Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Google смотрит на котиков, а вы на фишинг. Как мошенники обманывают рекламных модераторов

leer en español

Google Varonis 1Campaign DuppyMeister киберпреступность фишинг вредоносная реклама
Google смотрит на котиков, а вы на фишинг. Как мошенники обманывают рекламных модераторов
Google Varonis 1Campaign DuppyMeister киберпреступность фишинг вредоносная реклама

Теневой дирижёр годами водит чужие алгоритмы за нос.

image

В экосистеме онлайн-рекламы обнаружен сервис, который помогает киберпреступникам надолго удерживать вредоносные объявления в выдаче Google и обходить автоматические проверки. Платформа под названием 1Campaign маскирует фишинговые и мошеннические страницы так, что системы модерации и специалисты по безопасности видят безобидный контент, тогда как реальные пользователи попадают на ресурсы злоумышленников.

По данным компании Varonis, сервис действует не менее трёх лет и управляется разработчиком под псевдонимом «DuppyMeister». Суть схемы сводится к подмене содержимого в зависимости от того, кто открывает объявление. Если переход совершают автоматические сканеры или сотрудники технологических компаний, система показывает так называемые «белые» страницы. Потенциальные жертвы при этом перенаправляются на фишинговые сайты и страницы для кражи криптовалюты.

Платформа предлагает клиентам панель управления, где можно настраивать параметры кампаний и отслеживать их работу. Фильтрация трафика происходит в реальном времени. Посетителей распределяют по заданным критериям, включая страну, интернет-провайдера и характеристики устройства. Такой подход позволяет сосредоточиться на аудитории в конкретных регионах и отсечь страны, где вероятность проверки выше.

Varonis зафиксировала пример, когда система заблокировала 99,4 процента из 1676 посетителей вредоносного объявления. До целевой страницы добрались лишь десять человек. Каждому пользователю присваивается оценка риска от 0 до 100. При расчёте учитываются признаки использования облачной инфраструктуры, дата-центров, VPN и сервисов безопасности. Трафик из сетей Microsoft, Google, Tencent Cloud, OVH и других крупных провайдеров автоматически получает высокий балл риска и блокируется. Анализ диапазонов IP-адресов и поведенческих шаблонов помогает выявлять обращения со стороны сканеров.

Активность, связанную с 1Campaign, специалисты наблюдали в США, Канаде, Нидерландах, Китае, Германии, Франции, Японии, Венгрии и Албании. Помимо маскировки, платформа предлагает инструмент для запуска рекламных кампаний в Google Ads. Разработчик утверждает, что с его помощью можно обходить ограничения площадки и выдавать объявления за рекламу легитимных брендов.

Несмотря на внедрение дополнительных защитных механизмов, рекламная сеть Google остаётся каналом распространения мошенничества и вредоносного ПО. Особенность 1Campaign в том, что сервис изначально создавался для прохождения автоматической модерации и продления жизни опасных объявлений до тех пор, пока их не обнаружат вручную или не поступят жалобы.

Varonis отмечает, что подобные схемы снижают эффективность статического анализа URL. Для выявления таких кампаний требуется использование реалистичных цифровых отпечатков браузера и имитация поведения обычных пользователей. Автоматическим системам рекомендуют регулярно менять IP-адреса и параметры user-agent, чтобы не формировать устойчивый профиль, который легко отсекается фильтрами злоумышленников.