Massiv fidus rettet mod børn på Roblox og Fortnite gemmer sig ved højlys dag

Tusindvis af websteder, der tilhører amerikanske regeringsagenturer, topuniversiteter og professionelle organisationer, er blevet kapret i løbet af de sidste fem år og brugt til at promovere svigagtige tilbud, ifølge en ny undersøgelse. Mange svindelnumre retter sig mod børn og forsøger at narre dem til at downloade apps, malware eller give personlige oplysninger i bytte for ikke-eksisterende belønninger i Fortnite og Roblox.

Omfanget af hjemmesidekapringer

Sikkerhedsforsker Zach Edwards har sporet disse kapringer og svindel i mere end tre år. Han hævder, at denne aktivitet kan være relateret til affilierede brugere af et reklamefirma. Dette firma, der er registreret i USA, fungerer som en tjeneste, der sender webtrafik til flere online annoncører. Men hver dag opdager Edwards, senior trusselindsigtschef hos Human Security, mange kompromitterede .gov-, .org- og .org-domæner.

Edwards hævder, at denne gruppe primært er ansvarlig for masseinfrastrukturkompromiser på internettet og deres brug til at hoste svindel og andre former for udnyttelse. Omfanget af hjemmesidekapringer, som er i gang, og den offentlige karakter af svindelnumrene gør dem særligt bemærkelsesværdige.

Hacking og indtægtsgenereringsteknikker

Metoderne, der bruges til at tjene penge, er komplekse, men alle websteder er kapret på en lignende måde. Angribere udnytter sårbarheder eller svagheder i et websteds backend eller indholdsstyringssystem ved at uploade ondsindede PDF-filer. Disse dokumenter, som Edwards kalder “giftige PDF’er”, er designet til at dukke op i søgemaskiner og promovere gratis Fortnite-skin, Roblox-spilvalutageneratorer eller billige streams af populære film.

Når nogen klikker på linkene i de giftige PDF’er, bliver de omdirigeret til websteder, der ender med at dirigere dem til svindelsider. Edwards siger, at der er mange destinationssider, der ser ud til at være specifikt målrettet børn. For eksempel, hvis du klikker på et PDF-link, der annoncerer for gratis mønter til et onlinespil, bliver du ført til en hjemmeside, hvor den spørger efter dit brugernavn og operativsystem, før du spørger dig, hvor mange mønter du vil have gratis. Et pop op-vindue vises med omtalen “Sidste trin! Denne “låseside” hævder, at de gratis spilmønter vil blive låst op, hvis du tilmelder dig en anden tjeneste, giver personlige oplysninger eller downloader en app. Edwards hævder, at han har prøvet dette hundredvis af gange, men aldrig modtaget en belønning. Når folk bliver narret til at downloade en app, give personlige oplysninger eller udføre andre nødvendige handlinger, kan svindlere tjene penge.

Linket til reklamefirmaet CPABuild

Denne form for fidus har eksisteret i et stykke tid, ifølge forskere i reklamesvindel. Men det, der adskiller dem, er, at de alle er knyttet til reklamefirmaet CPABuild og medlemmer af dets netværk, hævder Edwards. Alle kompromitterede websteder, hvor PDF-filer uploades, er i kontakt med kommando- og kontrolservere, der ejes af CPABuild. Edwards forklarer, at de injicerer reklamekampagner i en infrastruktur, som ikke tilhører dem. Når man søger efter en fil relateret til giftige PDF-filer på Google, får man sider med resultater fra kompromitterede websteder.

Kilde: www.bing.com