Крупнейший в мире регистратор доменов GoDaddy вывел в офлайн 15 000 поддоменов, которые использовались в спамерской кампании по торговле фейковой продукцией.
Она проходила так: пользователи получали электронные письма, в которых рекламировался тот или иной продукт. Если жертвы переходили по ссылкам в этих письмах, они попадали на один из этих поддоменов, который располагался на вполне легитимном ресурсе (без ведома владельца). Эти ресурсы предлагали продукты, якобы одобренные различными знаменитостями: Стивеном Хокингом (R.I.P.), Дженнифер Лопес, Гвен Стефани и так далее. На самом деле это в лучшем случае были БАДы, в худшем – ничего, но за деньги.
Спамерскую операцию обнаружил исследователь кибербезопасности из Palo Alto Networks Джефф Уайт. На протяжении двух лет Уайт отслеживал действия преступников, анализируя и собирая информацию. В начале этого года эксперт, наконец, поделился своими наблюдениями с GoDaddy, на котором располагались вредоносные поддомены. Представители GoDaddy оперативно провели собственное расследование, которое выявило, что злоумышленники использовали фишинг, чтобы выкрасть учетные данные клиентов хостера и получить доступ к их аккаунтам. После получения доступа создавался специальный поддомен, на котором размещались вышеозначенные товары.
Надо отдать должное администраторам сервиса, GoDaddy быстро принял меры – и не только вывел в офлайн все злонамеренные поддомены в количестве 15 тысяч штук, но и сбросил учетные данные затронутых клиентов.
АКБ напоминает, что в октябре 2018 года GoDaddy исследовал неожиданную сторону кибератак: рекламное соперничество. По данным портала, 73,9% скомпрометированных сайтов были взломаны в целях SEO. Даже если хакеры специально не манипулируют ссылочным ядром, сам факт атак затрудняет доступ GoogleBot к ресурсу, и его рейтинг начинает снижаться. Таким образом, хакеры могут убить сразу двух зайцев — «мочить» какой-нибудь интернет-магазин по заказу конкурентов через SEO и одновременно нашпиговывать жертву майнерами и вредоносами для личной выгоды. Когда-то АКБ любопытствовала, как выглядит сегодня индустрия «заказа» сайта конкурента, ведь в киберпространстве (по крайней мере, в даркнете) наверняка до сих пор 90-е в этом плане. Больше не любопытствуем, потому что с рекламными бюджетами все совсем сюрреалистично порой бывает.
Вспомним, к примеру, материал про то, как русские мошенники притворялись компаниями, которые якобы предоставляют услуги в области интернет-рекламы и используют реально существующие сайты, на которые заходят настоящие пользователи . Для этого группировка создала инфраструктуру на базе более 1900 серверов (часть из них была в Далласе, штат Техас), считает следствие. На самом деле, система автоматически генерировала и сами рекламные сайты, и пользователей. Система имитировала не только заход на нужный сайт, но и движение курсора мыши по странице, ее прокрутку, включение и выключение видеоролика – бот мимикрировал под живого пользователя. В реальности же никаких заинтересованных клиентов не существовало.
