22/04/25
По данным компании HUMAN, специализирующейся на обнаружении ботов и рекламного мошенничества, Scallywag представляла собой целую сеть из 407 доменов. Суть схемы заключалась в том, чтобы превращать сомнительные сайты — в первую очередь ресурсы с пиратским контентом и сервисы для сокращения ссылок — в источники дохода за счёт поддельных показов рекламы. Для этого использовались плагины, которые внедрялись в WordPress-сайты и выполняли весь необходимый функционал: от редиректов до маскировки, пишет Securitylab.
В экосистему Scallywag входили четыре плагина — Soralink (2016), Yu Idea (2017), WPSafeLink (2020) и Droplink (2022). Последний распространялся бесплатно, если пользователь выполнял ряд заданий, приносящих прибыль разработчикам. Остальные активно продавались и даже продвигались в обучающих видео на YouTube, пишет Securitylab. HUMAN подчёркивает, что кампания Scallywag не была делом одной группировки — напротив, она представляла собой «мошенничество как услугу», доступное множеству участников, включая начинающих злоумышленников.
Пираты и владельцы сомнительных сайтов, неспособные монетизировать свои ресурсы легальными способами из-за отсутствия доверия со стороны рекламных платформ, вступали в негласное сотрудничество с организаторами схемы. Посетители таких сайтов попадали по сокращённым ссылкам на промежуточные страницы с навязчивой рекламой, CAPTCHA и таймерами ожидания. Эти страницы генерировали фальшивые просмотры и клики, обеспечивая доход мошенникам, прежде чем пользователь добирался до обещанного контента.
Одной из ключевых особенностей Scallywag была система маскировки — так называемый cloaking. При проверке со стороны рекламных платформ или автоматизированных систем аналитики сайт выглядел как безобидный блог, не вызывающий подозрений. Именно эта хитрость позволяла схеме долгое время оставаться незамеченной.
Обнаружить аномальную активность удалось благодаря поведенческому анализу трафика. HUMAN зафиксировала резкий рост показов на ничем не примечательных блогах WordPress, наличие систем ожидания, неожиданных CAPTCHA и подмены содержимого в зависимости от источника перехода.
После идентификации мошеннической схемы специалисты HUMAN начали блокировать домены, взаимодействовать с рекламными платформами и прекращать закупку трафика, что обрушило всю экономику операции.
Попытки организаторов обойти блокировки с помощью новых доменов и запутанных цепочек редиректов были быстро пресечены. В результате поток фальшивых рекламных запросов снизился с 1,4 миллиарда в день практически до нуля, а большинство участников отказались от дальнейшего использования схемы.
