R0bl0ch0n TDS: партнерский маркетинг превращается в преступную аферу

Группа специалистов из компании World Watch обнаружила новую систему распределения трафика ( TDS ), тесно связанную с партнерским маркетингом и активно используемую в мошеннических схемах. Эта система, названная R0bl0ch0n TDS из-за характерных последовательностей "0/0/0" в URL-перенаправлениях, затронула около 110 миллионов интернет-пользователей по всему миру.

Партнерский маркетинг, который обычно является законным способом продвижения товаров и услуг, в этом случае превратился в инструмент распространения мошеннической рекламы. Исследователи обнаружили сотни небольших партнерских сетей, которые специализируются на продвижении подозрительных предложений, ведущих к хорошо известным схемам обмана.

R0bl0ch0n TDS представляет собой сложную инфраструктуру из множества доменов и выделенных серверов, надежно защищенных сервисом Cloudflare. Несмотря на то, что злоумышленники включили в свои кампании некоторые легитимные функции, такие как формы отписки и обратной связи, они приняли серьезные меры для сокрытия реальных организаций, стоящих за этими операциями.

Технический анализ R0bl0ch0n TDS показал, что URL-адреса, встроенные в электронные письма, следуют одинаковым шаблонам (<домен>/bb/[0-9]{18}). Эти ссылки содержат несколько автоматических перенаправлений, которые ведут пользователей на поддельные магазины или страницы с опросами. Важно отметить, что эти URL-адреса не могут быть корректно проанализированы автоматическими системами, так как для обхода поддельной капчи требуется участие пользователя.

Эксперты выяснили, что домены с поддельными опросами активно обмениваются данными пользователей со сторонними веб-сайтами. Например, домен facileparking.sbs передает информацию на event.trk-adulvion.com. Эта сеть доменов начала функционировать летом 2021 года и включает более 300 выделенных IP-адресов на серверах Amazon Web Services (AWS).

По данным DomainTools, общее количество DNS-запросов типа A для поддоменов event. с 2021 года составляет около 110 миллионов. Учитывая, что для каждого пользователя регистрируется только один DNS-запрос благодаря механизму фингерпринтинга, эта цифра достоверно отражает общее число людей, ставших мишенью мошеннических схем.

Исследователи выявили две основные категории мошеннических предложений, распространяемых через R0bl0ch0n TDS:

Розыгрыши призов:

• Привлекательные сообщения о выигрыше в лотерею.
• После заполнения короткого онлайн-опроса пользователей просят оплатить небольшую сумму за доставку
• На самом деле таким образом оформляется подписка на регулярные платежи (от 20 до 45 евро каждые две недели)
• Федеральная торговая комиссия США сообщила о жалобах на сумму более $300 миллионов убытков, со средним ущербом $900 на человека
• Эксперты World Watch полагают, что реальные цифры значительно выше, учитывая огромное количество ежедневно рассылаемых кампаний

Предложения по улучшению жилья:

• Реклама завышенных по цене услуг по установке фильтров для водостоков, солнечных панелей, тепловых насосов или душевых кабин для пожилых людей
• Такие схемы часто распространяются через электронную почту и/или продвигаются с помощью поисковой оптимизации (SEO)
• Партнеры получают комиссию каждый раз, когда пользователь заполняет контактную форму
• Затем "продавец" перезванивает потенциальному клиенту
• Часто продавцы намеренно завышают размер государственных субсидий, на которые может претендовать клиент

Для первоначального распространения URL-адресов, перенаправляемых через R0bl0ch0n TDS, используются различные методы:

1. Использование случайных поддоменов AWS с данными в части фрагмента URL, которые передаются в R0bl0ch0n TDS и, вероятно, связаны с параметрами партнерской программы

2. Использование случайных поддоменов Azure с URL-адресами, соответствующими шаблону <случайный_поддомен>.blob.core.windows.net/<случайный_поддомен>/1.html. Данные в фрагменте URL также передаются в R0bl0ch0n TDS

3. Использование сервисов сокращения URL

Эксперты отмечают, что использование легитимных сервисов, таких как инфраструктура AWS, Azure или сокращатели URL, позволяет партнерам легко модифицировать и развертывать новую инфраструктуру. Это помогает им обходить системы обнаружения и контрмеры, реализованные в Google Safe Browsing или антиспам-фильтрах.