• ScamClub, kullanıcıları sahte web sitelerine yönlendirmek için VAST etiketleri kullanır.
• Obfuskasyon yoluyla ScamClub, VAST'taki MediaFile öğelerine zararlı betikler ekler.
• Bu tür saldırılara karşı korunmak için gerçek zamanlı doğrulama kullanılması gerekmektedir.

Geçen yılın sonlarında, ScamClub, organize bir siber suç ağı, kullanıcıları kötü amaçlı web sitelerine yönlendirmek için şifreli betikler içeren VAST etiketleri kullanmaya başladı. Yönlendirme, kullanıcının reklamı izleyip izlemediğine bakılmaksızın gerçekleşir.

Ocak ayında bu tür saldırıların sayısı arttı. Piyasa, geleneksel olarak güvenli kabul edilen #video reklamları alanında ilk kez bu kadar büyük çaplı bir sorunla karşılaştı. Yayıncılar, bu tür trafiğin yüksek maliyetinin, dolandırıcıları engelleyeceğini düşünüyordu. Bu nedenle, koruma önlemleri almalarına gerek duymadılar. Suçlular bu durumdan yararlandı.

Dünyanın farklı bölgelerinde bir düzine kadar büyük SSP ve DSP bu saldırılardan etkilendi. Ana darbe, bu tür saldırıların yaklaşık %60'ının gerçekleştiği ABD'deki mobil cihazlara indi.

Peki, bu saldırıların arkasında kim var ve nasıl çalışıyorlar?

ScamClub

Bu organize grup, 2018 yılından bu yana reklam dolandırıcılığı yapmaktadır. ScamClub, zararlı kodlarını dağıtmak için obfuskasyon gibi karmaşık mekanizmalar ve kendi sunucularını kullanır.

Nasıl Çalışır

Bu, güvenlik hizmetlerinin tespitini ve tersine mühendislik yapmasını engelleyen birçok mekanizma içeren son derece karmaşık bir saldırıdır.

• Adım 1: ScamClub, VAST etiketinin MediaFile öğesine zararlı kod yerleştirir. Bu öğe genellikle reklamı tetikler. Bu aşamada, müşteri verileri toplanır ve betik, güvenlik önlemleri tarafından çağrılmadığını kontrol etmeye çalışır (böyle bir çağrı tespit edilirse, saldırı yürütülmez).
• Adım 2: Zararlı şifreli obfuske edilmiş betiğin çalıştırılması. İlk olarak, betik bilinen hedefler arasında müşteriyi kontrol eder.
• Adım 3: Bilgi, suçluların sunucusuna iletilir. Betik, kullanıcıların cihazları, yüklü programlar ve çağrının yapıldığı web sayfası hakkında bilgi iletilen kötü amaçlı sunucuya bir istek yapar. Bu aşamada, dolandırıcılar, eylemlerinin açığa çıkmadığından emin olmak için başka bir kontrol yapar.
• Adım 4: Müşteriden gelen bilgiler sunucu tarafından gönderildikten ve doğrulandıktan sonra, kullanıcının cihazının yeni bir web sitesine gitmesi için talimatlar içeren bir POST isteği yanıtı döner. Bu yönlendirme kodu, zorunlu yönlendirmeyi başlatmak için çeşitli farklı yöntemler içerir. Bu çeşitlendirilmiş saldırı stratejisi, başarılı bir yönlendirmenin şansını artırır ve güvenlik sistemlerinin saldırıyı tespit etmesini ve tanımlamasını zorlaştırır.
• Adım 5: Kod aracılığıyla elde edilen ilk alan adı, kullanıcıyı kötü amaçlı bir web sitesine yönlendiren bir yönlendirme zinciri başlatır. Bu son adımdır: müşterilerine trafiği iletmişlerdir, kullanıcıyı kandırmaya çalışan bu müşteriler.

Envanterinizi Koruma

Yayıncı için en iyi koruma yöntemi, sunulan video reklamları kontrol eden gerçek zamanlı koruma sağlamaktır.

Ayrıca, reklam platformlarının video reklam kanallarını daha sık taramaları gerekmektedir, çünkü daha önce düşünüldüğü kadar güvenli değillerdir.

Yayıncılar İçin

Reklam kanallarını korumak için önlem alınması gerekmektedir.

Tahmin

Saldırılar daha sofistike hale gelecek, yeni ve daha gelişmiş koruma yöntemleri gerektirecektir.

Bu Konu Hakkında Diğer Materyaller:

• MRC'nin Geçersiz Trafik Tanımlama Kılavuz Güncellemesi
• "Reklam Siteleri" - Reklam Piyasası için Yeni Bir Sorun
• Reklamcılar Forbes.com için Reklam Ödedi, Ancak Bazı Reklamlar Sahte Bir Siteye Yönledirildi
• DSP'ler, SSP'leri ve Yayıncıları Çerez Aldatmacasıyla Suçluyor