Des sites douteux spammant des groupes de presse PH attribués à un opérateur suédois de référencement black hat – Systeme.io


Première des 2 parties
LIRE : Partie 2 | Spamming contre rançon : le business douteux du marketing SEO black hat

MANILLE, Philippines – Que se passe-t-il si quelqu’un vous demande de lui payer 36 USD (P2 058)* pour supprimer les liens retour indésirables de son site Web vers le vôtre que vous n’avez pas demandé au départ ?

Pour l’internaute ordinaire, l’idée de facturer la suppression des mauvais backlinks peut sembler absurde. Dans le monde pervers des opérateurs d’optimisation des moteurs de recherche (SEO) black hat, cependant, cela prend tout son sens car il existe un marché qui peut être exploité. De plus, c’est une activité potentiellement lucrative.

Fin juillet 2022, nous avons découvert que Rappler, ABS-CBN, Philstar, entre autres, étaient fortement spammés par des milliers de sites Web douteux qu’un outil de surveillance SEO décrivait comme des « réseaux de liens potentiels ». Cela a rendu les histoires de ces sites moins visibles dans les résultats de recherche.

Les opérateurs Black Hat SEO sabotent les sites d'actualités PH avec des backlinks toxiques

Tout en étant lié à des sites Web généralement avantageux, avoir de nombreux backlinks provenant de sites toxiques et spammés est une tout autre histoire. Le géant des moteurs de recherche Google, qui utilise les backlinks comme l’un des nombreux signaux pour déterminer la pertinence et l’importance d’un contenu en ligne spécifique, lutte depuis des années contre les schémas de création de liens manipulateurs.

Très récemment, un expert en recherche de Google a déjà confirmé que dans les cas où il existe un schéma clair de liens spammés et manipulateurs par le site, leur algorithme de recherche peut décider de simplement se méfier de l’ensemble du site.

Si rien n’est fait, ces backlinks spammés pourraient réduire le trafic vers les sites concernés, ce que les sites Web d’actualités qui dépendent du trafic provenant des résultats de recherche ne peuvent se permettre d’ignorer. Rappler a découvert le problème après avoir observé une forte baisse du trafic à partir des résultats de recherche en juillet.

Un système d’extorsion SEO négatif

Pour lutter contre les attaques de spam, nous nous sommes associés au groupe suédois de criminalistique numérique, Qurium Media, avec qui nous avions déjà travaillé lorsque Rappler et d’autres groupes de discussion philippins ont été confrontés à une augmentation des attaques par déni de service distribué (DDoS) avant les élections de mai 2022. (L’enquête de Qurium peut être trouvée ici)

Nous avons analysé les données sur les backlinks vers Rappler et d’autres sites d’actualités, collecté plus d’informations et identifié des modèles qui pourraient nous conduire à des coupables potentiels. Notre analyse approfondie a attiré notre attention sur le plan d’extorsion en ligne d’un opérateur SEO suédois.

SEO négatif : comment les spécialistes du marketing chapeau noir abusent des règles de Google par rapport aux backlinks toxiques

L’opérateur black hat facture 3 $ (171,55 P) par mois ou 36 $ (2 058 P) par an pour chaque lien qu’un utilisateur ajoute à son site. Cher, non ? Mais pas aussi cher si vous le comparez au prix de la suppression des backlinks indésirables : la modique somme de 36 $.

Si vous tenez compte de ces prix et du nombre de backlinks ciblant les trois sites Web d’actualités philippins, la manne potentielle pourrait aller de centaines de milliers de dollars à plus d’un million de dollars.

Cela suppose que les sites Web d’information victimes ici pourraient se permettre ce prix élevé.

L’outil de surveillance a signalé des dizaines de milliers de sites Web faisant des liens vers Rappler et d’autres sites d’actualités avec des marqueurs indiquant qu’ils font partie de « réseaux de liens potentiels : » Ceux-ci ont soit la même adresse IP, le même chemin d’URL, les titres de page, les sous-domaines racine, Google Analytics et /ou identifiants Adsense. Des milliers ont également été signalés comme étant des pages miroirs, ce qui signifie que les sites Web sont des imitateurs d’autres au sein du réseau.

Identification des spammeurs

L’outil ne nous a pas donné d’informations d’identification spécifiques. Ainsi, nous avons recueilli des données supplémentaires pour voir s’il existe effectivement des liens entre les sites Web. Cela comprenait les informations d’enregistrement de domaine historiques, les adresses IP, ainsi que des identifiants tels que les identifiants Adsense et Analytics.

Une adresse IP signifie « adresse de protocole Internet », une série de chiffres qui identifie tout appareil, tel que le matériel sur lequel se trouve un site Web, sur un réseau. Les utilisateurs humains utilisent désormais généralement des domaines ou des URL (tels que www.rappler.com) pour accéder aux sites Web, car il est plus facile pour nous de mémoriser des chaînes de texte qu’une série de chiffres. Mais les adresses IP sont toujours utilisées pour les communications d’ordinateur à ordinateur sur Internet ainsi que sur d’autres réseaux.

Bien que ce ne soit pas toujours le cas, les sites Web qui ont la même adresse IP pourraient potentiellement être gérés ou appartenir au même groupe.

Les autres points de données que nous avons collectés sont des traceurs que l’on peut trouver sur le code des sites Web. Par exemple, le code de suivi Google Adsense peut être trouvé sur les sites qui utilisent le service de monétisation Web de Google pour activer la publicité display. D’autre part, le code Google Analytics permet aux administrateurs et propriétaires de sites Web de suivre le trafic du site Web.

La recherche de codes de suivi similaires dans un groupe de sites Web indique généralement qu’ils ont les mêmes administrateurs ou propriétaires de sites Web. Pour obtenir les codes de suivi, nous avons dû les extraire du code des sites Web signalés par l’outil de surveillance SEO.

Combinées, les informations ci-dessus pourraient aider à identifier des groupes de sites susceptibles d’avoir les mêmes propriétaires ou administrateurs. Le graphique en réseau ci-dessous visualise ces clusters. (En raison de la quantité de données rendues, le chargement de la visualisation complète peut prendre une minute ou deux.)

Certains des grands clusters de la carte du réseau sont des sites et des applications créés via des services tels que Blogspot, Firebase, Netlify, Typepad, Weebly, Appspot, Booklikes. Ces sites sont hébergés sur le même service, ce qui signifie qu’ils ont la même adresse IP.

Parce qu’il s’agit de services gratuits ou qu’ils ont des niveaux gratuits, ces services sont souvent exploités par des black hats dans des programmes de création de liens.

Cependant, le fait d’être hébergé sur ces sites ne rend pas nécessairement les sites suspects. Ce qui est d’autres indicateurs : beaucoup d’entre eux sont des liens directs ou intègrent directement des images ou des actifs des sites Web d’actualités, un comportement abusif. Beaucoup utilisent également du contenu qui est soit copié à partir d’autres sites, soit clairement créé à l’aide d’outils de génération de contenu automatisés.

Malheureusement, comme Facebook et d’autres comptes de médias sociaux, il est très difficile de retracer le véritable propriétaire de ces sites. Il convient toutefois de noter que les sites Web de ces grands clusters sont liés à d’autres clusters avec des identifiants traçables.

Traquer un chapeau noir

Le groupe suivant qui s’est démarqué était un groupe de sites qui partageaient le même titre : « The Globe – Les pages Web les plus visitées au monde ». Le cluster était particulièrement intéressant car, parmi les sites Web signalés, l’outil a classé ces sites comme hautement toxiques ou faisant probablement partie de programmes de création de liens.

L’outil de surveillance de la recherche a révélé des centaines de sites Web à la disposition similaire avec le même titre de navigateur. Ces sites Web ciblaient non seulement Rappler, mais également les sites Web d’ABS-CBN News et de Philstar.

BACKLINKS INDESIRABLES. Les sites Web liés au Globe ont été fortement liés aux sites Web d’information philippins ABS-CBN News, Philstar et Rappler

Des vérifications aléatoires des sites Web de ce groupe ont montré que les sites étaient presque uniformes en termes d’apparence et de contenu – consistant en un logo avec l’image du globe et une invitation aux visiteurs à ajouter leurs pages Web et leurs produits sur le site Web du Globe. En dehors de cela, les sites Web comportent généralement une longue liste de liens vers divers sites Web.

Des vérifications supplémentaires ont montré que la plupart de ces sites renvoyaient ou redirigeaient vers le site Web http://theglobe(dot)se

SITES MIROIR. Captures d’écran de certains sites Web The Globe hébergés sur l’adresse IP (78.69.18.135).

En collaboration avec Qurium Media, Rappler a constaté que ce groupe de sites ne partageait pas seulement les mêmes titres ou la même apparence. Plus d’une centaine de sites présentant ces caractéristiques, qui étaient liés à Rappler, partageaient la même adresse IP (78.69.18.135), ce qui signifie qu’ils étaient hébergés sur le même appareil.

Comment un réseau de sites Web avec très peu de valeur informative pour les utilisateurs finaux et aucune publicité visible tire-t-il profit de liens répétés vers d’autres sites Web ?

C’est là que le schéma d’extorsion de backlinking entre en jeu. Si vous allez sur le site http://theglobe(dot)se/, vous trouverez un lien hypertexte avec ce texte : « lagg till lankar » (en suédois pour « ajouter des liens »). En cliquant sur ce lien, vous accédez à une page Web qui facture 3 $ par mois ou 36 $ par an pour chaque lien ajouté au site.

PAYEZ PAR SERVICE DE BACKLINK. The Globe facture aux sites Web de ses clients 3 USD par lien entrant à partir de leur site.

Au total, plus de 500 sites Web, dont des centaines de sites qui spammaient Rappler, ABS-CBN et Philstar, sont hébergés sur cette adresse IP.

Certains des domaines de ces sites étaient enregistrés de manière privée, ce qui signifie que la personne ou l’entité qui a enregistré le domaine a été supprimée des enregistrements.

Cependant, au moins un site avait un titulaire visible publiquement en décembre 2021 : un individu nommé Richard Genmar dont l’adresse indiquée est à Stockholm, en Suède. Le domaine est the-search-engine(dot)net, un site Web qui ciblait à la fois Rappler et Philstar.

En avril 2022, l’enregistrement du titulaire de ce site Web a été supprimé des enregistrements d’enregistrement de domaine. Mais il est fort probable que le propriétaire et la nature du site Web n’aient pas changé, car un instantané que nous avons trouvé du site sur Wayback Machine a montré que l’apparence du site Web en décembre 2021 était la même qu’aujourd’hui.

Nous avons recherché d’autres informations générales sur Richard Genmar en ligne. Son nom, Jan Richard Genmar, apparaît également comme le propriétaire de la marque « The Globe », le logo figurant sur les sites Web hébergés à l’adresse IP : 78.69.18.135.

Dans une liste gouvernementale des entreprises opérant au Royaume-Uni, le nom de Genmar apparaît également en tant que directeur de The Globe, Int. LTD. Le dossier du gouvernement britannique indique qu’il est suédois, mais cela n’a pas pu être vérifié de manière indépendante. Le site Web lui-même a une clause de non-responsabilité qui dit: « Companies House ne vérifie pas l’exactitude des informations déposées. »

Nous avons approfondi l’adresse IP 78.69.18.135 et découvert que cet appareil se trouve dans l’infrastructure de serveur de Telia Company AB, une multinationale suédoise de télécommunications et un opérateur de réseau mobile présent en Suède, en Finlande, en Norvège, au Danemark, en Lituanie, en Lettonie et en Estonie.

Cette adresse IP spécifique avait déjà été signalée pour abus en relation avec le spam Web. – avec Bingbong Recto et Ogoy San Juan/Rappler.com

(La partie 2 aborde le côté commercial d’une opération de référencement négative et son fonctionnement. Elle explore également les options pour les propriétaires des sites concernés.)

*Taux de conversion : 1 $ = 57,18 P

[ad_3]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *