Taklit edilen bir markanın resmi web sitesini içeren reklamlar yeniden yayınlanıyor ve dolandırıcıların kullanıcıları dolandırmasına olanak tanıyor.
Web arama, Microsoft ve Google gibi çevrimiçi devlerin deneylerini yaptığı yapay zeka teknolojisi sayesinde yeni bir yolculuğa çıkmak üzere. Yine de, arama motorları tarafından görüntülenen ve yapay zekanın muhtemelen düzeltemeyeceği kötü amaçlı reklamlar söz konusu olduğunda bir sorun vardır.
Son aylarda çok sayıda olay, kötü amaçlı reklamcılığın yeniden yükselişe geçtiğini ve kullanıcı deneyimini ve favori arama motorlarına olan güveni etkilediğini gösterdi. Aslında, Arama Motoru Sonuç Sayfaları (SERP’ler), bazı durumlarda dolandırıcılığa veya kötü amaçlı yazılımlara yol açan ücretli Google reklamları içerir.
Kötü amaçlı reklamcılığın özellikle dolambaçlı bir türü, suçluların reklam satın aldığı ve reklam snippet’inde resmi markanın web sitesini görüntüleyecek kadar ileri gittiği marka kimliğine bürünmedir. Daha önce Google’a birkaç olay bildirdik ve resmi URL’leri kullanan bu reklamların artık ulaşamadığı görüldü. Ancak kısa bir süre önce yeni kampanyalarda yeniden bir artış olduğunu fark ettik.
Marka kötüye kullanımı: Dolandırıcılar, kullanıcıların güvenini kötüye kullanır
Bir arama ile bir sonuca tıklama arasında yalnızca birkaç saniye geçer ve çoğu zaman bu tıklama, ilk önce gösterilen şeyde olur. Bu nedenle reklamverenler, yalnızca markalarına trafik çekmek için değil, aynı zamanda potansiyel rakiplerini geride bırakmak için arama motorlarında reklam satın alıyor. Ne yazık ki, tüm reklamverenler iyi niyetli değildir ve en kötüleri, kötü niyetli reklamlar yayınlamak için ellerinden gelen her şeyi kullanır.
Yaklaşık bir hafta boyunca bazı örnekler almaya karar verdik ve popüler bir arama terimi olduğu için (diğer popüler markalar da etkilense de) Amazon ile ilgili aramalara odaklandık. Bulduğumuz reklamlar yalnızca Amazon’un resmi web sitesi olduğunu iddia etmiyordu, aynı zamanda reklamda amazon.com URL’sini de gösteriyordu.
Şekil 1a: Kötü amaçlı reklam
Şekil 1b: İlgili ağ trafiği
Şekil 2a: Kötü amaçlı reklam
Şekil 2b: İlgili ağ trafiği
Şekil 3a: Kötü amaçlı reklam
Şekil 3b: İlgili ağ trafiği
Şekil 4a: Kötü amaçlı reklam
Şekil 4b: İlgili ağ trafiği
Şekil 5a: Kötü amaçlı reklam
Şekil 5b: İlgili ağ trafiği
Aşağıda, bir kurban bu reklamlardan birine tıkladığında ne olduğunu gösteren bir animasyon bulunmaktadır:
Şekil 6: Kötü amaçlı reklam, kimlik avı sayfasına yönlendiriyor
Son zamanlarda gördüğümüz marka taklitlerinin çoğu teknik destek dolandırıcılığına yol açsa da tüketicilerin karşı karşıya olduğu tek tehdit bu değil. Örneğin, Amazon’un giriş sayfası gibi görünen ancak bunun yerine kullanıcıları bir kimlik avı sitesine yönlendiren ve kredi kartı numaralarını almadan önce şifrelerini çalan bir reklam gördük.
Şekil 7: Bir kimlik avı sitesine yönlendiren kötü amaçlı bir reklam
Bu suçlular tespit edilmekten nasıl kaçıyorlar?
reklam URL’si
Buradaki sorunun bir kısmı, reklamverenlerin yasal bağlı kuruluşlar olabilmesi ve Amazon markasıyla ilişkilendirilebilmesidir. Aşağıda, Google’da reklam veren ve Amazon’da satış ortağı olarak kendi sayfasına sahip bir satıcı örneği verilmiştir:
Şekil 8: Amazon markasından doğru şekilde yararlanan bir reklamveren
Sorun, reklam snippet’inde (ör. https://www.amazon.com) bir markanın resmi URL’sini görüntüleyen bir reklamverenin o markayla hiçbir ilgisi olmayan bir reklam URL’si göndermesine izin verildiğinde ortaya çıkar. Yalnızca kötü amaçlı etkinlik amacıyla yeni kaydedilen URL kısaltıcıları, gizleme hizmetlerini veya etki alanlarını içeren birçok örnek gördük.
Şekil 9: Kötü amaçlı reklam e-tablosunda izlenen Amazon aramalarıyla ilgili olaylar
Yukarıdaki ekran görüntüsü, Google ile paylaştığımız ve diğer araştırmacılarla birlikte dolandırıcılıktan kötü amaçlı yazılım dağıtımına kadar değişen yeni kötü amaçlı reklam kampanyalarını takip ettiğimiz bir belgenin parçasıdır.
Anti-bot trafiği yönlendirme ve gizleme
Tehdit aktörleri, kötü amaçlı içeriği yalnızca amaçlanan kurbanlara iletmek için genellikle trafik filtreleme hizmetlerine güvenir. Daha önce gösterdiğimiz kötü amaçlı reklamların neredeyse tamamı bir tür trafik dağıtım ve filtreleme sistemi kullanıyordu. Bu pazar biraz gri bir alandır ve bazı şirketler bot veya dolandırıcılığı önleyici sağlayıcılar olarak reklam verirken, diğerleri çevrimiçi suçluların uğrak yeri olan yerlerde utanmadan reklam yapar.
Amaç, yalnızca Google’ın ve diğer reklam ağlarıyla oynamak değil, aynı zamanda yalnızca nitelikli trafiğin geçmesine izin verilmesini sağlamaktır. Tıklama reklamlarından kaynaklanan çoğu kötü amaçlı reklamda, uygulama, gizleme adı verilen bir şeye indirgenir.
Gizleme ile kullanılan iki tür URL vardır: meşru URL (veya tuzak) ve para URL’si (kötü amaçlı olan). Aşağıdaki resimde bu tür parametrelerin yanı sıra tehdit aktörünün Amazon (amz) ve kötü amaçlı reklamcılar tarafından kötüye kullanılan başka bir anahtar kelime olan YouTube (ytb) kötü amaçlı reklam kampanyaları için klasörler içeren para sayfasını görüyoruz:
Şekil 10: Para sayfasını gösteren gizleme parametreleri
Bu özel durumda, dolandırıcı tarafından kaydedilen ve aşağı yukarı aynı amaca hizmet eden bir dizi alan keşfettik. Hatırlanması gereken önemli bir şey, bu alan adlarının Google tarafından hemen görülmediğidir. Örneğin trafik filtreleme hizmeti, bir tıklamanın gerçek bir kullanıcıdan mı yoksa bir makineden mi geldiğini algılar. Daha sonra sahte tıklamayı Amazon’un web sitesine yönlendirmeye karar verebilir ve bu nedenle gizliliğini koruyabilir.
Şekil 11: Google reklamlarını teknik destek dolandırıcılığına yönlendirmek için kullanılan altyapı
Gerçek trafik için, bu alanlar, son derece tek kullanımlık ve sürekli değişen olma eğiliminde olan yük sayfalarına aracı olarak hareket edecektir. Bunların açıkça kötü niyetli olması ve raporlanıp kaldırılacak olmasının basit bir nedeni var. Bununla birlikte, kötü amaçlı reklamcılık altyapısının fiilen kesintiye uğraması nadirdir çünkü daha ileri düzeydedir ve nadiren düzgün bir şekilde belgelenir. Bu, tehdit aktörlerinin kötü amaçlı reklam kampanyalarına devam etmelerine ve yük sayfalarını basitçe değiştirmelerine olanak tanır.
Bard, Google’ın kötü amaçlı reklamcılık sorununu çözebilir mi?
Google’ın AI sohbet robotu Bard’a, arama motorunu rahatsız ediyor gibi görünen kötü amaçlı reklam sorununu çözüp çözemeyeceğini sorduk. İlk başta Bard, bu sorunu çözemediğini söyledi:
Şekil 12: Kötü amaçlı reklamcılıkla ilgili bir soruyu yanıtlayan Bard
Ancak, ikinci bir denemede Bard bunun kötü amaçlı reklam sorununu çözmeye yardımcı olabileceğini iddia etti:
Şekil 13: Aynı soruyu farklı bir şekilde yanıtlayan Bard
Ne olursa olsun, kötü amaçlı reklamcılık karmaşık bir konudur ve milyarlarca günlük reklam gösterimi göz önüne alındığında, hain birinin herhangi bir platformu kötüye kullanması kolaydır. Ancak, tehdit aktörlerinin markaları taklit etmesine izin veren belirli unsurları belirlemek için yapay zekaya ihtiyacımız yok. Ayrıca, kullanıcıları kötü amaçlı reklamcılık konusunda eğitmek önemli olsa da, güvenilir olarak doğrulandığı varsayılan ücretli reklamlara tıkladıkları için onları suçlayamayız.
Bu olayların, gelirleri büyük ölçüde reklama bağlı olan yayıncıları üzecek şekilde, kullanıcıları reklam engelleyiciler yüklemeye teşvik edeceğini söylemeye gerek yok. Sonunda, kullanıcı deneyimine iner ve her şeyden önce gelmesini sağlar.
Ardından, kötü amaçlı reklamlara karşı korunmak için bazı ipuçları istedik. Alt kısımdaki küçük bir sorumluluk reddi beyanında Bard’ın Google’ın görüşlerini yansıtmayan bilgileri görüntüleyebileceği açıkça belirtilmesine rağmen, Bard’ın bir reklam engelleyici kullanılmasını önerdiğini fark etmemizden kendimizi alamadık. Gerçekten de reklam sektörü, Google’ın gelirlerinin neredeyse %80’ini oluşturuyor.
Şekil 14: Bard, kötü amaçlı reklamcılıktan nasıl korunacağına dair bazı ipuçları sunuyor
Kötü amaçlı reklamcılık uzun yıllardır bir sorun olmuştur ve yakın zamanda değişmesi pek olası değildir. Kullanıcıların, suçluların tanınmış markaların kimliğine bürünürken reklam satın alabileceklerinin ve güvenlik mekanizmalarını başarılı bir şekilde atlayabileceklerinin farkında olmaları önemlidir. Bunun yerine URL’yi adres çubuğuna yazmaya karar verirseniz, yazım hatası yapmamaya dikkat edin. Bu, yazım hatası yapanlar tarafından yüksek oranda hedeflenen ve kötü amaçlı reklam yönlendirmelerini de içerebilen başka bir alandır.
Bu blog gönderisinde bahsedilen tüm reklamlar Google’a rapor edilmiştir. Devam eden destekleri için reklam biriminde çalışan kişilere teşekkür ederiz.
Uzlaşma Göstergeleri
Yönlendirmeler:
tinyurl[.]com/amzs10
tinyurl[.]com/amz01111
Gizleme alanları:
601rajilg[.]xyz
hesit[.]xyz
maydoo[.]xyz
pizz[.]site
ferdo[.]xyz
tableq[.]xyz
veast[.]site
amazonsell[.]pro
amaazoon[.]org
atzipfinder[.]com
Teknik destek dolandırıcılığı alanları:
ryderlawns[.]xyz
akochar[.]site
gerots[.]s3.eu-north-1[.]amazonaws[.]com
pay-pal-customer-helpline-app-tt6y3[.]ondigitalocean[.]app
micrwindow-app-38sqh[.]ondigitalocean[.]app
fekon[.]s3.ap-south-1[.]amazonaws[.]com
Malwarebytes Browser Guard, saldırganlar tarafından kontrol edilen alanlara kadar saldırı zincirinin daha geniş bir alanını kapsayarak standart reklam engelleme özelliklerine ek koruma sağlar. Yerleşik sezgisel motoru sayesinde, daha önce hiç görülmemiş kötü amaçlı web sitelerini de proaktif olarak engelleyebilir.
Güvenlik için her zaman katmanlı bir yaklaşım kullanmanızı öneririz ve kötü amaçlı reklamcılık için kötü amaçlı yazılımdan koruma ile birlikte web korumasına ihtiyacınız olacaktır. Tüketiciler için Malwarebytes Premium ve işletmeler için Endpoint Protection, bu tür tehditlere karşı gerçek zamanlı koruma sağlar.
ŞİMDİ DENE