Pharma hack

De pharma hack is een exploit die gebruik maakt van kwetsbaarheden in WordPress of Joomla documenten, waardoor zoekmachines, met name die gehost door Google, advertenties voor farmaceutische producten terugsturen samen met legitieme vermeldingen. De hack kan moeilijk te detecteren zijn omdat het geen invloed heeft op de weergegeven pagina's van de gecompromitteerde website of blog.

Het doel van de farma hack is om farmaceutische verkoopsites die ze promoten hoger in de Google resultaten te laten verschijnen dan ze anders zouden doen. De zoekmachine van Google rangschikt de lijst met hits voor een bepaalde website aan de hand van (onder andere) het aantal externe sites dat naar de site linkt. Door de malafide code op de site van een nietsvermoedend slachtoffer te plaatsen, linkt de hack die site in feite naar de site van de cracker. Als dit op grote schaal gebeurt, kan deze tactiek ertoe leiden dat de website van de cracker bovenaan komt te staan in verschillende trefferlijsten die het resultaat zijn van zoekopdrachten op basis van trefwoorden.

In WordPress bestaat de pharma hack uit bestanden in de map plugins die kwaadaardige code bevatten die andere, vermomde code in de database uitvoert. De code wordt vermomd door de volgorde van de strings om te keren, waardoor het probleem moeilijk te detecteren is als een hack. Om de hack te laten werken, moeten de kwaadaardige bestanden in de map met plugins staan. Eenmaal geactiveerd, pingt de hack Google om te achterhalen hoeveel links er bestaan voor een bepaalde vermelde webpagina. Hoe meer links een pagina heeft, des te "gewilder" is deze als doelwit, en des te groter is de kans dat deze wordt gehackt.

Om te achterhalen of een bepaalde site door de farma-hack is gecompromitteerd, raden deskundigen aan een specifieke tekenreeks in te voeren in de zoekmachine van Google. Typ "site" gevolgd door een dubbele punt, dan de domeinnaam gevolgd door een spatie, dan "Viagra" en druk tenslotte op de zoekknop. Als de site is aangetast, verschijnen er ongebruikelijke beschrijvingen die verwijzen naar echte pagina's of blogberichten. De gewijzigde title-tag en links zijn alleen te zien in de zoekresultaten, niet op de gehackte site zelf.

Slachtoffers van de pharma hack hebben gemeld dat het verkeer naar hun sites is afgenomen en, in sommige gevallen, dat hun sites door Google uit de lijsten met zoekresultaten zijn verwijderd. Omdat website-eigenaren niet direct kunnen zien wanneer hun site is gehackt, kan de online reputatie van een legitiem bedrijf of individu ernstige schade oplopen voordat de malafide code kan worden verwijderd. Eenmaal ontdekt, kan de code uit de getroffen bestanden worden verwijderd, hoewel dit proces veel tijd en moeite kan kosten.