借势Taboola投放恶意广告,新型“技术支持诈骗”防不胜防

前情提要

Taboola是一家位于以色列特拉维夫的公司,成立于2007年,公司业务以原生广告&在线内容推荐为主,现在公司的总部在美国纽约。其内容推荐平台可以让发行商基于用户资料和浏览习惯推荐最有可能吸引用户的视频和文章(通常出现在网页底部),从而帮助内容提供商的网站提升流量并通过广告获取营收。

图1: Taboola公司的LOGO和宣传词

目前,Taboola口号为发现人们正在寻找的信息,“最重要的是,我们帮助人们发现他们可能会喜欢但也许从来不知道存在的内容。”是与另一家以色列公司Outbrain占据全球网络内容推荐/流量交换市场的领先地位,不过Taboola更多的是与广告相关的内容,公司拥有独特的Taboola EngageRank算法,可以很好的预测人们对内容的兴趣和偏好,Taboola的客户遍布全球各地,尤其是美国、英国、法国、德国、意大利、泰国、印度、日本和以色列等国。2015年该公司曾获百度的价值数千万美元的战略投资。

为了很好的理解本文接下来要讲述的内容,这里有必要简单的描述一下“原生广告”。

简单的说“原生广告”(native advertising ,Native Ads),是指结合了平台特征、用户和视觉体验、内容环境之后刻意进行修饰的一种广告形式,其特色是自然和不易察觉。表现行为与多种,如视频、开机画面、主题表情、桌面广告、icon按钮、Feeds信息流、手机导航/搜索推荐,或者软文。

图2:传统广告VS原生广告(图片来源:知乎)

与传统广告相比,由于原生广告更加自然有效,会吸引用户主动点击。信息时代,广告投放一旦被滥用,极有可能引发不良的后果。典型的例子包括最近闹闹沸沸扬扬的有关“俄罗斯在Facebook上投放政治广告,可能影响了2016年美国总统选举结果”的事件。

滥用原生广告的技术支持诈骗

言归正传,本文要讲述的是一种最近被发现的新型的技术支持诈骗,诈骗者通过滥用Taboola的原生广告投放恶意链接,将潜在的受害者引向技术支持诈骗网站,进而实施骗取钱财。

事实上,如今,无论是Web端还是移动端,我们随时随地都能接触到原生广告。在浏览新闻、购物或娱乐网站时,用户更倾向于点击网页内的链接,用户以为这些和平台是一体的,并没有意识到它们实际上是由第三方“赞助”的。(*平台一般会与并多个第三方提供商绑定,类似于传统的广告位出租)

恶意的广告商已经意识到了这是一个独特的机会,借此可以将流量重定向到他们自己的或所控制的基础设施。

下面的图示中就描述了这样一种情况:在微软的门户网站MSN.com上发现一个恶意广告,吸引了数百万游客的点击。这个广告上由与微软平台有合作协议的Taboola推荐的,点击链接会将用户重定向到一个页面技术支持诈骗页面:警告用户电脑死机,必须拨打一个电话请求技术援助。

图3:MSN.com平台上Taboola推荐的链接将用户重定向到技术支持诈骗页面

值得注意的是,该欺诈页面并不能正常关闭,因为它会无限次重复弹出告警框。不幸的是,这一点足以吓坏很多人,压力之下诱使潜在的受害者认为他们收到的是微软的安全提醒,但实际上,一旦拨打热线电话,他们就会与一个假冒的技术人员打交道,这是一个精心策划的骗局,目标是从受害者身上榨取钱财。

利用虚假的新闻页面隐藏真实的诈骗意图

恶意的诈骗者通常会像其他正常的广告商一样创建一个吸引人的标题、页面缩略图内容,并建立一个概要文件。毕竟,要想吸引更多的用户点击,诈骗者们也要表现得很真诚,因为通常会选用一些“热门”事件。

这可能还需要前期做一点市场调研工作,以便准确的找出最容易吸引人的故事或关键词。

回顾上文中提到的恶意广告的例子,可以看到,诈骗者创造了一个虚假的新闻网站(infinitymedia[.]online),网站上基本上没有什么实质性的内容,只是为了让潜在的受害人点击进来,借以掩饰他们真实的诈骗企图。

图4:跳转到虚假到新闻网站的通信流量示例

有条件的重定向通常是服务器端的机制(对用户进行配置并返回特定的响应)。例如,如果服务器端检测到是机器人或爬虫正在发出请求,可能会选择拒绝或提供一个设置好的页面(诱饵)。同理,如果检测到用户正在运行Internet Explorer,源IP来自某一特定的地区,而且服务器日志记录显示该IP是初次访问,那么可能会收到一个欺诈页面。

对于诈骗者而言,重点是玩好“化身博士”的游戏,为潜在的受害者提供他们想要获取的内容,吸引他们进入骗局。欺诈性的广告提供商创造了包含有效关键词的各种页面(可能也是出于搜索引擎优化的目的),利用一些新鲜刺激的故事作为诱饵:

图5:设计好的作为“诱饵”的热点故事

说回MSN站点上的恶意广告事件,这一骗局中欺诈者会有条件的将MSN上的用户重定向到技术支持诈骗页面,在这个页面上,用户却没能看到预想的内容:

图6:302重定向(从虚假的新闻网站到技术支持诈骗页面)

出现这种情况并不仅仅是“巧合”,这里不妨查看一下这个“新闻”网站(infinitymedia[.]online)的whois信息,看看它究竟与技术支持诈骗页面(4vxadfcjdgbcmn[.]ga)有何关联。查询infinitymedia站点的 [WHOIS]信息,结果如下:

Domain Name: INFINITYMEDIA.ONLINE

Creation Date: 2017-05-23T05:14:50.0Z

Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com

Registrant Name: bhanu

Registrant Country: IN

Registrant Email: bhanutomar90nk@gmail.com

使用RiskIQ’s PassiveTotal查看一下上边找到的注册邮箱(bhanutomar90nk@gmail[.]com)最近一段时间内创建的域名列表,或许可以找到一些有用的信息:

图7:注册虚假新闻网站的欺诈者最近注册的其他域名列表

不过,如上图所示,并没有找到与4vxadfcjdgbcmn [.] ga有关的信息。事实上,的.GA是加蓬共和国(简称加蓬,Gabon,位于非洲中部西海岸)的顶级域名(TLD)。

然而,诈骗者犯了一个错误:创建的多个域名指向了同一个主机服务器。上图中的micro-soft-system-alert2 [.]online这个域名被解析到了108.167.146.132这个IP地址,而这个IP地址对应的服务器是一个专门用于技术支持诈骗和钓鱼网站的主机,其中还包括了我们关注的恶意广告重定向的站点,即4vxadfcjdgbcmn [. ]ga。

图9:虚假新闻网站和技术支持诈骗站点域名的关联性示意图

进一步检查与 bhanutomar90nk@gmail[.]com 邮箱有关的信息,找到了一些类似的虚假的新闻网站,罗列如下:

hollywoodreporter[].online

latestnynews[.]online

theonlytimesnews[.]xyz

uk-times-news[.]xyz

unitedtimesnews[.]xyz

247breakingnews[.]xyz

247-breakingnews[.]xyz

thenewyorktimenews[.]xyz

毫无疑问,幕后诈骗者的意图非常明确,巧妙的利用新闻热点作为诱饵,借助于原生广告&内容推荐,吸引更多地受害人进入技术支持诈骗的骗局之中。

启迪

如上文所述,诈骗者主要利用了用户对平台的信任,这也是原生广告与传统广告的不同。因此,用户应当小心这些各种诸如热点事件之类的“诱饵”,即使是在一个值得信赖的平台上浏览到的。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/106247.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code