Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Система распределения трафика TDS активно используется в мошеннических схемах

23/07/24

hack119-Jul-23-2024-08-36-44-4115-AM

Эта система, названная R0bl0ch0n TDS из-за характерных последовательностей "0/0/0" в URL-перенаправлениях, затронула около 110 миллионов интернет-пользователей по всему миру.

Партнерский маркетинг, который обычно является законным способом продвижения товаров и услуг, в этом случае превратился в инструмент распространения мошеннической рекламы. Исследователи обнаружили сотни небольших партнерских сетей, которые специализируются на продвижении подозрительных предложений, ведущих к хорошо известным схемам обмана, пишет Securitylab.

R0bl0ch0n TDS представляет собой сложную инфраструктуру из множества доменов и выделенных серверов, надежно защищенных сервисом Cloudflare. Несмотря на то, что злоумышленники включили в свои кампании некоторые легитимные функции, такие как формы отписки и обратной связи, они приняли серьезные меры для сокрытия реальных организаций, стоящих за этими операциями.

Технический анализ R0bl0ch0n TDS показал, что URL-адреса, встроенные в электронные письма, следуют одинаковым шаблонам (<домен>/bb/[0-9]{18}). Эти ссылки содержат несколько автоматических перенаправлений, которые ведут пользователей на поддельные магазины или страницы с опросами. Важно отметить, что эти URL-адреса не могут быть корректно проанализированы автоматическими системами, так как для обхода поддельной капчи требуется участие пользователя.

Эксперты выяснили, что домены с поддельными опросами активно обмениваются данными пользователей со сторонними веб-сайтами. Например, домен facileparking.sbs передает информацию на event.trk-adulvion.com. Эта сеть доменов начала функционировать летом 2021 года и включает более 300 выделенных IP-адресов на серверах Amazon Web Services (AWS).

По данным DomainTools, общее количество DNS-запросов типа A для поддоменов event. с 2021 года составляет около 110 миллионов. Учитывая, что для каждого пользователя регистрируется только один DNS-запрос благодаря механизму фингерпринтинга, эта цифра достоверно отражает общее число людей, ставших мишенью мошеннических схем.

Исследователи выявили две основные категории мошеннических предложений, распространяемых через R0bl0ch0n TDS:

Розыгрыши призов:

  • Привлекательные сообщения о выигрыше в лотерею.
  • После заполнения короткого онлайн-опроса пользователей просят оплатить небольшую сумму за доставку
  • На самом деле таким образом оформляется подписка на регулярные платежи (от 20 до 45 евро каждые две недели)
  • Федеральная торговая комиссия США сообщила о жалобах на сумму более $300 миллионов убытков, со средним ущербом $900 на человека
  • Эксперты World Watch полагают, что реальные цифры значительно выше, учитывая огромное количество ежедневно рассылаемых кампаний

Предложения по улучшению жилья:

  • Реклама завышенных по цене услуг по установке фильтров для водостоков, солнечных панелей, тепловых насосов или душевых кабин для пожилых людей
  • Такие схемы часто распространяются через электронную почту и/или продвигаются с помощью поисковой оптимизации (SEO)
  • Партнеры получают комиссию каждый раз, когда пользователь заполняет контактную форму
  • Затем "продавец" перезванивает потенциальному клиенту
  • Часто продавцы намеренно завышают размер государственных субсидий, на которые может претендовать клиент

Для первоначального распространения URL-адресов, перенаправляемых через R0bl0ch0n TDS, используются различные методы:

  1. Использование случайных поддоменов AWS с данными в части фрагмента URL, которые передаются в R0bl0ch0n TDS и, вероятно, связаны с параметрами партнерской программы
  2. Использование случайных поддоменов Azure с URL-адресами, соответствующими шаблону <случайный_поддомен>.blob.core.windows.net/<случайный_поддомен>/1.html. Данные в фрагменте URL также передаются в R0bl0ch0n TDS
  3. Использование сервисов сокращения URL

Эксперты отмечают, что использование легитимных сервисов, таких как инфраструктура AWS, Azure или сокращатели URL, позволяет партнерам легко модифицировать и развертывать новую инфраструктуру. Это помогает им обходить системы обнаружения и контрмеры, реализованные в Google Safe Browsing или антиспам-фильтрах.

Темы:ОпросGoogleУгрозыонлайн-рекламаМошенничествоWorld Watch
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...