Desvio de URL: em que consiste

Através do sequestro de URL (também conhecido como «URL hijacking»), a sua página pode ser removida do índice do motor de busca, o que a oculta a todos os po­ten­ci­ais vi­si­tan­tes. Este fenómeno ocorre quando, em vez de links diretos, se recorre a re­di­re­ci­o­na­men­tos.

O que é o sequestro de URL?

Por «sequestro de URL» entende-se uma forma de ci­ber­cri­mi­na­li­dade que faz de­sa­pa­re­cer uma página da lista de re­sul­ta­dos e a substitui por outra. Esta segunda página remete para a página ver­da­deira, mas não através de um link direto com a tag <a> do HTML, mas sim por meio de um re­di­re­ci­o­na­mento. Neste exemplo, tu-pagina.es é ligada à pagina-que-enlaza.es através de um re­di­re­ci­o­na­mento:

www.pagina-que-enlaza.es/redirect.php?target=www.tu-pagina.es

Quando o motor de busca encontra um link deste tipo, in­ter­preta que ambas as páginas são idênticas, o que faz com que elimine uma delas do índice, como se se tratasse de um duplicado. Para realizar esta ação, o motor de busca baseia-se nos códigos de estado HTTP próprios das re­di­re­ções.

Enquanto o código 301 indica um re­di­re­ci­o­na­mento per­ma­nente (Moved per­ma­nen­tly) para o domínio indicado, o código 302 é utilizado para indicar um re­di­re­ci­o­na­mento tem­po­rá­rio (Found) e, enquanto o primeiro não apresenta problemas, o segundo permite o sequestro de URLs. Este tipo de re­di­re­ci­o­na­mento tem­po­rá­rio, que não implica qualquer ve­ri­fi­ca­ção da relação entre ambas as páginas, sugere ao ras­tre­a­dor do motor de busca que a página para a qual se re­di­re­ci­ona só existe durante um período de tempo limitado e que a página de destino é a ver­da­deira, de modo que o site falso passa a fazer parte do índice do motor de busca, recebendo assim o po­si­ci­o­na­mento do site ver­da­deiro.

Re­di­re­ci­o­na­men­tos 301 e 302: quando e por que são uti­li­za­dos

O re­di­re­ci­o­na­mento de domínios é realizado por diversos motivos. Uma prática muito comum consiste em utilizar o código 301 para re­di­re­ci­o­nar per­ma­nen­te­mente os domínios com erros or­to­grá­fi­cos para o domínio correto, de modo que, se for digitado googel.es em vez de google.es na barra de pesquisa do navegador, a página inicial do motor de busca seja aberta. Também é habitual re­di­re­ci­o­nar para o endereço correto da página inicial.

Por exemplo, ao abrir a página principal da Wikipédia em espanhol no es.wikipedia.org, um re­di­re­ci­o­na­mento do tipo 301 leva ao endereço https://es.wikipedia.org/wiki/Wikipedia:Portada. Os ad­mi­nis­tra­do­res também utilizam re­di­re­ci­o­na­men­tos per­ma­nen­tes quando, após uma mudança de domínio, pretendem en­ca­mi­nhar os vi­si­tan­tes para o novo domínio ou indicar cor­re­ta­mente o conteúdo das páginas com um novo endereço web.

Por outro lado, os re­di­re­ci­o­na­men­tos do tipo 302 têm como função principal apre­sen­tar conteúdo num domínio diferente por um período de tempo limitado, por exemplo, durante trabalhos de ma­nu­ten­ção. Quando um webmaster cria este re­di­re­ci­o­na­mento ma­nu­al­mente, ge­ral­mente fá-lo com a intenção de que o conteúdo volte a aparecer na página original em algum momento. No entanto, existem três cenários de re­di­re­ci­o­na­mento tem­po­rá­rio que podem conduzir ao sequestro de URL ou que têm mesmo esse objetivo.

Uti­li­za­ção in­vo­lun­tá­ria do re­di­re­ci­o­na­mento 302

É possível que alguns ad­mi­nis­tra­do­res criem um re­di­re­ci­o­na­mento tem­po­rá­rio para um projeto externo sem que haja qualquer intenção maliciosa por trás disso. Pode tratar-se de um erro, pois, na verdade, deveria ter sido con­fi­gu­rado um re­di­re­ci­o­na­mento per­ma­nente. O módulo de reescrita de URLs do servidor Apache, o mod_rewrite, também cria re­di­re­ci­o­na­men­tos 302 por pre­de­fi­ni­ção.

URL geradas di­na­mi­ca­mente

O PHP é fun­da­men­tal no de­sen­vol­vi­mento web. Os códigos do lado do servidor escritos nesta popular linguagem de pro­gra­ma­ção cons­ti­tuem uma forma simples e prática de criar conteúdos dinâmicos para a web, mas também existem scripts PHP que re­di­re­ci­o­nam endereços de forma dinâmica numa URL, uti­li­zando para tal o código de estado 302. Este tipo de scripts é utilizado, sobretudo, em di­re­tó­rios de endereços web, mas também em muitos sistemas de gestão de conteúdos.

Sequestro de URL com intenções cri­mi­no­sas

Os se­ques­tra­do­res de URL também estão fa­mi­li­a­ri­za­dos com o código de re­di­re­ci­o­na­mento tem­po­rá­rio e fazem bom uso dele para im­pul­si­o­nar a indexação dos seus próprios conteúdos, «se­ques­trando» para tal as páginas melhor po­si­ci­o­na­das. Esta prática, que não é sus­ten­tá­vel a longo prazo nem, de facto, legal, conta-se entre as técnicas im­po­pu­la­res do chamado black hat SEO.

Com­pa­ra­ção do sequestro de URL com outros métodos de ataque

É comum confundir o sequestro de URL com outros métodos de ataque, como o sequestro de domínio ou o ty­pos­quat­ting. No entanto, embora também possam afetar a clas­si­fi­ca­ção do seu site, não são a mesma coisa.

Sequestro de URL vs. sequestro de domínio

Embora tanto o sequestro de URL como o sequestro de domínio sejam uti­li­za­dos com o objetivo de assumir o controlo de um site, existe uma diferença fun­da­men­tal na abordagem. No sequestro de domínios, os atacantes pretendem assumir o controlo de um domínio acedendo às contas de ad­mi­nis­tra­ção do mesmo. Para tal, alteram-se, por exemplo, as con­fi­gu­ra­ções de DNS. Desta forma, os atacantes podem assumir o controlo da presença online da vítima.

Sequestro de URL vs. ty­pos­quat­ting

Como o próprio nome indica, a técnica de ataque de­no­mi­nada «ty­pos­quat­ting» tira partido dos erros or­to­grá­fi­cos. Nor­mal­mente, quando o uti­li­za­dor comete um erro ao escrever um endereço web, é fre­quen­te­mente re­di­re­ci­o­nado para a página web correta. No entanto, no caso do «ty­pos­quat­ting», os atacantes fazem algo diferente: registam nomes de domínio que incluem erros or­to­grá­fi­cos comuns e utilizam esses nomes para di­re­ci­o­nar os vi­si­tan­tes para o seu próprio site, que muitas vezes contém código malicioso.

Como proteger o seu projeto contra o sequestro de URL

Quando se trabalha na melhoria do po­si­ci­o­na­mento de uma página, ra­pi­da­mente se percebe o quão exigente é esta tarefa. Quanto mais alto um site sobe no topo do motor de busca, maior é a pro­ba­bi­li­dade de estar na mira de algum se­ques­tra­dor de URL. Ao contrário do que acontece, por exemplo, num ataque motivado por uma vul­ne­ra­bi­li­dade no projeto, o fun­ci­o­na­mento do hijacking está in­ti­ma­mente ligado a uma dis­ci­plina fun­da­men­tal do SEO, como é a criação de links, e, por isso, é muito difícil de impedir com software de segurança. Con­se­quen­te­mente, é ne­ces­sá­rio analisar re­gu­lar­mente os backlinks, tanto os novos como os já exis­ten­tes, para filtrar domínios pro­ble­má­ti­cos.

Para tal, existe um grande número de fer­ra­men­tas e serviços online, tais como:

• SEMrush
• Lin­kRe­se­ar­ch­To­ols
• SISTRIX
• Google Search Console

Esta última inclui uma fer­ra­menta para eliminar URLs, que permite remover do índice de pesquisa re­di­re­ci­o­na­men­tos para um projeto web que não deveriam estar lá. Antes de o fazer, é re­co­men­dá­vel contactar o ad­mi­nis­tra­dor res­pon­sá­vel para que ajuste o re­di­re­ci­o­na­mento, de modo a que os links não se percam. A este respeito, o código de estado 307 (Temporary Redirect), dis­po­ní­vel desde o HTTP 1.1, permite efetuar re­di­re­ci­o­na­men­tos tem­po­rá­rios sem risco de hijacking.

Quando a página original já tiver sido removida do índice, o mais indicado seria, então, contactar o for­ne­ce­dor do motor de busca após a remoção do link pre­ju­di­cial e solicitar a re­cu­pe­ra­ção da clas­si­fi­ca­ção anterior.