De tjänade miljoner på att lura Google

Med mer än tio år i branschen är ”DaveN” en riktig veteran. Branschen heter sökmotoroptimering (oftast förkortat SEO, search-engine optimization), och DaveN heter David Naylor, 40 år, från Yorkshire i England. En dag förra året ringde det på Davids mobil.
– Jag har hört att du är en av världens bästa black hat-optimerare, sade en främmande röst. Och David Naylor må ha skrattat blygsamt, men det stämde ju.
Hans jobb var att driva trafik till sajter genom att få dem längre upp i träfflistan på Google och andra sökmotorer, och han använde aggressiva metoder. Tveksamma metoder, skulle många säga. Och han visste att han var väldigt bra på det.

Kakan är stor men osäker
Den främmande rösten visade sig tillhöra en av världens bästa black hat-hackare. Han var intresserad av optimeringsbranschen och så kallad sökmarknadsföring – det vill säga att du sökordsoptimerar sajter där du säljer saker. Men mest var han intresserad av pengar. Och det finns det gott om i SEO-branschen. Kakan är osäker, men stor: Att tjäna 60 000 –70 000 kronor i månaden är ingen ovanlig siffra – och över 100 000 är inte omöjligt heller.
Men det var inte bara pengar som lockade, utan hela optimeringskulturen – där fanns en öppenhet och stolthet som få hackare kunnat åtnjuta.

Om andra svarthackare jobbar för brottslingar och gör allt för att dölja sin identitet, jobbar optimerarna för Fortune 500-företag och bloggar om vem som fakturerar fetast. Det var sådana saker han var intresserad av, berättade hackaren för David Naylor.
Så David Naylor bjöd in hackaren till nästa SEO-träff, där ett 30-tal optimerare strålade samman på en halvskabbig pub i Manchester över några pints. Han minns inte riktigt allt som sades, men ett replikskifte har etsat sig fast.
”Jag fattar inte hur hackare kan tjäna pengar utan att åka fast”, sade någon. ”Det är därför jag är här. Ni vet hur man tjänar pengar – jag vet hur man inte åker fast”, sade hackaren.

Det var något som Naylor också hade tänkt på. Under sina tio år i optimeringsbranschen hade han sett den förändras starkt. Optimerarna var nu lika intresserade av hackare som hackarna var av dem – och deras vägar hade börjat korsas. Han hade även själv börjat se sig om efter hackarverktyg för att kanske automatisera lite av allt skitgöra som jobbet kräver. Och – han hade sett hur sökmotorerna börjat kriga tillbaka mot optimerarna. Hackarteknik kanske kunde hjälpa där också?
– Jag hade börjat tänka att mitt jobb kanske skulle bli lättare om jag bara bröt mig in på servrar och utnyttjade cross-site-scripting-buggar för att få upp Googlerankningen, berättar han.

Optimerarna har länge haft en – om än något hemsnickrad – hederskodex. Uppfattningen är att hackare bryter mot lagen – medan det enda de bryter mot är sökmotorns användarvillkor.
– När jag ”åker dit”, så att säga, så åker jag ut från sökmotorn ett tag. När hackaren åker dit, så åker han i fängelse, säger David Naylor.
Men nu insåg han att skillnaden verkade vara på väg att suddas ut. Optimering skulle bli big business för skurkar, precis som spam och ID-stöld.

Al Gores klimatblogg hade exempelvis just blivit hackad – inte av politiska skäl, utan av någon skummis som sålde Xanax och Viagra och länkade till sig själv från bloggen för att få upp Google-rankningen och driva trafik.
David Naylor fick kalla fötter och drog sig ur hela black hat-svängen. Vad det än var som höll på att hända, så ville han inte vara med.
– Jag kände mig aldrig hemma hos hackarna. När man tittar framåt ser det inte precis ut som något man kan bygga ett företag och en tillvaro på. Allt det som vi var bra på – idag verkar det lättare att bara ta in en hackare. Det är sorgligt, säger han.

Moderna tiders augurer
Den som inte syns på Googles förstasida finns knappt. Det vet alla sajtägare, och därför är det en strid på kniven om Googlerankningen. Vinnarna – de som hamnar högst – koras av små program från sökmotorerna, ”spindlar”, ”crawlers” eller ”robotar”. Dessa surfar runt på nätet och samlar automatiskt in information om sajterna – vad det står på varje sida, vad som länkar till vad, vem som länkar till vem, och så vidare. Den informationen går sedan rakt in i hemliga, allsmäktiga algoritmer som bestämmer vilka sajter som är ”viktigast”. Hur algoritmerna fungerar vet ingen utan­för sökmotorföretagen. Vissa skulle säkert säga att inte ens de själva vet det längre, för algoritmerna finjusteras ständigt och har vuxit sig enormt komplexa.

I antikens Rom fanns det speciella präster, augurerna, som kunde ”läsa tecknen” inför viktiga beslut – de studerade fåglarnas flykt och läste in gudarnas vilja där. Idag finns det experter som studerar sökmotorerna och kan gissa algoritmens vilja ganska bra – så att man kan fintrimma sin sajt därefter. Ibland är det enkla grepp, som att lägga till eller byta ut ord för att matcha det folk skriver i sökfälten. Ibland rör det sig om invecklade länksystem där andra sajter måste fås att länka till den egna. Det är hundratals sådana tekniker som är sökmotoroptimering.

I händerna på en bra optimerare är dessa verktyg extremt kraftfulla. David Naylor liknar det hela vid att vrida på en kran. Han berättar om ett madrassföretag som anlitade honom för att fixa förstaplatsen åt dem när man sökte på ”sängar”.
– Jag såg direkt att de inte hade en chans att klara den trafik de skulle få av en förstaplats, men det ville de inte lyssna på. Så då fick de förstaplatsen. Och 25 000 nya besökare om dagen. De hade ­15 lastbilar, vilket inte räckte långt. Och den lilla kundservice de hade däckade helt, berättar han.

Sådana som David Naylor behövs i en tid där chefer flyttar över sin business till webben utan att förstå att företaget inte finns om det inte finns högst upp på Google. För att nå budgeten är man i händerna på en algoritm som man inte begriper och har noll kontroll över. Då blir man desperat och betalar stora summor till optimeringsproffs.

Ett annat sådant proffs, Eric Ward, fakturerar tusen dollar för två timmars telefontid och en skriftlig rapport. Och ytterligare ett, Neil Patel, tjänade sexsiffrigt (i dollar) redan när han gick ut gymnasiet. Och hans företag Advanced Consulting Services drog in en miljon dollar i vinst förra året, med kunder som HP och Samsung. (”Jag skulle kunna konsulta i en timme åt en bilfirma och få en fri leasingbil som arvode”, skryter han på typiskt SEO-maner.) Ett tredje, Jeremy Schoemaker, känd i branschen som ”Shoemoney”, lade upp ett foto på sin blogg där han höll en check framför ansiktet. Det enda man ser är ögonen, och summan: 132 994 dollar och 97 cent.

De citeras i Wall Street Journal och är eftersökta konferenstalare. Men de är för den skull inte älskade. Förra året talade Neil Patel på BlogWorld Expo, och när han tog frågor från publiken var första frågan ”Hur du står ut med att se dig själv i spegeln?” – och det var inte med glimten i ögat.

Den grå zonen
I antikens Rom var det inte bara gudar och fåglar som augurerna tog hänsyn till. Det var lika mycket mutor och politik. Och så kan det vara med sökmotoroptimerarna också: betalar du, så kanske det går att ljuga lite för algoritmen, eller i bästa fall kanske lura den helt. Det är nu det blir black hat-optimering – även om det inte är olagligt, bara ­oetiskt (så en del föredrar ”grayhat”).

Black hat-optimeringen bygger på ett enkelt faktum: hur smart programmerad en algoritm än än, så är den ändå inte mer än ett antal regler. Maskinerna har ingen aning om vad den sökande människan vill. Algoritmen blir som en riktigt dum konsument som inte kan värja sig mot optimerarens reklam.

Man kanske hittar på en nyhet (”Britney död!”) som folk inte kan låta bli att klicka på – den som klickar förstår att det är fejk men klickar i alla fall; och algoritmen ser bara en populär länk och skickar upp den i rankningen. Ett tag var bloggspam väldigt effektivt – man automatkommenterade en massa bloggar med länkar till sin sajt, och algoritmen tyckte att sajten såg populär ut. Bloggosfären fick lida, men optimerarna gnuggade händerna. En annan teknik går ut på att visa en massa innehåll för sökmotorspindeln som inte syns för vanliga surfare.

Det här har varit väldigt framgångsrikt jämfört med att hålla sig inom användaravtalen. Den som snattar ur kassan tjänar ju faktiskt alltid mer än den som inte gör det.
Och många optimerare gör gärna det, eller tar hjälp av underkonsulter som får göra det åt dem.
– Jag har aldrig sett en white hat-optimerare som inte har lite black hat-tricks, säger Schoe­maker. Det är samma killar som konsultar åt storföretagen som kör Viagra-business vid sidan av.

Han syftar inte direkt på Neil Patel, men han skulle kunna. Patel jobbar nämligen inte bara med Advanced Consulting Services utan också med sökmarknadsföring inom dobbel och lån.
– Sökmotormarknadsföring frodas i skumraskbranscher. Störst är porr, piller och dobbel. Sedan är det ringsignaler, sedan är det lån, kommenterar Jeremy Schoemaker.
Patel tjänar ”mycket mer” på det än på ACS, men han avslöjar inte hur mycket.

Säkerhetsforskaren Jeremiah Grossman gissar att en bra black hat-optimerare blir dollarmiljonär på ett år.
Black hat-metoderna är nu inte bara för porr och Viagra. Storföretagen använder dem också. Så fort ett företag får upp ögonen för optimering är dilemmat ett faktum: du kan köra hårt och nå budgetmålen – och döva samvetet en smula ... eller så kan du se konurrenterna köra om dig.
– Det var många företag som inte ville ha white hat-optimering. De ville ha ”greyhat”. Gräva lite djupare. Och en del använder till och med omvänd black hat-optimering – det vill säga man förstör konkurrenternas rankning istället för att jobba upp sin egen. Det har jag avböjt många gånger, berättar David Naylor.
– Det är nästan lika stort som vanlig optimering, bekräftar Schoemakers kollega Dave Dellanave.

Svart hatt är andra bullar
Neil Patel bedyrar å sin sida att han verkligen har två separata hattar – en svart och en vit. När han jobbar med ACS är det kritvitt som gäller.
– Det är som två helt skilda världar. Ett stort företag behöver inte de där andra metoderna. De kommer helt naturligt högt upp i rankningen.

Men när svarta hatten åker på, då är det andra bullar. Till exempel står det i sökmotorernas användaravtal att man ska vara tydlig med vad som är en köpt länk och inte. Köpta länkar ger mindre ”juice” än så kallade ”organiska” länkar, som någon alltså skapat frivilligt. Men det är Patel inte tydlig med.
– Jag håller inte bara tyst om att det är köpta länkar, jag betalar det dubbla för att säljaren också ska hålla tyst. Var och en får bestämma själv var gränsen går. Jag tjänar bra med pengar, och jag har inga problem med polisen, säger han:

Men är det verkligen så att var och en får bestämma var gränsen går? Finns det ingen lag ?
– Jag vet inte. Var det mot lagen att bloggspamma? Det stod att man fick skriva kommentarer. Inte att man inte fick skriva automatiska eller värdelösa kommentarer, säger David Naylor.
Dave Dellanave insämmer:
– Vem bestämmer att man inte får köpa länkar? Är det en lag, eller en regel? Åker du fast, så åker du ut och det är enda straffet. Det är sökmotorernas affärs­modell som gör det möjligt och uppmuntrar det. Vem är dum, han som drar nytta av det eller han som inte gör det? Det finns ju hela fonder som bygger på arbitrage-handel. Är det oetiskt att tjäna pengar på hur marknaden fungerar?
– Problemet är att det är lättförtjänta pengar.Om du vet att du inte åker fast, då är det bara att fortsätta. Den som inte gillar det kan ju försöka stoppa mig, säger Neil Patel.
Katt och råtta

I åratal såg sökmotorföretagen mellan fingrarna med det här rävspelet. Men i takt med att det blev värre minskade tålamodet. Den som sökte på ”trump” kunde ena dagen få träff på mångmiljardären Donald Trump, och nästa dag – som en dag i slutet på 2006 – en lumpen Viagrabutik.
Sökmotorföretagen vet att de framstår som oseriösa idioter när sådant inträffar.
– Ja, det hotar hela deras affärsmodell, som ju är att annonsörerna betalar dem för att leverera bra sökresultat så att folk vill fortsätta söka hos dem, bekräftar Jeremy Schoemaker.

Och så var kriget igång. Google vässade sin algoritm. Optimerarna vässade fusket. En kapprustning som blev ohållbar. Det behövdes nya spelregler. Och för ett och ett halvt år sedan kom de.
Utan förvarning började Google ta i med hårdhandskarna mot dem som bröt mot användaravtalen. Plötsligt var inte algoritmen allenarådande längre, utan den fick hjälp av filter och hand­påläggning – massor, massor av hjälp.

Om en sajt uppenbart var black hat-optimerad rankade Google ner den manuellt, eller plockade bort den helt.
– Det är inte förrän man nått en viss storlek som man har råd att driva frågor som man alltid hade velat driva, säger Matt Cutts, som titulerar sig Webspam-chef på Google.
Många optimerare togs helt på sängen. De bästa hade alltid stått på ganska god fot med Google. Och vissa, som ”Shoemoney”, hade till och med brukat fråga Google om råd när det gällde tveksamma metoder. Men nu var det slut på smekmånaden. Tidigare hade sajter som bröt mot reglerna kanske fått göra det i flera år utan tillsägelse. Nu drogs mattan undan helt, vilket är hårda bud – ett svartlistat företag kan förlora all sin trafik – och all sin omsättning – över en natt.
– När någon är bra rankad på vissa sökord ena dagen och försörjer familjen på det, och nästa dag är borta från Google – det är riktigt grymt. Det kan förstöra livet för folk, säger Schoemaker.

Men Google gjorde ju inget olagligt – samma argument som optimerarna kört med länge. Och blixten kom inte helt från klar himmel. Redan 2006 hade Matt Cutts bloggat på Google om vad som komma skulle. Och försiktiga optimerare, som Eric Ward, hade förutspått det ännu längre än så. Men Ward var känd som en försiktig general, som gjorde allt enligt regelboken, och det blev han inte populär på i optimeringskretsar. ”Posör”, ”arrogant” och ”efterbliven”, sade kollegerna. Istället för att lyssna började man kalla honom ”Linkmoses” – urmodig och bokstavstrogen.

Om det var frustrerande att bli bortplockad från Google, var det ännu värre att försöka komma tillbaka. Det var inte många ord från Google om vad man hade gjort för fel eller vad man kunde ändra på. Och de mäktiga föll – självaste ”Shoemoney” åkte bort från förstaplatsen på ringsignaler!
– Jag tjänade tusenlappar om dagen, och sen plötsligt var jag borta från Google. Jag frågade varför och fick aldrig något riktigt svar. De sade att rankningen ”fluktuerar”, att det var helt normalt.

När säkerhet slår snett
För att svartlista sajter som kunde bära på skadlig kod började Google också samarbeta med stopbadware.org. Bra i sak, men det kunde också slå snett. Förra hösten blev ett webbhotell i Thailand hackat varpå alla sajter på hotellet flaggades som farliga på Google – den som försökte klicka sig fram fick en varning, ”Den här webbplatsen kan skada din dator”. Och vem klickar vidare efter det?
– Ingen på Google verkade vilja göra något, fast svartlistningen skadade våra kunder, klagar ägaren, Daniel Peterson, som städat upp servrarna.
– En kund, Rabbit Resort i Pattaya, brukar få 50–60 träffar om dagen, varav de allra flesta bokar rum. Under svartlistningen får de kanske en om dagen. Det är mer än 60 anställda, och ett tag trodde jag de skulle gå i putten, säger Peterson.

Roger Thompson på Exploit Prevention Labs berättar om ett annat fall, med kickboxningssajten k1-usa.net. Den låg etta på sökningar efter ”k1”men var hackad i tio dagar. Och det förstörde allt. Texten ”Den här webbplatsen kan skada din dator” låg kvar i tolv månader innan Google tog bort den. Nu ligger sajten långt ner i rankningen.
– Det här händer ganska ofta, och jag måste säga att jag är förvånad att ingen anklagat Google för skada på varumärket, kommenterar Thompson.
– Vi försöker svara så snabbt vi kan, men vi kan alltid bli bättre, svarar Googles Matt Cutts.
– Våra riktlinjer är tydliga. I slutänden är var och en ansvarig för vad som ligger på den egna sajten. Om skräpet är på din sajt, så är det på ditt ansvar, fortsätter han.

Rsnake, en säkerhetsexpert som driver ha.ckers.org, säger att det är just det som är problemet – inte att Google driver igenom policyn med hårdhandskarna, utan att policyn i sig är felaktig:
– Google kan stänga av dig när som helst, men det kan hända massor av saker som inte är ditt fel – problem uppströms, trasig proxy, någon tar över din sajt. Google utgår från en missuppfattning om hur nätet fungerar: att den som äger en IP-adress alltid har full kontroll över vad som händer via den IP-adressen, säger han.

Men Googles policy står fast, och Eric Ward – den bespottade ”Linkmoses” – har fått uprättelse. Ärlighet varar längst. Så här skrev han på sin blogg i januari:
”Under 2007 slutade många beprövade länkbyggarmetoder att fungera. Många länkbyggarföretag och konsulter sålde tjänster som idag är värdelösa. Varför förutsåg ni inte det här? Eller om ni såg det, varför sålde ni de tjänsterna alls. Och vad ska ni sälja nu? Ska jag tro på att ni är överraskade när Google inte längre bryr sig om länkar från LinksForNoGoodReason.com? Men om ni visste att sådana länkar skulle bli värdelösa en vacker dag, varför tog ni betalt för den tjänsten? Och om ni verkligen inte visste det, hur kan ni kalla er för länkbyggare?”

Branschen divergerar
Trots hårda bud från Google används grayhat-metoder fortfarande. Schoemaker upptäckte nyligen ett ringsignalsföretag som hade lyckats kapa alla ”Adwords” – de betalda resultaten till höger på Google – för en viss sökning. De skulle dra in en miljon dollar på fyra månader, gissar han, och han är förvånad över att Google lät dem hållas.
Men hårdhandskarna har ändå varit effektiva. Och branschen har delats i två läger. En del optimerare har blivit hederligare, andra har gått över helt till den mörka sidan.
David Naylor, som ni minns, valde vitt: idag gör han inga black hat-jobb, och han tar inga uppdrag där han får betalt efter trafikvolym. Istället tar han ut en fast avgift. Det är inga miljonmånader längre, men det är en stabil inkomst.
– Om jag åker ner från toppen får jag fort­farande betalt. Jag har anställda som ska ha lön varje månad. Det var ett affärsbeslut, säger han.
– De vita hattarna blir fler. De flesta är smarta nog att inse att de inte har råd med en svartlistning. Men visst finns också de som tyr sig till hackarvärlden, säger Matt Cutts.

Nya vägar till brott
Ja, om nu inte Google låter svarthattarna bygga länkfarmer och spamma bloggar längre, då får de väl hacka riktiga sajter och använda dem istället.
De hackarna gör är att ta sig in på sajterna med cross-­site-scripting, sql-injektion eller ftp-hack. Men istället för att klottra ner sajten, stjäla data eller sätta upp spamrobotar sättar de dit länkar, och gömmer dem med html-färger, eller ser till att de blir synliga enbart för sökmotorspindlarna.

En annan taktik är att helt enkelt dirigera om sajtens surfare till gammaldags länkfarmer. Eller vad sägs om så kallad ”cookie stuffing”: den hackade sajten lägger in cookies på besökarnas datorer, med värvningslänkar till olika sajter, och kammar hem värvningspengarna varje gång användarna registrerar sig. Det låter inte särskilt effektivt, men inför stora händelser, som val och olympiska spel, kan det bli mycket pengar.

Sökning är så centralt på internet att det alltid kommer att finnas pengar att tjäna. Metoderna kommer bara att bli mer utstuderade.
– Som jag ser det har det bara börjat, säger ­säkerhetsexperten Jeremiah Grossman.

Och inte ens ”Linkmoses” tror att Google har fått bukt med svarthattarna.
– Om Google blir hårdare finns det två som vinner på det: dels riktigt bra sajter, dels riktigt bra skurkar. Det kommer alltid att finnas folk som försöker utnyttja systemet.

Allt mer manuellt arbete
Vissa optimerare tror att allt som finns på webben går att utnyttja – det gäller bara att veta hur. Algoritmen i sökmotorn är trots allt bara mjukvara, och kan därför överlistas av människor. Just därför tror de att sökmotorföretagen har börjat sätta in egna människor i kriget som hjälper algoritmerna.
– De är tvungna att upprätthålla bilden av den mystiska algoritmen som funkar som den ska, så de har kontor landet runt där det sitter folk och redigerar resultaten för hand, säger Schoemaker.
– De skulle aldrig medge det, men jag har läst tillräckligt mellan raderna för att veta att den här algoritmen som de låtsas gör allting ”automagiskt”, det är bara skitsnack, fyller kollegan Dave Dellanave i.
– I verkligheten har de tusen och åter tusen filter som de sätter upp manuellt. Och jag är hundra procent säker på att rankningen baseras mer och mer på handpåläggning och mindre på automatik.

Googles Matt Cutts säger dock att ”en majoritet” av rankningen – och av besluten om vilka sajter som ska släppas tillbaka – görs algoritmiskt.
– Och våra sökresultat har blivit mer relevanta de senaste två åren, lägger han till.

Men relevans ligger i betraktarens öga. I sökmotorbranschen pratar man om att fokus nu ska ligga på ”pålitliga länkar med auktoritet”. Men vad avgör om något är pålitigt och har auktoritet? Vissa optimerare menar att ”pålitliga länkar” är kodord för ”storföretag” kort och gott.
– Stora företag kommer att dominera sökresultaten. Och de kommer alltid undan med aggressiv optimering eftersom sökmotorn inte har råd att plocka bort dem. För sökmotorn själv skulle bara se dum ut om de här företagen inte låg högt i rankningen, säger optimeraren Aaron Wall.
– Så om du optimerar med lite tuffare metoder så åker du fast bara om du är liten. Små företag kommer inte att kunna konkurrera i sökmotorerna.

Många optimerare jämför scenariet med hur stora kedjor har slagit ut småbutiker ur stadsbilden. Det är det här black hat-optimeringen har ställt till med: webben har förvandlats etillen enda stor, generisk förorts-galleria.