доменный спуфинг сайтов

Технологии мошенников: спуфинг доменов и сайтов для мошенничества с рекламой

Чтобы провести успешную рекламную кампанию, рекламодателям важно следить за своим рекламным бюджетом и грамотно установить контакт с реальной аудиторией. Однако мошенники тоже следят за вашими РК, стремясь урвать часть рекламного бюджета. Для этого они могут использовать одну из своих мошеннических тактик — спуфинг доменов, или сайтов.

В этой статье вы узнаете, что к чему приводит подмена домена, как проявляется эта технология. Также мы расскажем о рабочих стратегиях, которые могут использовать рекламодатели для защиты своих рекламных бюджетов.

Что такое спуфинг сайта (домена)

Спуфинг, или подмена, домена (с английского domain или website spoofing) — мошенническая техника, при которой злоумышленники имитируют легитимный сайт, обманом направляют туда трафик и используют его для фишинга, скликивания рекламы, накрутки просмотров, кражи банковских и персональных данных и т. д.

Обратите внимание, что речь идет не о DNS-спуфинге, когда подменяют отображаемый сайт в браузере пользователя, а именно об имитации премиум-ресурсов на максимально схожем с оригиналом домене.

forbes[.]com → forbs[.]com, gosuslugi[.]ru → gos-uslugi[.]ru — вот наглядный пример имитации домена реальных трафиковых площадок. В этом случае также мошенники имитируют и содержимое сайта вместе с дизайном и контентом.

Мошенники используют подделку трафиковых крупных тематических порталов, размещаемых на рекламных площадках и не только, для завышения стоимости своего инвентаря и кликов по рекламе. После размещения спуфинговых сайтов в рекламных сетях они генерируют на них бот-трафик для скликивания рекламы и увеличения выплат в свою пользу.

Вот как примерно выглядит применение технологии спуфинга доменов в мошенничестве с рекламой:

  1. Кибермошенник регистрирует домен, схожий по написанию с легитимным и известным сайтом. Например, «gogle.com» вместо «google.com».
  2. Дублирует дизайн и создает визуально такой же ресурс, который мимикрирует под оригинал.
  3. Размещает площадку в рекламной сети.
  4. Нагоняет ботовых трафик. У каждого бота может быть своя задача, в том числе на скликивание рекламы.
  5. Рекламодатели размещают на нем премиум-рекламу и не придают значения параметрам, которые указывают на подделку сайта.
  6. Злоумышленник успешно собирает сливки от вознаграждений за клики по рекламным объявлениям.

Из-за этого рекламодатели переплачивают за размещение рекламных объявлений на некачественных или откровенно мошеннических сайтах, что также влияет на эффективность рекламных кампаний.

Такой метод фрода кажется простым и эффективным, и это действительно так. Рекламодатели платят за якобы премиальный трафик, вот только не получают от этого никакой отдачи.


Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.


Есть несколько причин, почему злоумышленники выбирают именно спуфинг доменов в качестве фродовой техники:

  • Трафик низкого качества легко генерируется с помощью автоматизированных программ.
  • Можно скрыть источник трафика, особенно если на сайте размещен незаконный или нежелательный контент.
  • Возможность фишинговых атак.
  • Распространение вредоносного или шпионского ПО.
  • Сбор персональной информации без ведома пользователей.

Во многих сферах спуфинг может иметь разрушительные последствия для рядовых пользователей, владельцев оригинальных сайтов, рекламодателей. С помощью него мошенники могут заражать устройства, похищать платежные данные и другую конфиденциальную информацию, а также наносить ущерб репутации компаний.

Виды спуфинга доменов

Методы спуфинга доменов можно разделить на простые и сложные. Простые методы подмены домена предполагают точное копирование сайтов и размещение их под новым доменом. Более сложные методы включают подделку адресов электронной почты, распространение вредоносного ПО или кражу персональных данных.

Спуфинг URL / Сайта

Это наиболее распространенная форма спуфинга доменов. Мошенники предоставляют рекламному серверу URL-адрес подлинного издателя с дорогим инвентарем. Следовательно, рекламодатели считают, что их объявления показываются на легитимном сайте, например forbes.com, хотя на самом деле рекламные объявления будут отображаться на поддельном ресурсе злоумышленника (forbse.com). Выполнять такую подмену они могут в том числе с помощью манипуляций с файлом ads.txt.

Также злоумышленники могут размещать рекламу на нескольких доменах сразу, хотя рекламодатель знает только об одном, как правило, самом качественном. В этом случае мошенники связывают два (и более) сайта вместе: первый может быть посвящен спорному контенту (например, азартные игры, порнография, экстремистские убеждения и т. д.), на который генерируется много трафика, в то время как другой содержит ценный контент, но небольшим количеством посетителей.

Есть еще одна тактика: использование символов Unicode в домене. Unicode, международный стандарт кодировки символов, присваивает уникальный номер каждому символу на всех языках и шрифтах, обеспечивая их доступность на различных платформах, программах и устройствах.

Поэтому мошенники могут использовать омоглифы, то есть графически одинаковые или похожие друг на друга знаки. Например, буква «h» очень похожа на символ Юникода «һ» (Shha). Мошенники используют это сходство, регистрируя домены для своих поддельных сайтов, которые полностью имитируют доменные имена легитимных ресурсов.

Междоменное встраивание

Для реализации этого метода злоумышленники используют фреймы, которые представляют собой HTML-элементы, используемые для интеграции внешнего контента на странице. Этот контент может включать изображения, видео или даже целые сайты.

Манипуляции с содержимым трафиковых легитимных сайтов в iFrame на поддельном домене вводят рекламодателей в заблуждение, из-за чего те думают, что реклама отображается на легитимном сайте.

Вредоносное ПО

Мошенники могут использовать зараженные приложения или браузерные расширения для размещения рекламы на сайтах и в приложениях без ведома пользователя.

Вот как это работает: когда пользователь запускает зараженное приложение, в фоновом режиме загружаются невидимые рекламные баннеры с генерацией автоматических просмотров или кликов. Каждый клик по объявлению приносит доход мошенникам.

К примеру, одним из таких вредоносов был Necro, о котором мы рассказали недавно в нашем блоге. Это многоуровневый загрузчик для запуска рекламы в фоновом режиме, скликивания и генерации трафика через зараженные Android-устройства.

Модификация рекламных тегов

Рекламные теги — это способ отслеживать эффективность размещения рекламы на сайте издателя. Однако кибермошенники могут взламывать и подделывать их для манипуляций со статистикой. Таким образом кибермошенники обманывают рекламодателей в том, что они покупают рекламный премиум-инвентарь, в то время как на самом деле объявления показываются на сайтах низкого качества.

Самодельные браузеры

Самодельные браузеры могут использоваться для просмотра сайтов и страниц, доступа к которым нет у коммерческих браузеров. Мошенники используют их для создания сайтов с URL-адресами, схожими с адресами ресурсов премиум-класса. Рекламодатели поддаются на уловку и оплачивают размещение рекламы на поддельных ресурсах.

Почему доменный спуфинг остается угрозой в 2024 году

Всё просто: данная технология позволяет мошенникам зарабатывать легкие деньги. Копирование существующего сайта, размещение на нем рекламы и последующая монетизация через бот-трафик и скликивание — всё это полностью автоматизировано и доступно.

Например, в 2017 году специалистами из США было проведено расследование, которое выявило распространенность поддельных доменов, маскирующихся под различные рекламные сети. Результаты показали, что стоимость мошеннических рекламных ресурсов составляла примерно 1,3 миллиона долларов в месяц.

Еще один яркие пример — ботнет Methbot. Это крупная схема мошенничества с рекламой, которая действовала в период с 2014 по 2018 гг. На пике активности Methbot ежедневно генерировал до 400 миллионов просмотров видеорекламы, у него было свыше 6000 доменов и более 250 000 URL-адресов. Эта схема позволяла мошенникам зарабатывать до 3 млн долларов в день, в основном за счет подмены доменов.

Анализ крупных случаев мошенничества с рекламой за последние годы показывает, что спуфинг доменов — излюбленный метод мошенников, который приносит им значительную прибыль.

Как определить спуфинг доменов

Чтобы обнаружить мошенников, которые используют эту мошенническую технологию, можно выполнить следующие действия.

Просматривайте отчеты о трафике вручную

Обратите внимание на доменные имена и URL-адреса. Нет ли в них каких-либо несоответствий. Например, это могут быть дополнительные символы (дефис) или цифры (1 – I или 0 – O), уделяя особое внимание символам Юникода, которые напоминают другие буквы (как это приведено в примере ранее).

Однако ручной анализ всех доменов, с которых поступает рекламный трафик, достаточно долгое и утомительное занятие, которое требует много концентрации внимания. Особенно если речь идет о масштабных рекламных кампаниях. Поэтому рекомендуется изначально размещать рекламу только на одобренных доменах, перечисленных в списке разрешенных/включенных.

Используйте ads.txt

Ads.txt — инициатива, предложенная IAB в мае 2017 года в рамках проекта Authorized Digital Sellers. Она направлена против различных форм мошенничества с рекламой, включая подмену доменов и несанкционированную перепродажу инвентаря.

Сам по себе файл ads.txt — это текстовый документ, в котором указывается, какие компании имеют право продавать свой цифровой инвентарь на конкретном домене. Поскольку им может управлять только владелец ресурса, то информация, содержащаяся в файле, считается действительной и заслуживающей доверия.

Несмотря на то, что ads.txt не может полностью ограничить рекламодателей от спуфинга доменов, он обеспечивает дополнительный уровень безопасности, при условии его правильной реализации и регулярном обновлении издателями. Поэтому рекомендуется размещать рекламу только в доменах, у которых есть файл ads.txt.

Используйте специальные системы антифрода

Анализ трафика вручную и файл ads.txt обеспечивают определенную защиту, однако они не гарантируют максимально возможный уровень защиты от ботов, некачественных площадок и другого недействительного трафика.

Чтобы усилить защиту рекламы от скликивания и мошеннической технологии с подменой домена, мы настоятельно рекомендуем использовать специальные системы антифрода. Они верифицируют рекламный трафик, обнаруживают недействительные переходы и мошеннические источники трафика.

Отечественный сервис Botfaqtor — набор инструментов кибербезопасности, который обеспечивает защиту рекламы и сайтов в режиме реального времени. Алгоритм анализирует каждый визит по 100+ техническим и поведенческим параметрам, включая устройства, версии, ОС, движения мышкой, периодичность кликов и т. д. Кроме того, он проверяет качество трафика из различных каналов, где размещается реклама. Вот пример отчета:

Вот инструменты, которые вы можете использовать для защиты рекламы и сайтов:

Реклама

Защита Яндекс.Директ, Google Ads и VK Реклама. Это инструменты киберзащиты, которые оценивают рекламный трафик по визитам, ключевым словам, площадкам в РСЯ и КМС, а также UTM-меткам, если они подключены. Обнаруживают ботов и скликивателей и отключают для них показ рекламы. Чем меньше недействительных кликов, тем выше количество целевого трафика, конверсия и прибыль.

Для повышения конверсии

Инструмент Hard Target используется для блокировки показов рекламы на низкоконверсионных устройствах, в браузерах и ОС, а также площадках с конверсией близкой к нулю.

Для защиты сайта

Попробуйте Антибот, который анализирует трафик на сайте из любых источников по 100+ параметров. Защита 24/7. Код инструмента загружается всего за 1,02 секунды и не мешает пользователям.

Инструменты защиты рекламы помогают рекламодателям сократить расход бюджета, снизить стоимость достижения цели, увеличить конверсию, а владельцам сайтов — защитить ресурс от бот-трафика.

Попробуйте сервис Botfaqtor бесплатно на 7 дней (при подключении тарифа «Безлимитный»).

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий