Spotify çalma listeleri ve podcast’ler, korsan yazılımları, oyun hile kodlarını, spam bağlantılarını ve “warez” sitelerini yaymak için kötüye kullanılıyor.
Spotify’ın web oynatıcı sonuçları Google gibi arama motorlarında göründüğünden, tehdit aktörleri, hedeflenen anahtar kelimeleri ve bağlantıları çalma listesi adlarına ve podcast açıklamalarına enjekte ederek, şüpheli çevrimiçi mülkleri için SEO’yu artırmanın faydasını görebilirler.
Spotify çalma listeleri zorluyor warez
Spam gönderenler ve dolandırıcılar, platformları kötüye kullanırken gündemlerini tanıtmak için çevrilmemiş taş bırakmazlar.
Son zamanlarda, “Sony Vegas Pro 13 Crack…” başlıklı bir Spotify çalma listesinin, çalma listesi başlığında ve açıklamasında listelenen bir veya daha fazla “ücretsiz” yazılım sitesine trafik çektiği ortaya çıktı.
“Warez” veya “crack” terimleri, bilgisayar kültüründe, genellikle güvenilmez web sitelerinde internette dolaşan kaçak veya korsan yazılımları ifade etmek için sıklıkla kullanılır.
Bu tür web sitelerinden veya “torrentlerden” sahte yazılım ürünleri indirmeye çalışmanın risksiz olacağına dair hiçbir garanti yoktur; çünkü bunlar kötü amaçlı yazılım olabilir veya kullanıcıları dolandırıcılık olan sahte “anket” sitelerine yönlendirebilir.
Bu tür “warez” indiren kullanıcılar, zaman zaman şüpheli web sitelerinde reklamı yapılan yazılım programını herhangi bir ücret ödemeden alabilirler, ancak bilmeden, yazılımın “kırılmış” sürümünde gizlenmiş virüsler, reklam yazılımları veya diğer istenmeyen programlarla sonuçlanabilirler. yazılım.
Ek fayda: Spam siteleri için SEO
Spotify gibi güvenilir ve son derece popüler platformları tehdit aktörleri için spam ile kirletmenin bir yan etkisinin, şüpheli web sitelerinin arama motoru sıralamalarını artırmak olduğunu gözlemledik.
“Sony Vegas Pro 13” veya diğer yazılım ürünleriyle birlikte “ücretsiz indirme” gibi anahtar kelimeleri arayanlara aşağıdaki Google sonuçları sunulabilir:
(Bipleyen Bilgisayar)
Bu, Spotify’ın mobil ve masaüstü uygulamalarına ek olarak web oynatıcı sürümünü de sunması sayesinde mümkün oldu. open.spotify.com. Web oynatıcısında bulunan oynatma listeleri ve podcast’ler, herhangi bir web sitesinde olduğu gibi, Google gibi arama motorları tarafından taranır.
Bu, yasa dışı “ücretsiz” yazılım web sitelerinin artık daha fazla görünürlüğe ve sunucularına trafik çekme şansının daha yüksek olduğu anlamına geliyor; sunucular genellikle reklamlar, spam içerik, sahte “anketler” ve gezinmek zorunda kalacağınız kripto hediyeleriyle dolu. ile, belki, nihayet kırık bir yazılım ürününü indirebileceksiniz ki bu da bir kez daha riskli olacaktır.
Spotify’a spam’i yakalamak ve önlemek için herhangi bir kontrol veya otomatik teknolojiye sahip olup olmadığını ve herhangi bir üçüncü taraf Spotify uygulamasının veya hizmetinin platforma spam içeriği gizlice sokmak için kötüye kullanılıp kullanılmadığını sorduk.
Spotify, “Sony Vegas Pro” çalma listesini ve podcast’ini sildi ve sözcüsü şu yanıtı verdi:
Spotify, BleepingComputer’a “Söz konusu çalma listesi başlığı kaldırıldı” dedi.
“Spotify’ın Platform Kuralları, bilgisayarlara, ağlara, sistemlere veya diğer teknolojilere zarar vermeyi veya bunlara yetkisiz erişim sağlamayı amaçlayan kötü amaçlı yazılımların veya ilgili kötü amaçlı uygulamaların yayınlanmasını, paylaşılmasını veya uygulanmasına ilişkin talimatların sağlanmasını yasaklar.”
Diğer sorularımıza cevap alamadık.
Podcast ‘bölümleri’ sentezlenmiş konuşmayı kullanıyor
BleepingComputer, Spotify’ın spam sorununun korsan yazılım bağlantılarını tanıtan çalma listeleriyle sınırlı olmadığını, e-Kitaplar da dahil olmak üzere genel olarak dijital içeriğin kaçakçılığını yaptığını keşfetti.
Çalma listeleriyle karşılaştırıldığında, spam bağlantılarını, “torrentleri” ve dolandırıcılık gibi görünen Telegram kanallarını tanıtma niyetiyle yayınlanan, her biri birkaç “bölüm” içeren sahte podcast’lerin çok daha büyük örneklerini gözlemledik.
(Bipleyen Bilgisayar)
(Bipleyen Bilgisayar)
Bu “bölümler” yaklaşık on ila yirmi saniye uzunluğundadır ve kullanıcıları “açıklamadaki bağlantıyı” ziyaret etmeye yönlendiren sentezlenmiş konuşma sesinden oluşur. Böyle bir bölümün yazımı aşağıdadır:
“Merhaba izleyiciler kanalıma hoş geldiniz benden güzel bir haberim var, bu kanaldan sesli kitap indirmek veya dinlemek istiyorsanız lütfen açıklamadaki linke tıklayıp oradan kayıt olun o zaman sınırsız kitap erişimine sahip olacaksınız, lütfen takip edin Ben birkaç e-kitap ve sesli kitap seçeneği arıyorum. Kanalıma geldiğiniz için teşekkür ederim, benden sıcak selamlar.”
Bu bağlantılar, reklamı yapılan kitabın dijital kapak görselinin yanında “indir” veya “çevrimiçi oku” düğmelerinin bulunduğu bir sayfaya yönlendirir. Bununla birlikte, düğmelerden herhangi birine tıklamak ya bir anket başlatmaya çalışır ya da daha kötüsü, kullanıcıları zayıf “reklam engelleyici” Chrome uzantılarına yönlendirir ve bu uzantılar verilerinizi topluyor olabilir:
Sıradaki: Oyun hileleri ve “GTA V” modları
Benzer şekilde, keşfettiğimiz bazı podcast’lerin Apex Legends, Fortnite hack’leri, Roblox komut dosyaları, “GTA V modları” ve eğitmenler gibi popüler oyunlar için oyun hile kodları sunduğunu iddia etti.
(Bipleyen Bilgisayar)
Bu örnek bölümün açıklamasındaki “Ücretsiz Hile Kodları” metni tıklanabilir nitelikteydi ve hileci.ninja web sitesi:
Üçüncü taraf podcast dağıtım hizmetleri aracılığıyla yayınlandı
İlginçtir ki, Spotify gibi platformlar geçersiz çalma listesi adlarını veya açıklamalarını kısıtlayan otomatik teknolojilere ve engellere sahip olsa da üçüncü taraf uygulamalar ve hizmetler, aktörlerin devreye girmek için yararlandığı başka bir vektör tehdittir.
Bu tür “podcast’lerin” hepsi olmasa da pek çoğunun ortak paydası, Spotify dahil yayın platformları genelinde podcast yapımcılarına barındırma, yayınlama ve dağıtım hizmetleri sağlayan bu tür üçüncü taraf hizmetlerinin kullanılmasıydı.
Bu podcast’lerin açıklama alanına “Powered by Firstory Hosting” başlığının eklendiğini fark ettik.
2019’da piyasaya sürülen Firstory, “dünyadaki podcast yayıncılarını her yere dağıtma ve izleyicilerle bağlantı kurmaya başlama konusunda güçlendirmek!” için tasarlanmış çevrimiçi bir hizmettir!
Firstory’yi Spotify’da podcast yayınlamak için kullanabilirsiniz, ancak platform, spam’in devam eden bir sorun olduğunu ve azaltmaya odaklandığını kabul ediyor.
Firstory kurucu ortağı Stanley Yu, BleepingComputer’a sorularımıza yanıt olarak şunları yazdı: “Spam hesapları ve içerik, devam eden zorluklardır ve geliştirmeye odaklanmaya devam ettiğimiz bir şeydir.”
“Platformumuzu herkes Spotify’da podcast yayınlamak için kullanabilir. Ancak, belirli sahte alan adlarını veya hesap+ gibi varyasyonlar içeren e-posta adreslerini kullanan hesapları önlemek için belirli filtrelerimiz var.[numbers]@gmail.com veya ‘.’ e-postalarda.”
“Bu spam hesapları yalnızca en çok değer verdiğimiz içerik oluşturucuların haklarını ihlal etmekle kalmıyor, aynı zamanda operasyonel maliyetlerimizi de artırıyor.”
“Bu sorunu çözmeye önemli miktarda kaynak ayırdık.”
Yu, mevcut güvenlik önlemlerinin e-posta doğrulama ve engellemeyi içerdiğini paylaştı; yani “hesap kayıt işlemi sırasında şüpheli veya sahte e-posta adreslerini engellemek için bir dizi kontrol” yürütmek.
Ayrıca platform, Spotify ile yakın işbirliği içinde çalışıyor ve Yu’ya göre, tespit edilen ihlal içeriklerini derhal inceleyip rapor ediyor.
“Ayrıca işaretlenen içeriği kaldırmak için Spotify ile API entegrasyonumuz da var.”
“Spam içerikli içeriğin barındırılmasını önlemek için podcast başlıklarını tarıyoruz ve EPUB, PDF vb. belirli anahtar kelimeler için notlar gösteriyoruz. Buradaki zorluk, bazı bölümlerin “EPUB” gibi varyasyonları kullanması veya ilgisiz olarak “epub” gibi terimler içermesidir. bağlamlar (örneğin, “cumhuriyet”). Bu vakalar inceleme sürecimiz sırasında ekstra dikkat gerektiriyor” diye bitirdi Yu.
Flört profillerine “el yazısıyla yazılmış” bağlantıları gizlice sokmaktan hükümet ve üniversite web sitelerini ele geçirmeye kadar, vicdansız aktörler istenmeyen içerikleri kitlelere ulaştırmak için defalarca yeni taktikler kullandılar. Üstelik artık sizi en sevdiğiniz müzikle de rahat bırakmayacaklar.