SERP фейкинг

SERP-фейкинг (от англ. Search Engine Results Page — страница результатов поиска) — это комплексная черная хакерская техника манипулирования поисковыми системами, целью которой является продвижение мошеннических, фишинговых или зараженных вредоносным ПО ресурсов на первые позиции выдачи.

В 2025-2026 годах эта угроза вышла на принципиально новый уровень. Если раньше пользователь опасался откровенно подозрительных ссылок на форумах или в спам-письмах, то сегодня ловушка может ждать его на первой странице Google или Яндекса по вполне безобидному запросу. Злоумышленники больше не взламывают миллионы сайтов ради рассылки спама — они точечно отравляют выдачу (SEO poisoning), подменяя доверие к поисковикам в своих интересах.

В этой статье мы подробно разберем, что такое SERP-фейкинг, какие технологии используют киберпреступники для обмана алгоритмов, а также приведем актуальные данные о подпольных рынках услуг по манипуляции выдачей.

Что такое SERP-фейкинг и почему это опасно?

SERP-фейкинг (также известный как Search Engine Poisoning) - это метод нечестной оптимизации, при котором создаются поддельные страницы-двойники (doorway pages) или взламываются существующие сайты с целью показа вредоносного контента исключительно поисковым роботам либо перенаправления на него доверчивых пользователей.

Опасность метода заключается в его "естественности" для обывателя. Многие пользователи подсознательно верят, что поисковая система уже "проверила" безопасность ресурса, выдав его в топе. Однако поисковики оценивают релевантность текста и ссылочную массу, но не всегда могут вовремя распознать подмену контента (клоакинг) или наличие вредоносного скрипта.

Как это работает?

Алгоритм классической атаки с использованием SERP-фейкинга выглядит следующим образом:

Выбор цели (Keyword Research): Злоумышленники выбирают популярные и часто искомые темы - сезонный товар, бухгалтерскую отчетность, скачивание популярных программ (OBS Studio, Notepad++), новости или даже корпоративные сервисы вроде Semrush

Результат для пользователя плачевен: от кражи логинов и паролей до заражения системы троянами для удаленного доступа (RAT), шифровальщиками или банковскими стилкерами.

Технологии и методы SERP-фейкинга

Чтобы лучше понять структуру явления, рассмотрим основные технологические приемы, используемые мошенниками для подмены выдачи.

Основные методы SERP-фейкинга и их механизмы

Клоакинг (Cloaking)

Показ разного контента поисковому роботу и пользователю.	Анализ User-Agent и IP-адреса посетителя. Боту отдается SEO-текст, пользователю - вредоносный код.
Тайпсквоттинг / Подмена доменов

Регистрация доменов, визуально или фонетически похожих на известные бренды.	Использование доменов вроде `semrush[.]click` или подмена символов для обмана пользователя при быстром просмотре URL.
Doorway-страницы + JS-редирект

Создание страниц-прокладок, насыщенных ключами, которые мгновенно перенаправляют посетителя на целевой сайт.	Использование `location.replace()` в JavaScript. Поисковик индексирует контент, пользователь попадает на мошеннический ресурс.
Взлом легитимных сайтов (IISerpent)

Внедрение вредоносных модулей на серверном уровне (например, в IIS).

Модификация ответа сервера только для поисковых ботов. На сайт добавляются скрытые ссылки, повышающие рейтинг нужного мошеннику ресурса.

Подпольный рынок: Сервисы Manipulation-as-a-Service

SERP-фейкинг давно перестал быть уделом одиночек-хакеров. Сегодня это полноценная индустрия с собственной инфраструктурой. Как сообщают аналитики Fortra и ESET, существуют целые преступные группы (например, Haxor, IISerpent, Watch Wolf), которые предлагают услуги по манипуляции поисковой выдачей.

Одним из ярких примеров является проект HxSEO, работающий через Telegram и WhatsApp. Его участники продают ссылки со взломанных легитимных сайтов. Уникальность метода в том, что используются старые домены с высоким уровнем доверия (15-20 лет), которые поисковые алгоритмы считают авторитетными. Стоимость одной такой ссылки составляет около 6 долларов. Покупатель получает возможность вывести в топ поиска страницу, которая маскируется под крупный банк или популярный онлайн-сервис.

Другой пример - вредонос IISerpent. Этот троян внедряется в конфигурацию веб-серверов Microsoft IIS. Он анализирует входящие запросы и, если видит, что пришел поисковый робот, подменяет содержимое страницы, вставляя туда сотни ссылок на нужный преступникам ресурс. Владелец сайта может годами не подозревать, что его сервер работает как "ферма ссылок" для продвижения порносайтов или онлайн-казино.

Кейс: Атака на бухгалтеров

Показательным примером эффективности SERP-фейкинга является кампания группы Watch Wolf, зафиксированная экспертам. Злоумышленники создали сайты, имитирующие ресурсы для бухгалтеров. С помощью SEO-отравления эти сайты были выведены на первую страницу поисковой выдачи по запросам, связанным с бухгалтерской документацией.

Жертва скачивала файл, который, по заверению сайта, должен был быть Excel-таблицей. На самом деле загружался SFX-архив, содержащий бэкдор DarkWatchman. Этот бэкдор позволял преступникам получить полный удаленный доступ к компьютеру, установить кейлоггер и в конечном итоге вывести деньги через систему онлайн-банкинга. Ущерб от подобных атак может достигать десятков миллионов рублей.

Как распознать и защититься от SERP-фейкинга

Борьба с SERP-фейкингом осложняется тем, что поисковые системы неидеальны. Однако существуют четкие индикаторы, которые помогут как обычным пользователям, так и владельцам сайтов избежать ловушки.

Для владельцев сайтов важно отслеживать резкие падения позиций в поиске, жалобы пользователей на блокировку ресурса или появление в коде сайта скрытых элементов. Проверить код можно нажатием Ctrl+U в браузере и поиском таких CSS-свойств, как display:none, visibility:hidden или position:absolute, которые могут скрывать ссылки на сомнительные ресурсы.

Для пользователей главное оружие - внимательность и техническая гигиена. Не стоит слепо доверять первым ссылкам в выдаче, особенно если они помечены как реклама. Мошенники активно используют Google Ads для продвижения фишинговых копий, таких как поддельные страницы входа в Semrush или даже сам Google Ads. Перед вводом пароля всегда проверяйте доменное имя в адресной строке.

SERP-фейкинг представляет собой эволюцию киберугроз, смещая фокус атак с периферии (спам-рассылки) в центр доверия пользователя - поисковую выдачу. Методы злоумышленников становятся все более изощренными: от использования поддельных рекламных объявлений Google Ads до сложных серверных троянов, манипулирующих данными на уровне ядра веб-сервера.

Главная опасность заключается в том, что эта угроза долгое время остается незаметной. Пользователь думает, что переходит на сайт популярного банка или сервиса, а на самом деле отдает свои данные преступникам. Противостоять этому можно только комплексно: сочетая бдительность, современные средства защиты и понимание того, что не все ссылки из "топа" одинаково безопасны.
Создание платформы: Создается сайт (или взламывается существующий легитимный ресурс). Если сайт создается с нуля, он наполняется уникальным, сгенерированным контентом, чтобы обмануть алгоритмы индексации.

Манипуляция (Клоакинг): Настраивается логика сервера. Поисковому боту (Googlebot) отдается "белая" версия страницы, полная ключевых слов и релевантного текста. Обычному пользователю отдается либо редирект (часто через JavaScript), либо фишинговая форма, либо сразу запускается загрузка вредоносного ПО.

Наращивание ссылочной массы: Чтобы обойти алгоритмы авторитетности, преступники размещают ссылки на свои ресурсы на форумах, в комментариях или покупают их в специализированных сервисах (например, на подпольных биржах вроде HxSEO).