В конце августа группа специалистов Satori Threat Intelligence and Research Team из компании Human Security обнаружила новую мошенническую схему. Злоумышленники из Бразилии отмывали пиратский контент через рекламу с помощью сайтов-прокладок, маскировку доменов и сложную систему отображения контента с помощью токенов и cookie-файлов.
Механизм Camu
Мошенническая схема получила название Camu. Эксперты назвали её превосходным примером обналичивания пиратского контента.
— Сайт-прокладка
Пользователь попадает на один из сайтов-прокладок, принадлежащий злоумышленникам. На нем располагается кнопка со ссылкой на другой ресурс мошенников. Пользователь кликает по кнопке и попадает на сайт для просмотра пиратского видео.
— Свой кусочек Cookie
Мошенники разработали специальную схему для выбора отображения того или иного контента для разных групп пользователей. Показ контента зависел от кусочка cookie-файла, который помещался (или не помещался) в браузер пользователя.
Для этого, пока пользователь переходил с сайта-прокладки на конечный сайт, генерировался специальный токен, после которого в браузер пользователя внедрялся соответствующий кусочек cookie.
— Сайт с пиратским контентом
Если пользователь перед посещением конечного сайта посещал сайт-прокладку злоумышленников, то в его браузер помещался соответствующий кусочек cookie-файлов. Конечный сайт проверял наличие этой записи и отображал соответствующий контент, окруженный рекламой.
Вот как выглядит отображение контента у пользователя, у которого был этот кусочек кода:
— Маскировка домена
Если пользователь не посещал ранее сайт-прокладку, то при посещении конечного сайта ему отображался совершенно обычный контент. Например, блог о туризме и путешествиях.
Вот как выглядел сайт у пользователя, у которого не было нужной записи в cookie-файлах:
Camu и рефералы
Camu, как и многие другие мошеннические операции по маскировке доменов, заметали свои следы и скрывали связь между двумя мошенническими доменами. Для этого они удаляли информацию о перенаправлении с сайта-прокладки на сайт отмыва пиратского контента.
Но в случае с Camu злоумышленники решили пойти еще дальше: в URL некоторых сайтов они решили добавлять ложную реферальную информацию, якобы пользователь попал в блог, например, из органического поиска или с авторитетного сайта, а не с пиратского домена.
Таким образом злоумышленники пытались вводить рекламодателей в заблуждение не только относительно контента на домене кэшаута, но и относительно того, как пользователи попадают на этот домен кэшаута в первую очередь.
Проблема для рекламодателей
Допустим, вы рекламодатель, чья реклама размещается на указанном сайте. Вы заметили подозрительную активность или несоответствие метрик и решили проверить, почему так. Зашли на сайт, а оказалось, что это совершенно безобидный ресурс. Таким образом мошенники скрывали от рекламодателей размещение рекламы на некачественных ресурсах и накручивали показатели.
Не пиратством единым
Злоумышленники решили развернуться на широкую ногу и помимо перенаправления пользователей на пиратские сайты отсылали их на фишинговые ресурсы и сайты с загрузкой вредоносного ПО.
Маскировка рекламы, доменов, перезапись реферальных ссылок и т. д. представляет собой серьезную угрозу для индустрии цифровой рекламы. Вручную такие мошеннические схемы обнаружить практически невозможно. Поэтому на помощь приходят инструменты защиты рекламы и блокировки недействительного трафика.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
