17 июля 2020, 09:17
Специалисты White Ops обнаружили масштабную мошенническую операцию: на протяжении нескольких месяцев хакерская группа имитировала активность умных телевизоров, чтобы обмануть рекламодателей и получить прибыль от рекламы.
Исследователи назвали эту операцию и стоящую за ней группировку ICEBUCKET. По их мнению, это наиболее масштабный случай подмены SSAI (Server-Side Ad Insertion) на сегодняшний день.
Интернет-рекламодатели используют серверы SSAI в качестве посредников между своими рекламными платформами и конечными пользователями. По сути, серверы SSAI отправляют рекламу приложениям, работающим на устройствах людей. Однако, группировка ICEBUCKET обнаружила недостатки в механизме коммуникации SSAI-серверов. В итоге в течение последних месяцев мошенники использовали уязвимость для подключения к серверам SSAI и запрашивали объявления для показа на несуществующих устройствах (схему атаки для наглядности я приложил под постом).
В силу того, что цена за тысячу показов объявлений на умных телевизорах и других телевизионных connected-девайсах выше, чем в других случаях, группировка сосредоточила усилия на имитации именно этих типов устройств. В общей сложности мошенники подделывали более 1000 различных типов устройств (user-agents), используя для этого свыше 2 000 000 IP-адресов, расположенных в более чем 30 странах мира. По словам исследователей, большая часть такого трафика приходилась на фейковые умные телевизоры, расположенные в США.
На пике своей активности в январе 2020 года группировка ICEBUCKET ежедневно генерировала около 1,9 миллиарда рекламных запросов на серверы SSAI. Операция была настолько масштабной, что в январе текущего года почти 2/3 рекламного трафика CTV SSAI приходилось на несуществующие устройства, созданные мошенниками.
Использованная литература: источник