­ni­bi­liza uma fer­ra­menta para remover URLs, que permite excluir qualquer re­di­re­ci­o­na­mento in­de­se­jado que aponte para o seu site na indexação do buscador. Antes de fazer isso, contudo, entre em contato com o ad­mi­nis­tra­dor res­pon­sá­vel pelo seu site e solicite o ajuste do ro­te­a­mento. Fazendo assim, talvez você consiga manter os backlinks afetados. O código de status 307: Re­di­re­ci­o­na­mento Tem­po­rá­rio (Temporary Redirect) é outra opção de ro­te­a­mento tem­po­rá­rio, dis­po­ní­vel a partir do HTTP 1.1, que não resulta em URL hijacking.

Se seu site oficial já tiver de­sa­pa­re­cido da indexação, entre em contato com a equipe de aten­di­mento do mecanismo de busca e solicite a res­tau­ra­ção da clas­si­fi­ca­ção original, depois que você já tiver removido ou alterado o(s) backlink(s) afetado(s).