Обнаружена схема Camu: пиратский контент скрывается за маскировкой доменов для монетизации через рекламные сети
Компания Human Security выявила крупную схему монетизации пиратского контента через рекламные сети.
Злоумышленники, управляющие подобными сайтами, размещают рекламные объявления на страницах с пиратским контентом для получения дохода. Посетители сайтов становятся источником трафика, который привлекает рекламодателей, выплачивающих владельцам сайтов вознаграждение за показ рекламы.
Однако большинство рекламодателей и рекламных сетей не хотят размещать свои объявления рядом с пиратским контентом, поэтому злоумышленники вынуждены скрывать свою деятельность.
Одним из ярких примеров такой схемы является операция «Camu» (с португальского «маскировка»). Схема, базирующаяся в Бразилии, представляет собой механизм обналичивания доходов от пиратского контента. Суть операции заключается в том, что пользователи, желающие получить доступ к пиратским фильмам и сериалам, попадают на специальный сайт — «обнальный» домен. При посещении таких доменов напрямую пользователи видят безобидные блоги, не вызывающие подозрений у рекламодателей. Однако, если посетитель приходит на сайт через определенные ссылки, ему показывается пиратский контент и множество рекламных объявлений.
Схема обмана
На пике своей активности Camu обрабатывал до 2,5 миллиардов рекламных запросов в день на 132 доменах, созданных специально для этой схемы. Для сравнения, такой показатель примерно соответствует суточной активности рекламных запросов в городах Атланта или Сакраменто в США. Усилия специалистов привели к тому, что объем запросов на доменах, связанных с Camu, значительно сократился до 100 миллионов в день за последние 9 месяцев. Операция все еще продолжается, оставаясь крупнейшей из когда-либо обнаруженных схем маскировки.
Читайте на эту же тему:ФБР расследует предполагаемую попытку нового покушения на Трампа
Одной из ключевых особенностей операции Camu является методика маскировки доменов. Когда пользователь переходит на сайт с пиратским контентом, ему присваивается специальный токен, который проходит через несколько этапов перенаправления, прежде чем попадет на целевой сайт. Токен добавляет cookie-файл в браузер пользователя, а наличие или отсутствие этого cookie-файла определяет позволяет системе определить, какую версию сайта показывать — с пиратским контентом или обычный блог.
С помощью куки показывается пиратский контент (сверху), а без куки отображается обычный блог (снизу)
Злоумышленники также применяют более сложные методы обмана рекламных сетей, подделывая реферальные данные, что делает связь между пиратскими сайтами и рекламными доменами менее очевидной. В некоторых случаях вместо перенаправления на сайт с пиратским контентом пользователи могут быть перенаправлены на фишинговые сайты или страницы с вредоносным ПО.
Автор: Марьяна Заболотная