اخیرا مشاهده شده که هکرها برای انتشار بدافزارها و انجام فعالیت‌های کلاهبردارانه، از اعلان‌های جعلی افشای اطلاعات سازمان‌های بزرگ و مشهور استفاده می‌کنند. آنها با تلفیق سئوی سیاه، وب‌سایت گوگل و صفحات اسپم، کاربران را به وب‌سایت‌های مخرب هدایت می‌کنند.

از آنجایی که وظیفه گوگل الرتس بررسی نتایج جستجو برای کلیدواژه‌های انتخاب شده توسط کاربر می‌باشد، به یکی از عوامل انتشار این متن‌ها تبدیل شده‌است. کلاهبرداران در این روش با ایجاد صفحات جعلی یا استفاده از وب‌سایت‌های سرقت شده، کلیدواژه Data Breach (افشای اطلاعات) را با برندهای مشهور ترکیب می‌کنند.

در این کمپین اعلان‌های جعلی برای نام‌های بزرگی مثل: EA، DropBox، Hulu و Paypal دیده شده‌است.

در تصاویر بالا برخی از این اعلان ها را مشاهده می‌کنید که با تلاش تیم تحقیقاتی به تمامی وب‌سایت‌های منتشر کننده خبر و لینکی که گوگل دریافت کرده مراجعه شد. در تمامی این وب‌سایت‌ها چیزی به غیر از پیشنهادات دانلود، جوایز تقلبی، افزونه‌های مزاحم و بدافزار دیده نشد.

برای اینکه رفتار مخرب هکرها کم‌تر جلب توجه کند، ورود به صورت مستقیم به آدرس وب‌سایت امکان نداشته و در صورتی که کاربری بخواهد با این روش وارد وب‌سایت شود، تنها با متنی ساده روبرو خواهد شد که در آن خبر افشای اطلاعات منتشر شده است.

در یکی از وب‌سایت‌ها بیش از ۲۰۰۰ مطلب پیدا شد که اغلب آنها در تاریخ ۲۶ خرداد ویرایش شده‌اند. تمامی مطالب از وب‌سایت‌های دیگر برداشته شده و هدف از آن جلب توجه کاربر به موضوع مورد علاقه و در نتیجه نمایش یک تبلیغات یا پیشنهاد جالب و مرتبط با موضوع است. در این صورت شانس کلیک کردن کاربر بر روی لینک تبلیغاتی بیشتر بوده و موفقیت کمپین را افزایش می‌دهد.

در برخی موارد دیده شده که هکرها به جای استفاده از وب‌سایت‌های سرقت شده، از صفحات دست‌ساز خود استفاده می‌کنند. در اغلب این صفحات، هکر از ابزار گوگل سایتس (Google sites)استفاده کرده‌است.

اگر برای ورود به این وب‌سایت‌ها از گوگل الرتس یا موتور جستجوگر استفاده کرده‌باشید، تجربه کاملا متفاوتی خواهید داشت. به محض اینکه کاربر بر روی لینک دریافتی از گوگل الرتس کلیک می‌کند، از چند لینک و وب‌سایت عبور کرده و در نهایت به وب‌سایت اصلی هدایت می‌شود. آنچه که در وب‌سایت مقصد به کاربر نمایش داده می‌شود، بستگی به موقعیت مکانی او دارد.

در اغلب موارد دیده شده که هکر سعی دارد کاربر را به نصب افزونه‌های ناخواسته مجبور کند. در این بین بروز رسانی فلش ادوبی جعلی نیز بسیار متداول بود. در این حالت برای اینکه کاربر بتواند محتوای وب‌سایت را مشاهده کند از او خواسته می‌شود تا آخرین نسخه فلش را دانلود و نصب کند.

پنجره فرعی هشدار جعلی در هر دو مرورگر کروم و فایرفاکس مشاهده شد. باید این نکته را به خاطر داشته باشید که پروژه فلش ادوبی در اوایل آذرماه متوقف خواهد شد و هر دو مرورگر فوق دیگر از فلش ادوبی پشتیبانی نمی‌کنند. با این وجود کاربران می‌توانند تا زمان توقف قطعی، به صورت دستی آن را فعال کنند.

در تحقیقات دیده شد که یکی از این لینک‌ها کاربر را به وب‌سایتی هدایت می‌کند که برای کاربران آیفون ۱۱ پیشنهادات مجانی دارد. در این وب‌سایت ادعا شده که این جایزه به عنوان بخشی از پاداش دهی به کاربران گوگل می‌باشد.

برای قابل قبول‌تر کردن پیشنهاد، ادعا شده که جایزه فوق تنها به کاربران  Verizon Fios داده خواهد شد. اما برای دریافت این جایزه، کاربر باید یک پرسشنامه را پر کند که محل درآمد اصلی هکر است.

این پرسشنامه آسیب چندانی به کاربر وارد نمی‌کند و تنها زمان او را هدر می‌دهد، اما اگر کاربر مجاب به نصب افزونه شود، خطرات جدی‌تری او را تهدید خواهد کرد. با استفاده از افزونه‌ها می‌توان امنیت و حریم خصوصی وبگردی قربانی را به خطر انداخت. علاوه بر این می‌توان از این افزونه‌ها برای انتشار بدافزارها نیز استفاده کرد.

در واقع افزونه‌ها می‌توانند به صفحات مشاهده شده توسط کاربر دسترسی داشته و حتی آنها را تغییر دهند. از اینرو افزونه‌های قانونی و حقیقی برای این کار از کاربر مجوز درخواست می‌کنند و در این مورد به آنها اطلاعاتی هم می‌دهند. اما افزونه‌های مخرب این مرحله را انجام نداده و بدون اجازه کاربر به جمع‌‌آوری اطلاعات وبگردی او می‌پردازند، در نهایت این اطلاعات را به افراد علاقمند دیگر می‌فروشند.

استفاده از صفحات جعلی برای هدایت کاربر به وب‌سایت‌های کلاهبرداری، موضوع جدیدی نیست. در سپتامبر سال گذشته یک هکر با استفاده از این روش کاربرانی که به دنبال رمزگشای رایگان باج‌افزارها بودند را به وب‌سایت‌های کلاهبرداری می‌کشاندند.

 

نظرات

نظر (به‌وسیله فیس‌بوک)