Igangværende fidus fanger børn, der spiller Roblox og Fortnite

Tusindvis af websteder, der tilhører amerikanske regeringsorganer, prestigefyldte universiteter og professionelle organisationer, er blevet kapret i løbet af de sidste fem år for at sprede tvivlsomme tilbud og kampagner, ifølge ny forskning. Mange af disse svindelnumre er rettet mod børn og forsøger at narre dem til at downloade ondsindede apps eller lække personlige oplysninger i bytte for belønninger, der ikke findes i Fortnite og Roblox.

Forskningsresultater

I mere end tre år har sikkerhedsforsker Zach Edwards sporet disse hjemmesidekapringer og svindel. Han hævder, at disse aktiviteter kan være relateret til aktiviteterne hos affilierede partnere i et reklamefirma. Dette firma, der er registreret i USA, fungerer som en tjeneste, der sender webtrafik til forskellige online annoncører, hvilket giver enkeltpersoner mulighed for at registrere og bruge dets systemer. Hver dag opdager Edwards, seniordirektør for trusselsintelligens hos Human Security, mange kompromitterede .gov-, .org- og .edu-domæner. “Denne gruppe er, hvad jeg anser for at være den primære gruppe for massekompromis af infrastruktur på internettet og til at huse svindel og andre former for udnyttelse,” forklarer Edwards. Omfanget af hjemmesidekompromiser – som er i gang – og svindelernes offentlige karakter gør dem ifølge forskeren særligt bemærkelsesværdige.

Sådan fungerer svindel

Svindel og forskellige metoder til at tjene penge er komplekse, men hver af hjemmesiderne er kapret på samme måde. Angribere udnytter sårbarheder eller svagheder i et websteds infrastruktur eller dets indholdsstyringssystem ved at uploade ondsindede PDF-filer til webstedet. Disse dokumenter, som Edwards kalder “gift-PDF’er”, er designet til at dukke op i søgemaskiner og promovere “gratis Fortnite-skin”, Roblox-valutageneratorer i spillet eller billige streams af populære film. Filerne er fyldt med sandsynligvis søgbare søgeord om disse emner.

Når nogen klikker på links i ondsindede PDF’er, kan de omdirigeres til flere websteder, der i sidste ende fører dem til svindelsider, siger Edwards, der præsenterede resultaterne på Black Security Conference.Hat i Las Vegas. Der er “mange landingssider, der virker meget målrettede til børn,” siger han.

For eksempel, hvis du klikker på linket i en PDF-annoncering af gratis mønter til et onlinespil, vil du blive ført til en hjemmeside, der beder om dit brugernavn og operativsystem, før du spørger dig, hvor mange mønter du vil have gratis. Et pop op-vindue vises med omtalen “Sidste trin!” Denne “blokeringsside” hævder, at gratis spilmønter vil blive låst op, hvis du tilmelder dig en anden tjeneste, indtaster personlige oplysninger eller downloader en app. “Jeg har testet det hundredvis af gange,” siger Edwards. Han modtog aldrig en pris. Når folk bliver ført gennem denne labyrint af sider og ender med at downloade en app, afsløre personlige oplysninger eller udføre en række nødvendige handlinger, kan svindlere tjene penge.

CPABuild og dets tilknyttede virksomheder

Denne form for fidus har eksisteret i et stykke tid, ifølge forskere i reklamesvindel. Men det bemærkelsesværdige er, at alle disse websteder er knyttet til reklamefirmaet CPABuild og medlemmer af dets netværk, siger Edwards. Alle de kompromitterede websteder, der indeholder PDF-filerne, sender opkald til kommando- og kontrolservere, der ejes af CPABuild. “De skubber annoncekampagner ind i andres infrastruktur,” forklarer han. En Google-søgning efter en fil relateret til PDF’er viser resultatsider fra kompromitterede websteder.

CPABuilds hjemmeside, som viser dets juridiske registrering i Nevada, beskriver sig selv som et “først og fremmest indholdslåsningsnetværk.” Virksomheden, som har eksisteret siden 2016, er vært for opgaver fra sine kunder, såsom at give folk chancen for at tjene penge ved at indsende deres e-mailadresse og postnummer. Så forsøger CPABuild-brugere, ofte omtalt som affiliates, at få folk til at fuldføre disse tilbud. Det gør de ofte ved at spamme links i YouTube-kommentarer eller oprette pop-up “blokeringssider” mod slutningen af ​​klikkæden af ​​ondsindede PDF-filer. Denne resultatbaserede proces er kendt som pris pr. handling (CPA) for annoncører og marketingfolk.

Kontaktet flere gange, CPABuild svarede ikke på e-mails fra WIRED. Virksomhedens hjemmeside nævner ikke nogen person bag CPABuild og giver få overordnede detaljer. Hjemmesiden hævder at have “daglige” svindeltjek for at fange dårlige aktører, der misbruger dets platform, og dets servicevilkår forbyder brugere at deltage i svigagtig aktivitet og dele flere typer indhold.

Hjemmesiden hævder at have betalt over $40 millioner til udgivere og tilbyder tusindvis af skabeloner og landingssider. I CPABuild er der forskellige kategorier af brugere. Hjemmesidens affilierede struktur vises på hjemmesidens hjemmeside. Medlemmer kan kategoriseres som ledere, dæmoner, troldmænd, mestre og riddere. I en video uploadet af et CPABuild-medlem den 11. august, kan en admin-konto ses, der deler en besked med brugere, der fortæller, at virksomheden har taget skridt til at forhindre platformen i at blive brugt til svigagtige formål. “Vi fortsætter med at modtage rapporter om, at CPABuild-redaktører promoverer tilbud i strid med vores servicevilkår,” lyder en meddelelse, der vises på skærmen. Edwards’ forskning viser dog, at CPABuilds indsats ikke formåede at forhindre dets brugere i at deltage i udbredt svindel.

Den aktuelle påvirkning

Dusinvis af websteder er i øjeblikket berørt af disse PDF-filer. I denne uge fjernede New York State Department of Financial Services de uploadede PDF-filer efter at være blevet kontaktet af WIRED. Ifølge Ciara Marangas, talskvinde for afdelingen, blev problemet først identificeret i 2022, og efter yderligere gennemgang og handling blev filerne fjernet.

Kilde: arstechnica.com