Google confonde le SERP?

Elisa Paesante
Elisa Paesante
7. Febbraio 2019
Elisa Paesante
Elisa Paesante
Elisa studied Languages and International Communication at the University of Turin, focusing on German studies and Marketing. In SISTRIX she is Country and Marketing Manager for the Italian market.

Cosa c'entra il sito di tecnocasagroup.it con la keyword "chat incontri piccanti"? Ce lo siamo chiesti anche noi, e non è il primo caso che riscontriamo: negli ultimi mesi sono stati numerosi i siti che si sono posizionati (o si posizionano tuttora) per chiavi relative all'intrattenimento per adulti. Un attacco hacker o SERP completamente sbagliate?

I primi segni

Tutto è cominciato lo scorso inverno, quando, tra i nostri domini vincenti e perdenti, abbiamo notato che il sito affariregionali.gov.it aveva ottenuto un improvviso picco nella visibilità su Google, che era aumentata del 90% in una sola settimana.

In casi simili si tratta normalmente di un attacco hacker, cosa che sembrava trasparire anche dalle keyword con cui il sito si posizionava.

Il caso sembrava archiviato: come avevamo già sostenuto in un altro articolo, i siti colpiti da attacchi hacker e spam sono fortemente aumentati durante lo scorso anno, e questo dominio sembrava aver avuto la stessa sorte.

Non un caso isolato

Le SERP

Quest’ultimo mese però questi picchi anomali di visibilità nel nostro Indice di Visibilità sono risultati numerosi, per cui abbiamo voluto vederci chiaro.

Abbiamo quindi cercato su google.it le keyword che comparivano più spesso tra i Ranking dei domini “potenzialmente hackerati”, e abbiamo notato che in quasi tutti i casi la maggior parte dei siti che si posiziona nella prima pagina delle SERP non c’entra nulla con il tema della ricerca.

I siti che compaiono per questo tipo di SERP sono i più disparati: governativi (turismopiemonte.it, aeronautica.difesa.it), universitari (unito.it, unife.it), bancari (emilbanca.it), agenzie immobiliari (casa.it, tecnocasagroup.it), musei (museodiroma.it museocasaldepazzi.it), portali di notizie (ansa.it, tgcom24.mediaset.it).

Di seguito ulteriori esempi:

La maggior parte di questi domini mostra un Indice di Visibilità con il tipico picco al rialzo individuato precedentemente, il che significa che d’improvviso il sito si è posizionato sulle pagine dei risultati per molte più keyword, aumentando la propria visibilità.

Le nuove keyword di Ranking sono sempre legate ad annunci, incontri, intrattenimento per adulti e chat online.

Nell’esempio seguente, il Toolbox ha creato dei gruppi basati sulla presenza di una determinata keyword: tecnocasagroup.it si posiziona con ben 148 keyword che contengono la parola “donne”.

Opera di un hacker?

Quando un dominio subisce un attacco hacker, le SERP di Google appaiono nel modo seguente:

Nel caso, ad esempio, di tecnocasagroup.it, il dominio si posiziona su Google per la keyword “piccanti” senza però contenerla, né nel titolo, né nel codice sorgente, né nella cache.

Il responso? Un problema di Google

Gli esempi mostrati in questo articolo non sono che una minima parte di quelli che abbiamo analizzato, prendendoli da diverse fonti. Le SERP cambiano, ma il risultato è lo stesso: i risultati che si posizionano per queste keyword (se non nella prima pagina, sicuramente nella seconda) su google.it sono siti che non hanno nulla a che vedere con essa.

Nel caso famoso della chiave “farmacia online” in cui comparivano siti per l’acquisto di viagra, la spiegazione (data da Enrico Altavilla e altri SEO) poteva derivare dal fatto che chi cerca online potrebbe effettivamente voler acquistare un prodotto che non comprerebbe in una “nel mondo reale” (nel caso del viagra, magari per vergogna).

Nei casi analizzati in questo articolo, però, questo presupposto non sta in piedi. Il nostro parere è quindi che Google non stia comprendendo il significato di queste keyword, oppure che ci sia una qualche manomissione nei risultati.

Questa è la nostra opinione, ma siamo aperti a qualsiasi altra idea o punto di vista! Se vuoi dirci la tua, lasciaci un commento qui sotto 🙂

Articoli correlati
Commenti
Martino Mosna   
7. Febbraio 2019, 15:41

Conosco perfettamente il caso, è capitato anche ad un mio cliente. Si tratta di un attacco spam piuttosto elaborato che sfrutta una falla nel processo di canonicalizzazione di Google.

Funziona a grandi linee in questo modo:
1- Lo spammer fa lo scraping completo di un dominio noto e di buona reputazione.
2- Copia il sito su un dominio differente, solitamente un dominio scaduto non già compromesso con un po’ di link popularity residua
3- Google lo indicizza ed inizia il processo di canonicalizzazione (di fatto sovrappone le URL del sito cattivo a quelle del sito buono)
4- Vengono ad un certo punto modificati i testi del sito così copiato inserendo moltissime keyword per adulti (il settore è esattamente quello degli incontri)
5- Google aggiorna i risultati, ma l’aggiornamento del processo di canonicalizzazione È PIÙ LENTO del processo di scansione
come risultato: i siti cattivi iniziano a rankare per le query con contenuto per adulti
6- A questo punto lo spammer predispone un redirect lato server per tutti i clic che provengono dalle SERP, redirigendo l’utente verso una splash page con lo scopo di indurre l’utente ad entrare nel circuito
7- In alcuni casi (ma questo è un effetto collaterale non voluto dallo spammer, che il suo scopo l’ha raggiunto al punto precedente) i siti buoni iniziano a rankare per le stesse keyword (di nuovo: è il processo di canonicalizzazione di Google che fallisce)

Qua uno screenhot di una SERP [site:nomedominio.es] del sito attaccante, da cui per ovvi motivi ho rimosso le informazioni sensibili che permettano di risalire al sito offeso: https://i.imgur.com/EbNqb6o.png

Come vedete ci sono contenuti scrapati puri (quelli rimossi in nero) mischiati a contenuto per adulti a tema incontri.

Nel caso del cliente ce ne siamo accorti perché abbiamo visto questo hostname insolito nei rapporti di Analytics.

Fabio   
8. Febbraio 2019, 10:45

Molto interessante Martino. Come hai reagito dopo essertene accorto? Che perdite di ranking e traffico per le keyword “pulite” ha subito il tuo cliente?

Martino Mosna   
8. Febbraio 2019, 12:12

Nel mio caso per fortuna il traffico non è stato impattato. Il problema è stato principalmente di reputazione e di piccola entità (per alcune ricerche di brand di coda lunga compariva il sito cattivo al posto di quello buono, e nel caso in cui l’utente cliccava veniva rediretto alla splash page).

Non ho risolto, o meglio ho risolto con una pezza: sul sito cattivo era rimasto GTM… e se hai il tuo TAG contenitore su un sito puoi fare letteralmente tutto, come cancellare completamente il DOM (rendendo le pagine illeggibili anche a Googlebot quando esegue javascript), oppure (e questa è la strada che sto percorrendo) verificare il dominio attaccante su GSC come se fosse mio, dopodiché fare la procedura di rimozione integrale dell’intero dominio dalle SERP.

Salvatore   
10. Febbraio 2019, 12:42

Molto interessante come caso studio.

Per inciso, tempo fa ho rilevato altri casi in cui siti (che non contenevano da nessuna parte una certa parola chiave) riuscivano “misteriosamente” a posizionarsi per la stessa; probabilmente la falla poteva essere la stessa descritta da Martino nel commento precedente.

Martino Mosna   
11. Febbraio 2019, 09:54

Fa piacere avere pareri concordanti, Salvatore!

Per caso anche tu hai rilevato dei domini anomali negli hostname dell’Analytics?

Salvatore   
11. Febbraio 2019, 17:29

Ciao Martino, è da un po’ che non ci si sente, tra l’altro (tempi che usano Google Plus, mi sa!)

Guarda che io ricordi no, nel senso che lì… è stato un esperimento dall’esito inatteso: in pratica si riusciva a posizionare una chiave di ricerca assente dalla pagina, ma presente in alcune anchor text che puntavano dall’esterno verso la home. La cosa è durata per un po’ e poi non l’ho più monitorata, quindi non era proprio lo stesso caso.

Tutta questa storia è interessante ed andrebbe analizzata nel dettaglio, Analytics e Search Console alla mano. Abbastanza difficile da rilevare ma altrettanto interessante, ripeto 🙂

Martino Mosna   
12. Febbraio 2019, 10:53

Ah, allora il tuo caso è differente 🙂

Ad ogni modo: questo caso citato da Elisa per i dati che ho raccolto io (invero abbastanza anedottici) è poco più di una manciata di mesi che dura. Nel caso del mio cliente i siti scrapati sono spuntati attorno a giugno 2018.

I commenti saranno disattivati 30 giorni dopo la pubblicazione di questo post.