Мошенники нашли применение запрещенному iframe

Мошенники получали деньги за показ рекламы, даже когда реклама не показывалась.

Исследователи из Malwarebytes рассказали о кампании , в которой киберпреступники заработали почти использовали посетителей порносайтов для получения денег за показ рекламы, даже если пользователи никогда не видели эту рекламу.

Мошенники использовали «popunder ad» (попандер) - всплывающую рекламу, которая запускается, когда пользователь открывает сайт. В то время как всплывающая реклама появляется на главной странице, попандер открывается в новом окне под вкладкой, с которой работает пользователь.


В обнаруженной кампании всплывающая реклама выглядит как настоящий блог со статьями, украденных с других сайтов. Но поверх этой страницы наложен «iframe» - порносайт, который полностью перекрывает исходную страницу.

Кроме того, посты в блоге регулярно обновляются и генерируют новую рекламу для дальнейшей монетизации в Google Ads. Это происходит без ведома пользователя, поскольку вкладка запускается как попандер.

Если на странице iframe пользователь нажмет на видео, это будет считаться как клик по рекламе Google в нижней части страницы. В среднем на одну страницу попандера приходилось около 5-ти рекламных объявлений Google.



Но клики по рекламе — не единственный способ заработка мошенников. Простая загрузка рекламы на странице попандера создает рекламные показы, за которые злоумышленники получают деньги. При этом пользователю даже не нужно видеть всплывающее окно.



По словам Сегуры, признаком того, что это была мошенническая кампания, было присутствие Google Ads на странице iframe. Политика Google не разрешает размещать объявления Google на веб-сайтах с содержанием для взрослых.



«Это оказался умный способ скрыть поддельный блог, загруженный большим количеством рекламы, большая часть которой скрыта за полноэкранным порнографическим iframe. Поскольку ничего не подозревающие посетители запускают целевую страницу всплывающего окна и продолжают просмотр на другой вкладке, веб-сайт-приманка постоянно обновляется новым контентом и новой рекламой, генерируя миллионы рекламных показов в месяц», - отметили эксперты Malwarebytes.



Исследователи Malwarebytes обнаружили почти 300 000 посещений в месяц и более 50 просмотров страниц за одно посещение. Среднее время пребывания посетителя на сайте составляло менее 8 минут. Пользователь может находиться на другой активной вкладке, а всплывающая страница постоянно обновляет новые статьи вместе с Google Ads.



В рамках этой кампании страница генерировала в среднем 35 рекламных показов в минуту. Общее количество показов рекламы составило более 76,4 млн. в месяц, а за один показ мошенники получали $3,5 (Средняя цена за тысячу показов), что составило почти $270 000.



Malwarebytes уведомила Google о рекламной кампании, которая на данный момент уже устранена.



Посмотреть пример с использованием iframe можно ниже.




Пример атаки типа кликджекинг на сайте

Я специально сделал frame с прозрачностью 0.1% что бы вы могли наблюдать что происходит на деле. Но если на моём месте будет действовать злоумышленник, вы даже не поймёте что произошло.



Надеюсь вам понравился материал, подписывайтесь на нас и не пропускайте интересные статьи)