تحقیقات جدید نشان میدهد که هزاران وبسایت متعلق به سازمانهای دولتی ایالات متحده، دانشگاههای پیشرو و سازمانهای حرفهای در نیم دهه گذشته ربوده شدهاند و از آنها برای ارائه پیشنهادات و تبلیغات کلاهبرداری استفاده شدهاند. هدف بسیاری از این کلاهبرداری ها کودکان است و سعی می شود آنها را فریب دهند تا در ازای دریافت پاداش های موجود در Fortnite و Roblox، برنامه ها، بدافزارها یا اطلاعات شخصی را ارسال کنند.
با گذشت بالای سه سال، زک ادواردز، محقق امنیتی، این سرقت ها و کلاهبرداری های وب سایت را دنبال می کند. او می گوید که این فعالیت ها می تواند به فعالیت های کاربران وابسته یک شرکت تبلیغاتی مرتبط باشد. این شرکت ثبت شده در ایالات متحده به عنوان سرویسی عمل می کند که ترافیک وب را به طیف وسیعی از تبلیغ کنندگان آنلاین ارسال می کند و به افراد امکان می دهد ثبت نام کنند و از سیستم های آن استفاده کنند. با این حال، در هر روز، ادواردز، مدیر ارشد بینش تهدید در امنیت انسانی، تعداد زیادی از دامنههای .gov، .org و .edu را در معرض خطر قرار میدهد.
ادواردز میگوید: «این گروه همان گروهی است که من بهعنوان گروه شماره یک در به خطر انداختن زیرساختها در سراسر اینترنت و میزبانی کلاهبرداری بر روی آن و سایر انواع سوءاستفادهها در نظر میگیرم.»
طرح ها و راه های کسب درآمد افراد پیچیده است، اما هر یک از وب سایت ها به روشی مشابه ربوده می شوند. آسیبپذیریها یا ضعفهای پشتیبان وبسایت یا سیستم مدیریت محتوای آن، توسط مهاجمانی که فایلهای PDF مخرب را در وبسایت آپلود میکنند، مورد سوء استفاده قرار میگیرند. این اسناد، که ادواردز آنها را «پیدیافهای سمی» مینامد، برای نمایش در موتورهای جستجو و تبلیغ «پوستهای رایگان فورتنایت»، تولیدکنندههای ارز درونبازی Roblox، یا جریانهای ارزان باربی، اوپنهایمر و دیگر فیلمهای محبوب طراحی شدهاند. فایلها مملو از کلماتی هستند که افراد ممکن است در مورد این موضوعات جستجو کنند.
ادواردز، که یافتهها را در کنفرانس امنیتی Black Hat در لاس وگاس ارائه کرد، میگوید: وقتی شخصی روی پیوندهای موجود در پیدیافهای سمی کلیک میکند، میتواند از طریق چندین وبسایت هدایت شود، که در نهایت او را به سمت صفحات فرود کلاهبرداری میکند. او میگوید «صفحات فرود زیادی وجود دارند که برای کودکان بسیار هدفمند به نظر میرسند».
برای مثال، اگر روی پیوند موجود در یک پیدیاف برای تبلیغات رایگان سکههای یک بازی آنلاین کلیک کنید، به وبسایتی هدایت میشوید که در آن نام کاربری و سیستم عامل درون بازی شما را میپرسد، قبل از اینکه بپرسد چند سکه رایگان میخواهید. یک پاپ آپ ظاهر می شود که می گوید: «مرحله آخر!» این “صفحه قفل” ادعا می کند که اگر برای سرویس دیگری ثبت نام کنید، جزئیات شخصی را وارد کنید یا یک برنامه را دانلود کنید، سکه های بازی رایگان باز می شوند. ادواردز می گوید: «من آن را صدها بار آزمایش کرده ام. او هرگز پاداشی دریافت نکرده است. هنگامی که مردم از طریق این پیچ و خم صفحات هدایت می شوند و در نهایت یک برنامه را دانلود می کنند، جزئیات شخصی را وارد می کنند یا هر تعداد از اقدامات لازم را وارد می کنند، کسانی که در پشت این کلاهبرداری هستند می توانند درآمد کسب کنند.
محققان کلاهبرداری تبلیغاتی می گویند که این نوع کلاهبرداری ها مدتی است که وجود داشته است. ادواردز میگوید، اما اینها برجسته هستند، زیرا همه آنها پیوندهایی به شرکت تبلیغاتی CPABuild و اعضایی که برای شبکه آن کار میکنند دارند. ادواردز میگوید تمام وبسایتهای در معرض خطر که فایلهای PDF آپلود شده دارند، با سرورهای فرمان و کنترل متعلق به CPABuild تماس میگیرند. او میگوید: «آنها کمپینهای تبلیغاتی را به زیرساختهای دیگران سوق میدهند. جستجو برای یافتن فایلی که به فایلهای PDF پیوند داده شده است، صفحاتی از نتایج وبسایتهای در معرض خطر را نشان میدهد.
وبسایت CPABuild، که رجیستری قانونی آن را در نوادا فهرست میکند، خود را بهعنوان «شبکه قفلکننده محتوا در درجه اول و مهمتر از همه» توصیف میکند. این شرکت که از سال 2016 تأسیس شده است، وظایف مشتریان خود را میزبانی می کند، مانند دادن فرصت به افراد برای کسب درآمد با ارسال اطلاعات ایمیل و کد پستی خود. سپس کاربران CPABuild که اغلب به عنوان شرکت های وابسته شناخته می شوند، سعی می کنند افراد را وادار به تکمیل این پیشنهادات کنند. آنها اغلب این کار را از طریق ارسال هرزنامه به نظرات یوتیوب یا ایجاد صفحههای بازشو در انتهای زنجیره کلیک PDF Poison انجام میدهند. این فرآیند مبتنی بر نتایج توسط تبلیغکنندگان و بازاریابان بهعنوان هزینه هر عمل (CPA) شناخته میشود.
آگوستین فو، محقق مستقل امنیت سایبری و کلاهبرداری تبلیغاتی که خلاصهای از یافتههای ادواردز را بررسی کرده است، میگوید: «تقلب CPA، که شامل هزینه نصب هر برنامه است، بسیار رایج است. فو میگوید: «متخصصانی مانند آنهایی که در این تحقیق شناسایی شدهاند، جایگاهی را ایجاد میکنند که در آن در یک نوع خاص از کلاهبرداری رهبر دسته میشوند. “مشتریان برای آن تخصص به آنها مراجعه می کنند.”
ادواردز میگوید در سال 2022 به آژانس زیرساخت امنیت سایبری ایالات متحده (CISA) در مورد بیش از 50 وبسایت در معرض خطر، که شامل آزمایشگاه ملی اوک ریج و آزمایشگاه ملی لارنس برکلی میشد، هشدار داد. سخنگوی Oak Ridge گفت که “فورا” به هشدار CISA پاسخ داد، “محتوای مشکوک را حذف کرد و مشکل را حل کرد.” آنها می گویند که هیچ داده متعلق به آزمایشگاه تحت تأثیر قرار نگرفت. در همین حال، سخنگوی آزمایشگاه ملی لارنس برکلی گفت که نمی تواند در مورد این مورد خاص اظهار نظر کند، اما “هیچ آسیب پذیری منجر به به خطر افتادن سیستم ها برای بازدیدکنندگان” وب سایت آن نشده است. مدیر رجیستری .gov CISA، کامرون دیکسون، میگوید وقتی از آسیبپذیریهای موجود در وبسایتهای دولتی مطلع میشود، به آنها اطلاع میدهد و کمک میکند. ادواردز می گوید: «در هر روز، شما می توانید فهرستی به این بزرگی از قربانیان جدید داشته باشید. (در سال 2020، تیم پاسخگویی به حوادث امنیت رایانه ای ایتالیا، CIRST، هشداری درباره دامنه های در معرض خطر که ادواردز پیدا کرده بود، صادر کرد.)
در حالی که برخی گزارشها در ارتباط با شرکتهای وابسته به CPABuild وجود دارد، ادواردز میگوید این طرح میتواند زیر رادار پرواز کند، زیرا پیوندها در این فرآیند از طریق سرویسهای تغییر مسیر منتقل میشوند که هویت آنها را پنهان میکند. همچنین، او میگوید، سازشها میتوانند نادیده گرفته شوند، زیرا به اندازه باجافزار یا سایر حملات سایبری تأثیرگذار نیستند.
با این حال، آثاری از فعالیت مرتبط با اعضای CPABuild و وابستهها در سراسر وب وجود دارد. کاربران مختلف CPABuild ویدیوهایی را در یوتیوب آپلود کردهاند که نحوه عملکرد بخشهایی از سایت را نشان میدهد. یک ویدیو نشان میدهد که شخصی از «مولد پوستههای فورتنایت» و یک صفحه قفل که از طریق ابزارهای CPABuild ایجاد میشود، استفاده میکند. در یک ویدیوی دیگر، انواع پیشنهادات میزبانی شده توسط CPABuild را می توان مشاهده کرد، از جمله وادار کردن مردم به ارسال جزئیات ایمیل و کد پستی، ارسال جزئیات کارت اعتباری، نصب برنامه های تلفن همراه، و تکمیل “نظرسنجی های عمومی”.
در طول هفت سال گذشته، صدها قفل محتوا در وب سایت CPABuild توسط آرشیو اینترنت ضبط شده است. یک صفحه قفل به نام «کارتهای هدیه آمازون» به افراد این فرصت را میدهد که یک نظرسنجی را تکمیل کنند تا «هماکنون 5000 دلار پول نقد دریافت کنید» یا «ورود» برای برنده شدن 25000 دلار. برخی دیگر افراد را وادار می کنند تا برنامه هایی مانند مرورگر وب اپرا را دانلود کنند یا جزئیات خود را وارد کنند تا «یک کارت بازی Roblox 100 دلاری دریافت کنند». بازی های محبوب کودکان اغلب به عنوان یک فریب برای این “پیشنهادها” استفاده می شود.
یکی از صفحههای قفل میگوید: «ما به اندازه شما از این چیزها متنفریم، اما به ما کمک میکند زنده بمانیم. “لطفاً یک فرم سریع را پر کنید تا رمز عبور خود را دریافت کنید و پشتیبانی خود را به ما نشان دهید.”
ابزارهای بازرسی وب سایت، مانند URLScan، چندین دامنه مشکوک را نشان می دهد که با زیرساخت CPABuild که توسط خدمات وب آمازون (AWS) میزبانی می شود، در ارتباط هستند. پاتریک نیهورن، سخنگوی AWS می گوید، تیم های اعتماد و ایمنی آمازون به نتایج تحقیقات ادواردز نگاه می کنند. Neighorn میگوید: «شرایط خدمات AWS مشتریان را از استفاده از خدمات ما برای هرگونه فعالیت غیرقانونی یا تقلبی منع میکند و مشتریان ما مسئول پیروی از شرایط ما و کلیه قوانین قابل اجرا هستند.»
در همین حال، شرکتهای بازی میگویند نمونههایی از وبسایتهایی که صفحات قفل را میزبانی میکنند، قانونی نیستند. جیک جونز، مدیر ارشد ارتباطات در Epic Games که Fortnite را ایجاد کرد، میگوید: «اینها کلاهبرداری هستند. او میگوید: «بازیکنان هرگز نتوانستهاند V-Bucks درون بازی را به بازیکن دیگری بفروشند، هدیه بدهند یا معامله کنند یا آیتمهای مجازی را به یکدیگر بفروشند. به طور مشابه، جیمز کی، سخنگوی Roblox، میگوید که استفاده از خدمات شخص ثالث برای “خرید، فروش، تجارت یا اهدای Robux” ممنوع است و مردم باید از “پیشنهاد” در وبسایتهایی که وعده ارز رایگان درون بازی یا موارد دیگر را میدهند اجتناب کنند. موارد.
ویکتوریا کیویلویچ، مدیر تحقیقات تهدید در شرکت امنیتی KELA، میگوید که این شرکت شاهد بحث CPABuild در انجمنهای جرایم سایبری و هک بوده است. Kivilevich میگوید در یکی از سایتها، شخصی توصیه میکند یک کانال YouTube با بازیهای دزدیده شده و محتوای نرمافزاری برای جذب ویدیو ایجاد کنید. Kivilevich میگوید: «کاربر توصیه میکند از CPABuild برای قرار دادن URL قفل محتوا (که ظاهراً از طریق CPABuild به دست آمده است) برای توضیحات ویدیوها استفاده کنید و از بازدیدکنندگانی که روی URL کلیک میکنند، کسب درآمد کنید.» و اضافه کرد که بحثهای مکرری درباره Fortnite و Roblox وجود دارد.
Kivilevich میگوید: «چند کاربر به دنبال دستورالعملهایی در مورد نحوه تأیید شدن در CPABuild و برای حسابهایی در CPABuild هستند که میتوانند خریداری کنند.
در حالی که بسیاری از PDF های سمی مردم را به سمت کلاهبرداری سوق می دهند، همه آنها این کار را نمی کنند. ادواردز می گوید: «به نظر می رسد که مشتریان خاص CPABuild نویسندگان بدافزار هستند. او میگوید گاهی اوقات، در روزهای پس از انتشار یک مقاله منفی درباره چین در اخبار، برخی از این فایلهای PDF پر از کلیدواژه ظاهر میشوند و شامل کلماتی شبیه به مقالات خبری میشوند. او میگوید: «مقاله قانونی بهعنوان اولین نتیجه از اولین صفحه جستجو نشان داده میشود، و سپس ممکن است سه یا چهار مورد پایین، هانیپات باشد». “در همه این صفحات، بدافزار بود.”
