Yapılan son araştırmalar, ABD devlet kurumlarına, önde gelen üniversitelere ve profesyonel kuruluşlara ait binlerce web sitesinin son beş yılda ele geçirildiğini ve dolandırıcılık tekliflerini ve promosyonlarını zorlamak için kullanıldığını buldu. Bu dolandırıcılıkların çoğu çocuklara yönelik ve Fortnite ve Roblox’ta var olmayan ödüller karşılığında onları uygulama, kötü amaçlı yazılım indirmeleri veya kişisel bilgileri göndermeleri için kandırmaya çalışıyor.
Üç yıldan fazla bir süredir, güvenlik araştırmacısı Zach Edwards bu web sitesi kaçırma ve dolandırıcılıklarını takip ediyor. Faaliyetin bir reklam şirketinin bağlı kullanıcılarının faaliyetlerine geri bağlanabileceğini söylüyor. ABD’ye kayıtlı şirket, bir dizi çevrimiçi reklamverene web trafiği gönderen ve bireylerin kaydolmasına ve sistemlerini kullanmasına olanak tanıyan bir hizmet görevi görüyor. Bununla birlikte, herhangi bir günde, İnsan Güvenliği’nde tehdit içgörülerinin üst düzey yöneticisi Edwards, .gov, .org ve .edu alan adlarının ele geçirildiğini ortaya çıkarıyor.
Edwards, ”Bu grup, İnternet genelinde toplu olarak altyapıyı tehlikeye atan ve bu konuda dolandırıcılıklara ve diğer istismar türlerine ev sahipliği yapan bir numaralı grup olduğunu düşündüğüm şey.” diyor. Araştırmacı, devam eden web sitesinin uzlaşmalarının ölçeğinin ve dolandırıcılığın kamusal doğasının onları öne çıkardığını söylüyor.
İnsanların para kazanma planları ve yolları karmaşık, ancak web sitelerinin her biri benzer şekilde ele geçirilir. Bir web sitesinin arka ucundaki veya içerik yönetim sistemindeki güvenlik açıkları veya zayıflıkları, web sitesine kötü amaçlı PDF dosyaları yükleyen saldırganlar tarafından istismar edilir. Edwards’ın “zehirli PDF’ler” olarak adlandırdığı bu belgeler, arama motorlarında görünmek ve “ücretsiz Fortnite görünümlerini”, Roblox’un oyun içi para birimi için jeneratörleri veya Barbie, Oppenheimer ve diğer popüler filmlerin ucuz akışlarını tanıtmak için tasarlanıyor. Dosyalar, insanların bu konularda arayabileceği kelimelerle dolu.
Bulguları Las Vegas’taki Black Hat güvenlik konferansında sunan Edwards, birisi zehirli PDF’lerdeki bağlantılara tıkladığında, bunların birden fazla web sitesinden geçirilebileceğini ve bu da onları dolandırıcılık açılış sayfalarına yönlendirdiğini söylüyor. “Çocukları süper hedef alan birçok açılış sayfası var.” diyor.
Reklam sahtekarlığı araştırmacıları, bu tür dolandırıcılıkların bir süredir var olduğunu söylüyor. Ancak Edwards, hepsinin reklam firması CPABuild’e ve ağı için çalışan üyelere bağlantıları olduğu için bunların öne çıktığını söylüyor. Edwards, PDF’lerin yüklendiği tüm güvenliği ihlal edilmiş web sitelerinin CPABuild’e ait command-and-control sunucularına çağrıldığını söylüyor. “Reklam kampanyalarını başkasının altyapısına itiyorlar.” diyor. PDF’lere bağlı bir dosya için Google’da arama yapmak, güvenliği ihlal edilmiş web sitelerinin sonuçlarının sayfalarını getiriyor.
CPABuild’in Nevada’daki yasal sicilini listeleyen web sitesi, kendisini “her şeyden önce içerik kilitleme ağı” olarak tanımlıyor. 2016’dan beri var olan şirket, insanlara e-posta ve posta kodu bilgilerini göndererek para kazanma şansı vermek gibi müşterilerinden gelen görevlere ev sahipliği yapıyor. Ardından, genellikle bağlı kuruluşlar olarak bilinen CPABuild kullanıcıları, insanların bu teklifleri tamamlamasını sağlamaya çalışıyor. Bunu genellikle YouTube yorumlarına spam göndermek veya zehirli PDF tıklama zincirinin sonuna doğru açılır “soyunma” sayfaları oluşturarak yaparlar. Bu sonuç tabanlı süreç, reklamverenler ve pazarlamacılar tarafından eylem başına maliyet (EBM) olarak biliniyor.
Web sitesi, yayıncılara 40 milyon dolardan fazla ödediğini ve binlerce şablona ve açılış sayfasına sahip olduğunu iddia ediyor. CPABuild içinde çeşitli kullanıcı katmanları var. Web sitesinin bağlı kuruluş yapısı, ana sayfasındaki bir resimde görüntüleniyor. Üyeler yöneticiler, şeytanlar, iblisler, büyücüler, ustalar ve şövalyeler olarak kategorize edilebilir. 11 Ağustos’ta bir CPABuild üyesi tarafından yüklenen bir videoda, bir yönetici hesabının, şirketin platformun dolandırıcılık için kullanılmasını önlemek için adımlar attığını gösteren bir mesajın kullanıcılarla paylaştığı görülebilir. Ekranda görülen bir mesajda, ”CPABuild yayıncılarının teklifleri hizmet şartlarımızı ihlal edecek şekilde tanıttığına dair raporlar alıyoruz” diyor. Bununla birlikte, Edwards’ın araştırması, CPABuild’in gösterdiği her türlü çabanın, kullanıcılarının yaygın dolandırıcılık yapmasını engelleyemediğini gösteriyor.
Web sitelerinin puanları şu anda PDF’lerden etkileniyor. Bu hafta, New York Eyaleti Finansal Hizmetler Departmanı, yüklenen PDF’leri kaldırdı. Bölüm sözcüsü Ciara Marangas, sorunun ilk olarak 2022’de tanımlandığını ve bir inceleme ve ek adımların ardından dosyaların kaldırıldığını söyledi.
Potansiyel CPABuild iştirakleriyle bağlantılı bazı raporlar olsa da, Edwards, süreçteki bağlantılar kimliklerini maskeleyen yeniden yönlendirme hizmetleri aracılığıyla iletildiğinden, planın radarın altında uçabileceğini söylüyor. Ayrıca, fidye yazılımı veya diğer siber saldırılar kadar etkili olmadıkları için uzlaşmaların göz ardı olabileceğini söylüyor.
Bununla birlikte, web’e yayılmış CPABuild üyeleri ve bağlı kuruluşlarıyla bağlantılı faaliyet izleri vardır. CPABuild’in çeşitli kullanıcıları, sitenin bölümlerinin nasıl çalıştığını ortaya çıkaran videoları YouTube’a yükledi. Bir video, “Fortnite kaplama üreteci” ve CPABuild’in araçları aracılığıyla oluşturulan bir dolap sayfası kullanan birini gösteriyor. Başka bir videoda, insanların e-posta ve posta kodu ayrıntılarını göndermelerini sağlamak, kredi kartı bilgilerini göndermek, mobil uygulamaları yüklemek ve “genel anketleri” tamamlamak da dahil olmak üzere CPABuild tarafından barındırılan teklif türleri görülebiliyor.
Bu arada oyun şirketleri, dolap sayfalarını barındıran web sitelerine örneklerin yasal olmadığını söylüyor. Fortnite‘ı yaratan Epic Games’in kıdemli iletişim müdürü Jake Jones, “Bunlar dolandırıcılık!” diyor. “Oyuncular hiçbir zaman oyun içi V-Buck’ları başka bir oyuncuya satamadı, hediye edemedi veya takas edemedi veya sanal eşyaları birbirlerine satamadı.” diyor. Benzer şekilde, Roblox sözcüsü James Kay, “Roboux satın almak, satmak, takas etmek veya vermek” için üçüncü taraf hizmetlerini kullanmanın yasak olduğunu ve insanların ücretsiz oyun içi para birimi veya diğer öğeler vaat eden web sitelerinde “tekliflerden” kaçınmaları gerektiğini söylüyor.
Güvenlik firması KELA’nın tehdit araştırma direktörü Victoria Kivilevich, şirketin CPABuild’in siber suç ve bilgisayar korsanlığı forumlarında tartışıldığını gördüğünü söyledi. Kivilevich, bir sitede birinin videoları çekmek için çalınan oyunlar ve yazılım içeriği içeren bir YouTube kanalı oluşturmayı önerdiğini söylüyor. Kivilevich, ”Kullanıcı, görünüşe göre CPABuild aracılığıyla elde edilen bir içerik dolabı URL’sini videoların açıklamasına yerleştirmek ve URL’ye tıklayan ziyaretçilerden kazanmak için CPABuild’i kullanmanızı tavsiye ediyor.” diyor ve Fortnite ve Roblox hakkında sık sık tartışmalar olduğunu da sözlerine ekliyor.
Kivilevich, ”Birden fazla kullanıcı, CPABuild’de nasıl onaylanacağına ve CPABuild’de satın alabilecekleri hesaplar için talimatlar arıyor.” diyor.
Tüm bu dolandırıcılık hikayelerinin bilinciyle kullanıcılar “Bana bir şey olmaz!” kafa yapısından çıkıp bilinçli hareket etmeli. Bu haberdeki içerik her ne kadar dış bir ülkede gerçekleşiyor olsa da teknik ve argümanlar evrensel bir ilerleme kaydediyor.