Еще несколько лет назад — в 2017-2019 гг — онлайн-мошенничество развивалось за счет массовости: охват гарантировал то, что кто-нибудь наверняка попадется.

Так работали популярные схемы с выигрышами подарков, денежных призов, а также с опросами и компенсациями несуществующих льгот. Со временем все меньше людей стали обращать на это внимание. Зарабатывать на них стало сложнее еще и по причинам постоянных блокировок. Тогда мошенники начали искать более изощренные способы удовлетворения своих финансовых амбиций.

Массовая рассылка СМС, сообщений в мессенджерах или электронной почте сменилась персонализированным подходом. Теперь "под жертву" генерируется отдельная, так называемая, таргетированная ссылка, использующая параметры потенциальной жертвы (страна, часовой пояс, язык, IP, тип браузера и др) для отображения релевантного контента на мошеннической странице.

Даже если вы вовремя распознаете обман и отправите ссылку на блокировку, она не сможет быть заблокирована. Главный тренд — персонализация, помните? Мошенники создают таргетированную ссылку именно под вас и делают так, чтоб она , больше не открывалась у других пользователей при пересылке или попытке перейти в какую-либо директорию без нужных файлов cookie. Давайте разберемся по порядку, как это работает, какие риски несет и как защититься.

Например:

С такими прецедентами аналитики Digital Risk Protection сталкиваются часто —- подобный контент быстро "умирает" и обычно не заслуживает внимания. Тем не менее, ресурс был взят на исследование. Оказалось, что проблема гораздо глубже, а сама технология формирования таргетированных ссылок претерпела значительные изменения.

Анализ показал, что для распространения таких ссылок мошенники использовали все известные инструменты: контекстную рекламу, рекламу на легальных и совсем не легальных площадках, СМС- и email-рассылки, покупку созвучных доменов (это делается на случай того, если пользователь введет доменное имя официального сайта компании с ошибкой). Реже использовались добавление ссылок в календарь и посты в соц. сетях. СМС и email рассылки практически всегда содержали короткую ссылку, в описании было написано о программе мотивации клиентов, где вы можете выиграть что-то из дорогостоящей техники.

После нажатия на мошенническую ссылку пользователь попадает в, так называемую, "клоаку трафика" – это популярный способ распределения трафика, где один пользователь видит "белый контент", а другой "серый" или "черный" в зависимости от условий перехода (IP, язык, устройство). "Белый контент" совершенно не примечателен и не несет в себе никакой угрозы. Он не вызывает никаких вопросов у рекламодателей или провайдера. А вот серый и черный нарушают правила распространения рекламы и несет в себе большую угрозу для пользователей сети, особенно невнимательных.

Клоакинг запрещен всеми рекламными сетями, но даже специальные программы распознают обман далеко не сразу. Реклама может жить на сайте очень долго. К тому же данный вид мошенничества распространяет не один человек и даже не одна группа лиц — это масштабная сеть. Когда блокируется одна часть мошеннических аккаунтов, распространяющих незаконный трафик, — мгновенно появляются новые. И это одна из причин, по которым данную схему очень сложно устранить.

При переходе по ссылке пользователь попадал в цепочку редиректов и на выходе получал что-то подобное:

Через некоторое время мошенники начали менять вид ссылки, в том числе удалив из нее реферер (то, с какого сайта пришел пользователь).

Ссылка становится все менее информативной для анализа:

Сейчас же ссылки стали еще и короткими, что сильно затрудняет анализ и реагирование на подобные нарушения: при получении такой ссылки достучаться до регулятора с объяснениями становится очень трудно, а иногда и невозможно.

Следующая проблема при устранении такого мошенничества заключается в принципе действия самой ссылки, по которой переходит пользователь.

Когда пользователь кликает на баннер, контекстную рекламу, вредоносную ссылку из письма или даже СМС, он не сразу попадает на статичный сайт. Сначала его выносит на множество перенаправлений, где с него собирают данные: геолокацию, язык, браузер, название провайдера.

На основе этой информации автоматически создается итоговая мошенническая ссылка, которая включает timestamp — данные о конкретной дате и времени. Эта ссылка индивидуальна и сработает только один раз и только у данного пользователя.

Самое интересное — контент на фейковом сайте. Он бывает совершенно разным. Страница может быть создана от лица любого выбранного случайным образом бренда или же представляться тем бредом, которым постоянно пользуется жертва.

На данных сайтах проводятся опросы от лица какой-то известной компании, за прохождение которых мошенники часто обещают крупный приз. Но по завершении опроса пользователю предложат заполнить форму с персональными данными, чтобы получить выигрыш.

Как правило, это:

Шаблоны подобных фишинговых сайтов могут различаться:

Получив такие данные, злоумышленники уже спокойно могут совершать покупки от вашего имени в интернет-магазинах, продавать эти данные на черном рынке и регистрироваться на разных сайтах, используя ваши персональные данные.

Они также могут сразу попросить пользователя перевести определенную сумму. Например, в качестве пробного платежа или налога, которым якобы облагается выигрыш.

Стоит отметить, что индивидуальная ссылка страшна не только фишинговой страницей. Предусмотрены и другие варианты монетизации: вредоносное ПО, прямое списание средств, оформление на жертву платной подписки.

Структура таргетированной ссылки может быть разной, но в целом ее можно разделить на несколько частей.

В первой части нас отправляют к определенной директории на сайте, где хранится материал, отобранный под разных пользователей, исходя из доступных параметров: страна, локации пользователя, бренд и тому подобное.

Далее в ссылке может содержаться:

track — это чаще всего домен первоначального смартлинка, именно отсюда начинается клоака, и почти всегда это легальная площадка.

Затем идет ключ, закодированный в base64. В нем содержится временная метка (timestamp) и хеш. Данные параметры используются для того, чтобы идентифицировать каждого пользователя и сделать его уникальным.

Последним элементом в ссылке является bemobdata, добавляемая для дальнейшего анализа эффективность привлекаемого трафика.

Мы обнаружили как минимум 60 различных сетей доменных имен, где создаются таргетированные ссылки. В среднем в каждой из них содержится более 70 доменных имен.

Самая крупная по количеству доменных имен сеть найденная нами включает в себя 232 доменных имени. Не все сайты могут быть активны в настоящий момент. Такое количество доменов создается для того, чтобы в случае блокировки активного ресурса можно было в кратчайшие сроки перенаправить трафик на его "зеркало". Таким образом мошенники обеспечивают "доступность" своей схемы, то есть ее бесперебойную работу.

Очень часто большое количество доменных имен в сети совершенно не означает, что данная сеть является самой посещаемой.

На следующем скрине представлена сеть ресурсов, которая содержит 51 доменное имя, на которых также размещаются таргетные ссылки. Это одна из самых крупных по посещаемости сетей, найденных экспертами Group-IB.

Среднее количество посетителей таргетированных ссылок, расположенных на домене finalopnon.click, составляет около 4640 человек в день. Из этого можно сделать вывод, что мошенники активно привлекают трафик и позаботились о том, чтобы их работа не прекратилась из-за блокировки сайта.

Ежедневно доменные имена данной сети посещает 330 993 человек (в среднем 6620 человек посещает одно доменное имя). Соответственно, в месяц на ловушку мошенников может попасться почти 10 млн человек только по приведенной в пример сети.

Как и многие инструменты, использовавшиеся в масштабных интернет-аферах, таргетированные ссылки начали впервые применять в России, однако со временем этот метод атаки распространился по миру.

Сейчас мы видим использование таргетированного мошенничества более чем в 90 странах мира, а в качестве приманки злоумышленники нелегально используют более 120 мировых брендов.

Особой "любовью" в данной схеме пользуются крупные телекоммуникационные компании, которые являются лидерами в отдельно взятых странах, занимают более 50% от общего числа брендов.

Количество потенциальных жертв огромно, в среднем, посещаемость сайтов с опросами составляет более 5 000 человек в сутки. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц*. Помимо этого жертвы теряют персональные данные и рискуют заразить свое устройство вредоносными программами.

Исследуя серверную инфраструктуру, где размещаются данные ресурсы, нам удалось обнаружить большое количество заготовленную "шаблонов" таргетированных ссылок, разделенных по странам. То есть, каждый шаблон на сервере находится в отдельной папке, папка же привязана к стране. Один бренд мог использоваться несколько раз, в каждой папке в зависимости от страны мог изменяться язык. Таким образом нам удалось оценить географию распространения таргетированного мошенничества.

Для каждого конечного ресурса с мошенническим контентом была собрана информация об источнике трафика с разбивкой по странам. Исходя из этого распределения основными источниками трафика для подобных ресурсов выступают такие страны как, Индия (42,2%), Таиланд (7%) и Индонезия (4,4%).На основании выявленных шаблонов, целевыми регионами для распространения мошеннической схемы являются: Европа (36,3%), Африка (24,2%) и Азия (23,1%).

В целом география и количество брендов, используемых в данной мошеннической схеме, невероятно велики. Большинство компаний — известные мировые бренды, в списке присутствуют как минимум половина из всех мировых государств.

Для каждой из стран есть как минимум 1 шаблон, в среднем же используется не менее 3 известных брендов для каждой страны.

Иногда бренды повторяются при этом, конечно, меняется и язык шаблона, в целом уникальных брендов используется в схеме более 120.

Самый частый шаблон аферы — обещание подарить MacBook, Sony Playstation 5, iPad Pro или последние телефоны компаний Apple и Samsung за участие в опросе.

Примеры мошеннических страниц с опросом от имени бренда. Отображаемый бренд соответствует принадлежности к стране, из которой была открыта ссылка.

И даже предложения работы

Есть ещё мифическое обновление VPN, получение бесплатного VPN и так далее:

Закрытие уязвимости

Ну и просто бесплатный VPN

Таргетированное мошенничество несет риски не только для пользователей, но и брендов, которые нелегально эксплуатируют мошенники. Компании несут как репутационные, так и финансовые потери, если однажды пользователь потерял деньги из-за "бренда", то вряд ли к нему вернется.

Также существует множество непредсказуемых рисков, например, на площадке массово воруют аккаунты, а потом через эти аккаунты отмывают деньги. Если дойдет до разбирательства, компания может получить сильнейший удар и по репутации вместе со штрафом от контролирующих органов.

Рекламные сети, покупая или продавая плохой трафик, рискуют своей репутацией, а следовательно, клиентами и деньгами. А это в свою очередь прямой удар по финансам.