Обнал за один клик помогает избегать обнаружения и работать из тени.
Компания Human Security выявила крупную схему монетизации пиратского контента через рекламные сети. Злоумышленники, управляющие подобными сайтами, размещают рекламные объявления на страницах с пиратским контентом для получения дохода. Посетители сайтов становятся источником трафика, который привлекает рекламодателей, выплачивающих владельцам сайтов вознаграждение за показ рекламы.
Однако большинство рекламодателей и рекламных сетей не хотят размещать свои объявления рядом с пиратским контентом, поэтому злоумышленники вынуждены скрывать свою деятельность.
Одним из ярких примеров такой схемы является операция «Camu» (с португальского «маскировка»). Схема, базирующаяся в Бразилии, представляет собой механизм обналичивания доходов от пиратского контента. Суть операции заключается в том, что пользователи, желающие получить доступ к пиратским фильмам и сериалам, попадают на специальный сайт — «обнальный» домен. При посещении таких доменов напрямую пользователи видят безобидные блоги, не вызывающие подозрений у рекламодателей. Однако, если посетитель приходит на сайт через определенные ссылки, ему показывается пиратский контент и множество рекламных объявлений.
Схема обмана
На пике своей активности Camu обрабатывал до 2,5 миллиардов рекламных запросов в день на 132 доменах, созданных специально для этой схемы. Для сравнения, такой показатель примерно соответствует суточной активности рекламных запросов в городах Атланта или Сакраменто в США. Усилия специалистов привели к тому, что объем запросов на доменах, связанных с Camu, значительно сократился до 100 миллионов в день за последние 9 месяцев. Операция все еще продолжается, оставаясь крупнейшей из когда-либо обнаруженных схем маскировки.
Одной из ключевых особенностей операции Camu является методика маскировки доменов. Когда пользователь переходит на сайт с пиратским контентом, ему присваивается специальный токен, который проходит через несколько этапов перенаправления, прежде чем попадет на целевой сайт. Токен добавляет cookie-файл в браузер пользователя, а наличие или отсутствие этого cookie-файла определяет позволяет системе определить, какую версию сайта показывать — с пиратским контентом или обычный блог.
С помощью куки показывается пиратский контент (сверху), а без куки отображается обычный блог (снизу)
Злоумышленники также применяют более сложные методы обмана рекламных сетей, подделывая реферальные данные, что делает связь между пиратскими сайтами и рекламными доменами менее очевидной. В некоторых случаях вместо перенаправления на сайт с пиратским контентом пользователи могут быть перенаправлены на фишинговые сайты или страницы с вредоносным ПО.
5778 К? Пф! У нас градус знаний зашкаливает!