È sempre bene fare attenzione a quello che succede quando si fa una ricerca.
Potresti cadere vittima di una truffa come quella che ha per oggetto dei finti link Semrush destinati a una pericolosa operazione di phishing.
Online non si può mai abbassare la guardia e la dimostrazione viene per esempio da tutte quelle email false che ti arrivano nella casella privata e che ti dicono che forse hai vinto un telefono, oppure forse sei destinatario di qualche bonus o ancora che ti dicono che il tuo abbonamento alla piattaforma di streaming che non hai mai sottoscritto sta per scadere se non attivi a giorni le credenziali.
Da alcune truffe abbiamo imparato a tenerci alla larga facilmente perché arrivano email che riguardano servizi che noi non abbiamo.
Ma c’è una nuova frontiera nelle attività illegali che riguarda ora addirittura quello che c’è nella SERP.
Per i professionisti della SEO stavolta il problema è doppio perché non riguarda potenzialmente solo i siti dei propri clienti ma se stessi: è venuta fuori una nuova campagna di phishing che ha proprio come cavallo di Troia degli spazi Google Ad finti con sponsorizzati servizi Semrush.
Vediamo quello che è stato scoperto e potenzialmente che cosa potrebbe succedere se si cadesse in questa truffa.
Il meccanismo di questa campagna di phishing è quanto mai intelligente, per quanto chiaramente si tratti di un’intelligenza che viene messa al servizio di un’attività criminale.
Il tutto parte da una serie di spazi Google Ad che in teoria dovrebbero rimandare ai servizi di una delle piattaforme più famose per la gestione della SEO, la pubblicità, le ricerche di mercato: Semrush.
Un servizio che probabilmente utilizzi anche tu oppure che vorresti utilizzare anche tu.
Se si esegue una ricerca online, per esempio su Google, i risultati che si dovrebbero ricevere dovrebbero essere quelli ufficiali.
Questo perché è chiaro che se stai cercando come parola chiave Semrush, quello che vuoi è riuscire ad avere il link al sito per poter esaminare quello che offre.
Purtroppo, proprio la notorietà di questo servizio lo ha reso anche uno strumento per una sofisticata campagna organizzata a quanto pare da un gruppo brasiliano.
A spiegare il funzionamento della minaccia, che a quanto pare per ora è stata neutralizzata, è Elie Berreby, esperto di SEO.
Quello che i criminali avevano intenzione di fare era convincere utenti Google a fare login in un fantomatico portale di Semrush utilizzando le proprie credenziali Google.
Qualcosa che facciamo tutti più volte al giorno. Il sito web cui si veniva rimandati assomigliava, a un occhio poco esperto, al sito web originale. Gli utenti venivano così tratti in inganno e i criminali raccoglievano account da poter poi utilizzare in altro modo.
Il funzionamento di questa campagna di phishing non è di certo diverso dalle altre campagne di phishing che, periodicamente, emergono nel momento in cui gli esperti di minacce informatiche le individuano.
Stavolta quello che ci colpisce particolarmente è che sia stato preso di mira e utilizzato come specchietto per le allodole un servizio così specifico come Semrush e non qualche grosso portale per pescare utenti magari tecnologicamente poco interessanti.
Per evitare che una possibile nuova truffa o una nuova campagna di phishing in grado di mimare in modo anche convincente spazi Google Ad legittimi, alcune regole sono sempre le stesse. Prima di cliccare occorre essere sicuri di trovarsi sul sito web effettivo nel quale si vuole fare login.
Come succede con le email, infatti, quello che i criminali informatici non possono fare è utilizzare eventualmente siti web con indirizzi che sono perfettamente identici a quelli originali.
Per quello che riguarda i siti che potenzialmente potrebbero chiedere di fare login con alcune credenziali specifiche, il consiglio degli esperti è quello di fare ricorso a un gestore di password.
Se infatti per pigrizia cerchi online un sito su cui in teoria hai già fatto login una volta e hai salvato le credenziali, dovresti essere in grado di utilizzare quelle credenziali salvate perché Google stesso ti dice che esistono.
Se non si innesca questo meccanismo di cortesia è bene controllare su che sito effettivamente hai finito con il cliccare.
La questione degli spazi Ad che vengono così trasformati in trappole è una questione che prima o poi andrà affrontata.
Anche perché i criminali diventano sempre più raffinati e, con l’utilizzo massiccio che si potrà fare nel futuro dell’intelligenza artificiale anche per la costruzione di contenuti, sarà necessario che i grandi attori che gestiscono in buona sostanza il modo in cui ci muoviamo online effettivamente lavorino per migliorare la sicurezza e, per quanto possibile, evitare di lasciare scorciatoie che possono essere utilizzate dai criminali.
Guardare da vicino al modo in cui gli utenti fanno ricerche online è importante per…
L'edizione 2025 del Google I/O ha confermato la centralità dell'Intelligenza Artificiale (AI) nella strategia di…
Per fare in modo che gli utenti abbiano effettivamente contenuti di qualità, Google ha creato…
La presenza delle AI Overview influisce o no sul modo in cui gli utenti consumano…
Il tuo sito web è molto probabilmente costruito a partire da una serie di elementi…
Con il motore di ricerca di Google è possibile trovare quasi qualunque cosa abbia un…