Спам и фишинг

Онлайн-генераторы обманутых ожиданий

Не так давно мы (а следом и наши защитные решения) стали считать целый класс сайтов — сайты-генераторы подарочных карт — мошенническими ресурсами, несмотря на то, что они не крадут деньги или персональные данные посетителя. Почему так произошло? Попробуем объяснить, что представляют собой такие сайты, и схему, по которой они работают.

Как это работает

Рекламу разнообразных генераторов можно встретить в спам-рассылках или увидеть на баннерах нечистоплотных рекламных сетей. Качество исполнения таких сайтов может колебаться от «профессионально» до «сделано на коленке», но суть всегда одна — посетителю предлагают совершенно бесплатно сгенерировать код подарочной карты iTunes, Google Play, Amazon, Steam и т. д. Один сайт может предлагать карты всевозможных номиналов практически всех популярных торговых площадок.

Как это часто бывает на фишинговых сайтах, на их страницах нет ни строчки о том, почему создатели занимаются такой «благотворительностью», зато есть множество отзывов от благодарных клиентов, сообщающих, что «сгенерированные» коды подошли (если не первый, то десятый или сотый).

Профессионально оформленный сайт-генератор…

Стоит отметить, что алгоритмы генерации кодов крупных компаний, таких как Apple или Google, надежно защищены от атак. А единственный громкий случай (якобы) взлома китайскими хакерами алгоритма генерации кодов iTunes в 2009 году, по мнению ИБ-специалистов, больше походил на схему отмывания средств. Подарочные карты менее крупных магазинов защищены хуже, но и мошенников они практически не интересуют.

….и более простой вариант оформления

Чтобы получить код, пользователь должен выбрать на сайте нужную подарочную карту, после чего система начнет «генерацию кода» или «взлом». Для большей достоверности по экрану в это время, как в кино про хакеров, бегут надписи, сообщающие о подключении к серверам и т. п.»Сгенерированный» код посетителю целиком не покажут: для начала он должен подтвердить, что является человеком, а не роботом. Для этого надо пройти по предложенной ссылке и выполнить некое задание.

Чтобы получить код, нужно доказать, что ты не робот

В зависимости от страны проживания от пользователя требует пройти опрос, сыграть в лотерею, оставить свой телефон и почтовый адрес, подписаться на платную СМС-рассылку, установить рекламное ПО (которое будет перенаправлять все его поисковые запросы, собирать сведения о его деятельности в интернете и сопротивляться удалению) и так далее. Количество и вид задания определяется партнерской сетью, на один из сайтов которой пользователь будет перенаправлен. Сеть, в свою очередь, выбирается исходя из страны проживания: в зависимости от доменной зоны включаются разные партнерские сети, рассчитанные на владение разными языками и на законы о рекламе, действующие в разных странах.

Загрузите платный рингтон, сыграйте в лотерею, поделитесь персональными данными, в общем, причините себе вред, чтобы доказать, что вы не робот

Итоговый результат выполнения заданий неприятен, но закономерен: жертву либо водят по партнерским сайтам, пока той не надоест заполнять анкеты и играть в лотереи, либо выдают ей в качестве награды случайный набор символов, который не имеет никакого отношения к настоящим кодам и похож на них лишь форматом.

Отметим, что владельцы сайтов-генераторов стараются не прибегать к откровенному мошенничеству или фишингу. Им вполне хватает средств от «продажи действий» пользователей на партнерских сайтах: заработок колеблется от нескольких центов за клик по нужной ссылке до нескольких десятков долларов за заполнение посетителем анкеты или подписки на платные услуги. Однако добросовестные рекламодатели (есть и такие!) партнерской сети предполагают, что получают данные пользователя, которого интересует именно их товар или услуга. Недобросовестные же не расстраиваются и используют полученные данные, например, для рассылки спама. Обман пользователя и иногда рекламодателя — та причина, по которой мы стали детектить сайты-генераторы как мошеннические. А честные и нечестные «партнерки» — это тема для отдельного материала.

Исключения

Существуют легитимные сайты и сервисы, которые дают пользователю различные скидки и подарочные карты в рамках программы лояльности (например, за набранные баллы или за покупки в магазинах-партнерах). Есть и легитимные приложения, например Tokenfire или Swagbucks. Их коды карт честно куплены у вендора и выдаются клиенту, который заработал для компании достаточно денег, чтобы компенсировать ее расходы и обеспечить прибыль. Иначе говоря, для получения подарка пользователю придется потратить значительное количество средств и/или времени. На этом фоне сайты-генераторы выглядят гораздо более привлекательно, поскольку не требуют практически ничего. Впрочем, как показывают наши исследования, на деле ничего и не дают взамен, кроме порции обманутых ожиданий.

Онлайн-генераторы обманутых ожиданий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике