Dolandırıcılar, yaşlılar tarafından yapılan en yaygın Google aramaları için reklam satın alıyor ve onları teknik destek dolandırıcılığıyla dolandırıyor.
Hedef kitlelerini tanımak, dolandırıcıların çok iyi bir nedeni olan bir şeydir. Bu, özellikle asıl hedefleri yaşlılar olan teknik destek dolandırıcıları için geçerlidir.
Dolandırıcılar, emeklilerin ne aradığını anlayarak ve çeşitli çevrimiçi platformları kötüye kullanarak, tam olarak ilgilendikleri demografinin peşine düşebilir ve onları kontrol ettikleri sitelere çekebilir.
Yaşlıları hedefleyen Google reklamları aracılığıyla belirli bir kötü amaçlı reklam kampanyası gözlemliyoruz. Tehdit aktörü, kurbanları sahte bir bilgisayar uyarısına yönlendirirken arama motorlarını ve tarayıcıları kandırmak için aldatıcı içerik barındırmak üzere Weebly platformu aracılığıyla yüzlerce sahte web sitesi oluşturuyor.
Analizimize göre, bu özel plan 2022 yazında başladı, ancak geçen ay yaygınlığı büyük ölçüde arttı. Etkilenen taraflarla birkaç haftadır ayrıntıları özel olarak paylaşırken, şimdi bildiklerimizi ifşa ediyoruz.
Popüler arama terimleri
Kötü amaçlı reklamcılık veya kötü amaçlı içerik sunmak için reklamların kullanılması yeni bir şey değil. Ancak yıllar içinde çeşitli tehdit aktörleri bunu farklı amaçlar için kullandı.
Hedeflere ulaşmanın uygun maliyetli ve verimli bir yoludur ve daha sonra kötü amaçlı yazılımlardan veya düz eski dolandırıcılıklardan herhangi biri olabilecek belirli bir yüke sahip olanlardan para kazanmanın bir yoludur. Ancak, dolandırıcılıkların etkisini ölçmek daha zor olabileceğinden, ikincisini pek duymuyoruz.
Kurbanlarla konuşurken, onların sadece bir şey aradıklarını ve bir yere tıkladıklarını ve birdenbire şu ya da bu olduğunu anlattıklarını sık sık duyacaksınız.
Teknik destek dolandırıcılık sayfaları için telemetrimizde bir artış gördüğümüzde, bu aramalardan bazılarını tekrarlamaya karar verdik ve kıdemli/emekli kitlenin sıklıkla kullanabileceğini düşündüğümüz anahtar kelimeler bulduk. Kampanyayı belirleme şansımızı en üst düzeye çıkarmak için gerçek bir makine kullandık ve belirli bir profille hazırladık.
Açık ara, yemek tarifleri ve yemek pişirme ile ilgili her şey popüler bir arama sorgusudur. Daha önce aynı temayı kullanan başka bir kötü amaçlı reklam kampanyası tanımlamıştık.
Solitaire gibi oyunları da aramaya çalıştık:
Ve tabii ki, hava durumunu kontrol etmeden yapamayız:
yem siteleri
Sponsorlu sitelerin bağlantıları yasal gibi görünse de aslında değildir. Sorun şu ki, amaçlanan kurban siz değilseniz, yalnızca temiz içeriği göreceksiniz. Tarayıcılar ve diğer reklam kalitesi kontrol araçları, reklamvereni doğrulayabildiği ve reklamın geniş bir hedef kitleye ulaşmasını sağlayabildiği için önemlidir.
Her site çok basit ve başka bir yerden çalınıp alelacele bir araya getirilmiş içerik barındırıyor.
Tehdit aktörü, kötüye kullandıkları Weebly platformu aracılığıyla bu web sitelerinden yüzlerce oluşturuyor. Bazı günler, dolandırıcılar tarafından kullanılan ortalama 10 yeni Weebly ana bilgisayar adı gördük.
Gizleme
Daha önce de belirtildiği gibi, dolandırıcıların radarın altında kalması ve bu web sayfalarını yasalmış gibi yapması önemlidir. Gizleme olarak bilinen bir teknik kullanarak bunu kolayca yapabilirler.
Gizleme, hedef kitleye dayalı olarak farklı içerikleri göstermek ve yükü istenmeyen bazı ziyaretçilerden (ör. web tarayıcıları, güvenlik araştırmacıları) gizleyebilmektir.
Dolandırıcılar bunu çeşitli şekillerde yaptılar, bazıları oldukça basit (kullanıcı aracısı ve IP kontrolü), ancak aynı zamanda profesyonel bir gizleme hizmeti için ödeme yaptılar.
Gizleyici API, iki farklı bağlantı içeren bir yanıt döndürür:
Bu durumda para sayfası, Digital Ocean’a ait bir URL’dir ve bir teknik destek dolandırıcılık sayfası barındırır.
Teknik destek dolandırıcılığı
Çoğu dolandırıcı, teknik destek dolandırıcılığı sayfası için kurbanın çalıştırdığı işletim sistemi ve tarayıcı için özelleştirilmiş bir şablon kullanır. Bu şema hem Windows hem de Mac için uyarlanmıştır ve Chrome, Opera, Safari ve Firefox tarayıcılarını destekler.
Bu durumda, navigator.keyboard.lock API’sini hedefleyerek bir sayfa tam ekrandayken tuş vuruşlarını yeniden eşleyen bir tarayıcı özelliğini de kötüye kullanıyorlar. Bunun pratikte anlamı, kullanıcının Escape tuşunu birkaç saniye basılı tutmadığı sürece tam ekran sayfasından çıkamayacağıdır. Pek çok kişi paniğe kapılıp ekrandaki telefon numarasını arayacak, sadece dolandırıcıların eline düşecek ve yüzlerce, hatta bazen binlerce dolar kaybedecek.
Kötü amaçlı reklam saldırılarına karşı koruma
Kötü amaçlı reklamcılık, farklı biçimlerde ve reklam biçimlerinde olabilir ve dağıtılan yükler için de aynı şey söylenebilir.
Bu yılın başlarında gördüğümüz gibi, bir yazılım indirmek için en üstteki reklama tıklamak her zaman istediğinizi elde etmez, hatta bilgisayarınıza kötü amaçlı yazılım bulaştırabilir. Tehdit aktörleri, meşru markaları taklit etmede ve inandırıcı web siteleri oluşturmada çok iyidir.
Bu kötü amaçlı reklam kampanyasını Google’a ve Block Inc.’e (Weebly) bildirdik ve bildirmeye devam ediyoruz.
Güvenlik için her zaman katmanlı bir yaklaşım kullanmanızı öneririz ve kötü amaçlı reklamcılık için kötü amaçlı yazılımdan koruma ile birlikte web korumasına ihtiyacınız olacaktır. Tüketiciler için Malwarebytes Premium ve işletmeler için Endpoint Protection, bu tür tehditlere karşı gerçek zamanlı koruma sağlar.
ŞİMDİ DENE