Исследователь из компании Malwarebytes Жером Сегура в апреле этого года обнаружил вредоносную рекламу в поисковой системе Bing, которая выдавала себя за популярный сервис NordVPN. Злоумышленники перенаправляли пользователей на поддельный сайт, который был полностью скопирован с официального сайта сервиса.
Цель киберпреступников заключалась в том, чтобы обманом заставлять пользователей устанавливать на свои устройства вредоносную программу SecTopRAT. На текущий момент неизвестно, сколько атак было проведено успешно.
В этой статье мы расскажем о том, как мошенники используют вредоносную рекламу и VPN-сети для совершения атак на пользователей и рекламодателей. И можно ли защитить себя от злоумышленников.
Проблема для цифровой индустрии
Проблема вредоносной рекламы, сокрытия трафика, кликфрода не нова для цифровой экосистемы в целом, и VPN-сервисов в частности. Мошенники легко эксплуатируют сервисы анонимизации для совершения вредоносных атак, поскольку цель оправдывает средства.
В 2020 году владельцы NordVPN уже добивались удаления из поиска аналогичного поддельного сайта, через который злоумышленники распространяли вирус. Год спустя исследователи из Zscaler ThreatLabZ обнаружили, что киберпреступники использовали вредоносные приложения VPN, маскирующиеся под популярных провайдеров (NordVPN, Hotspot Shield и F-secure Freedom VPN), для распространения вредоносного ПО, известного как Raccoon Steer. Целью вредоноса была кража информации.
Согласно отчету исследователей, за последний год кибермошенники изменили свою тактику, методы и процедуры (TTP) для совершения атак на пользователей VPN-сервисов из-за возросшего числа удаленных работников и популярности приложений анонимизации трафика.
Тактики мошенников
Кибермошенники прибегают к тактике размещения вредоносной рекламы (также известной как malvertising), чтобы заражать устройства пользователей и обманывать рекламодателей.
Malvertising — это практика проведения вредоносных атак посредством размещения цифровой рекламы, которая ведет на сайт или приложение, принадлежащее злоумышленникам, с целью заражения пользовательских устройств и использования их в дальнейших атаках: DDoS, скликивание, кража данных и т. д.
Для этого злоумышленники не всегда размещают рекламу — они могут также использовать другие технологии для обмана пользователей и рекламодателей. Например, кликджекинг.
Афера с тем же NordVPN— не единичный случай, связанный с VPN-сетями. Злоумышленники продолжают использовать сервисы перенаправления трафика для размещения и внедрения фальшивой рекламы, мошенничества с рекламными кампаниями, фальшивой лидогенерации. Причина — возросший спрос интернет-пользователей к программам сохранения анонимности и конфиденциальности.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
Опасность вредоносной рекламы и VPN-фрода
Вот чем опасна вредоносная реклама и мошенничество с VPN:
— Заражение устройства троянами и другими вирусами
Из-за отсутствия антивирусов и специальных программ пользователи уязвимы перед вредоносными атаками. Киберпреступники полагаются на это, поэтому размещают рекламу на поиске со ссылками на поддельные сайты реальных сервисов и программ анонимизации, через которые жертвы загружают себе вредоносное ПО.
Реклама, которая выдает себя за VPN-сервисы и распространяется через поисковые системы, может быть предназначена для заражения устройств пользователей троянами с удаленным доступом.
— Взлом устройств и кража данных
Если пользователь устанавливает на устройство вредоносную программу, злоумышленники могут получить доступ к его персональным и банковским данным. Основная угроза для бизнеса же заключается в том, что мошенники могут применять такое ПО для сбора данных, например, о покупателях интернет-магазина, а затем использовать их в дальнейших мошеннических схемах.
Кроме того, пользователи становятся жертвами программ-вымогателей. По данным TechCrunch, даже разработчики шпионского ПО используют цифровую рекламу для распространения своих вирусов-шпионов.
— Мошенничество с рекламой
Злоумышленники нередко используют VPN-сервисы, чтобы скрыть свою мошенническую активность с рекламными кампаниями. Наиболее очевидная причина — манипуляция геолокацией, чтобы скрыть, откуда на самом деле поступают визиты и клики. Это затрудняет поиск и выявление недействительного трафика и увеличивает ущерб.
Несмотря на то что такие действия киберпреступников предсказуемы, ведущие поисковые системы, возможно, не успевают за трендами и технологиями злоумышленников. Или же их алгоритмы и вовсе настроены на более глобальные и распространенные случаи фрода.
Возьмем, к примеру, один из последних случаев — вредоносную рекламу с подделкой сайта NordVPN. Мошенники перехватывали трафик из поиска Bing с помощью вредоносной рекламы и перенаправляли пользователей на мошеннический сайт-клон. Однако URL-адрес рекламного объявления явно указывает на потенциальное мошенничество: NordVPN написан с ошибкой (nordivpn[.]xyz), а сайт был создан всего за день до этого.
Проблема VPN и блокировка по IP
Существуют разные способы борьбы с фродом, однако не все из них одинаково эффективны. А некоторые и вовсе стали контрпродуктивными. Например, блокировка по IP.
Если раньше отслеживать IP-адреса злоумышленников и блокировать их было эффективным способом предотвращения кибератак, то сегодня такая блокировка больше не эффективна. Отказаться от такого способа защиты рекламы или сайта стоит по следующим причинам:
— С помощью VPN-сервисов мошенники легко меняют свои IP-адреса
Если злоумышленники видят, что их IP-точка атаки была заблокирована, то они просто меняют её на другую. Даже если вы продолжите их блокировать, мошенник просто и дальше будет продолжать менять IP.
— Вместе с вредоносным трафиком можно заблокировать и реальных пользователей
Пользователи все больше стали обращаться к службам анонимизации и обеспечения конфиденциальности, именно поэтому они чаще используют VPN-сервисы. В попытке остановить одного мошенника и блокируя IP-адрес, можно случайно заблокировать и реальных потенциальных клиентов, которые используют тот же сервис.
Как не стать жертвой вредоносной рекламы и мошенничества с VPN
Вредоносная реклама — это прибыльный и эффективный инструмент для киберпреступников. Как и в случае с фишингом, новые технологии упрощают и ускоряют разработку мошеннических атак. Все это означает, что и простым пользователям, и компаниям необходимо научиться ориентироваться в этом цифровом мире, полном вредоносных программ и ловушек.
Чтобы не стать жертвой мошенничества, следуйте этим советам:
— Обращайте внимание на ошибки в доменных именах и доменные зоны
Например, о том, что перед нами не настоящий сайт, а мошеннический дубль, можно понять по имени домена. Как у фальшивого NordVPN — nordivpn[.]xyz. Также на сомнительность адреса указывает и окончание домена — xyz, тогда как официальный сайт размещается в зоне .com.
— Проверяйте сокращенные ссылки
Еще один элемент, который может указывать на мошенничество, — это сокращенные URL-адреса. Это вызывает трудности с определением подлинности домена. Проверять безопасность сокращенных ссылок и декодировать их можно с помощью специальных онлайн-инструментов. Например, 2IP.
— Смотрите на возраст домена
Возраст домена также может указать на мошеннический сайт. Например, поддельный URL-адрес NordVPN был создан 3 апреля 2024 года, всего за день до того, как Сегура обнародовал вредоносную рекламную кампанию. Также обращайте внимание на почту в доменном имени — как правило, мошенники создают ящики на общих почтовых сервисах. Также насторожитесь, если на сайте нет контактных данных в принципе. Только после этого принимайте решение скачивать или нет приложение или программу.
— Посмотрите, есть ли значок безопасного соединения
Также указывать на качество сайта может значок безопасного соединения, который обозначает, что сайт использует защищенный https-протокол. Рядом с доменными именем в адресной строке браузера будет отображаться замок.
— Скачивайте приложения только из официальных маркетплейсов
Скачивайте приложения из официальных маркетплейсов (AppStore, Google Play). Конечно, существует вероятность и там скачать приложение с вредоносной начинкой, тем не менее, намного выше шансы установить оригинал.
Блокируем вредоносный трафик с Botfaqtor
Сервис Botfaqtor не защищает пользовательские устройства от взлома, однако он предлагает инструменты для защиты рекламы от мошенничества, сайтов — от бот-атак, форм заявок — от фальшивой лидогенерации. Алгоритм сервиса выполняет глубокий анализ источников трафика и каждого визита по 100+ техническим и поведенческим параметрам, к которым относятся не только IP-адреса и доменные зоны, но и другие вредоносные паттерны.
С помощью инструментов Botfaqtor рекламодатели могут защищать свои рекламные кампании и сайты независимо от того, насколько хорошо мошенник скрывает свои атаки. Это экономит рекламный бюджет, снижает риск блокировки ресурса, подключенного к КМС и РСЯ, снижает нагрузку на менеджеров, которым приходится обрабатывать фальшивые заявки, и др.
Помните: мошенничество — это не норма. Защитите себя от мошеннического и вредоносного трафика. Подключите сервис Botfaqtor бесплатно на 7 дней.