Video games, Απάτες, Έρευνες

Μια τεράστια απάτη που στοχεύει παιδιά με “προσφορές” Roblox και Fortnite κρύβεται σε κοινή θέα

Μεταφράζει η Χρυσάνθη Παράγιου

Χιλιάδες ιστοσελίδες που ανήκουν σε κυβερνητικές υπηρεσίες των ΗΠΑ, κορυφαία πανεπιστήμια και επαγγελματικούς οργανισμούς, έχουν υποκλαπεί κατά την τελευταία μισή δεκαετία και έχουν χρησιμοποιηθεί για την προώθηση απατηλών προσφορών και προωθητικών ενεργειών, σύμφωνα με νέα έρευνα. Πολλές από αυτές τις απάτες απευθύνονται σε παιδιά και προσπαθούν να τα ξεγελάσουν, ώστε να κατεβάσουν εφαρμογές, κακόβουλο λογισμικό ή να υποβάλουν προσωπικά στοιχεία με αντάλλαγμα ανύπαρκτες ανταμοιβές στο Fortnite και το Roblox.

Για περισσότερα από τρία χρόνια, ο ερευνητής ασφαλείας Zach Edwards παρακολουθεί αυτές τις απάτες ιστοσελίδων. Σύμφωνα με τον ίδιο, η δραστηριότητα μπορεί να συνδεθεί με τις δραστηριότητες των θυγατρικών χρηστών μιας διαφημιστικής εταιρείας. Η εταιρεία που είναι εγγεγραμμένη στις ΗΠΑ λειτουργεί ως υπηρεσία που στέλνει διαδικτυακή κίνηση σε μια σειρά διαδικτυακών διαφημιστών, επιτρέποντας σε άτομα να εγγραφούν και να χρησιμοποιήσουν τα συστήματά της. Ωστόσο, κάθε μέρα, ο Edwards, ανώτερος διευθυντής της υπηρεσίας πληροφοριών σχετικά με τις απειλές στην εταιρεία Human Security, αποκαλύπτει ότι δεκάδες τομείς .gov, .org και .edu έχουν παραβιαστεί.

“Αυτή η ομάδα είναι αυτό που θα θεωρούσα ότι είναι η νούμερο ένα ομάδα που παραβιάζει μαζικά υποδομές σε όλο το διαδίκτυο και φιλοξενεί απάτες σε αυτές, αλλά και άλλους τύπους εκμετάλλευσης”, λέει ο Edwards. Η κλίμακα των παραβιάσεων των ιστότοπων – οι οποίες συνεχίζονται – και ο δημόσιος χαρακτήρας των απατών τις κάνει να ξεχωρίζουν, λέει ο ερευνητής.

Τα συστήματα και οι τρόποι με τους οποίους οι άνθρωποι κερδίζουν χρήματα είναι πολύπλοκα, αλλά κάθε ένας από τους ιστότοπους καταλαμβάνεται με παρόμοιο τρόπο. Οι ευπάθειες ή οι αδυναμίες στο backend ενός ιστότοπου ή στο σύστημα διαχείρισης περιεχομένου, αξιοποιούνται από επιτιθέμενους, που ανεβάζουν κακόβουλα αρχεία PDF στον ιστότοπο. Αυτά τα έγγραφα, τα οποία ο Edwards αποκαλεί “δηλητηριώδη PDFs”, έχουν σχεδιαστεί για να εμφανίζονται στις μηχανές αναζήτησης και να προωθούν “δωρεάν μεταμφιέσεις (skins) Fortnite”, γεννήτριες για το νόμισμα του Roblox εντός του παιχνιδιού ή δωρεάν λήψη ή προβολή των ταινιών Barbie, Oppenheimer και άλλων δημοφιλών ταινιών. Τα αρχεία είναι γεμάτα με λέξεις που μπορεί να αναζητήσουν οι άνθρωποι σ’  αυτά τα θέματα.

Όταν κάποιος κάνει κλικ στους συνδέσμους στα “δηλητηριώδη PDFs”, μπορεί να ανακατευθυνθεί μέσω πολλαπλών ιστότοπων σε σελίδες προορισμού απάτης, λέει ο Edwards, ο οποίος παρουσίασε τα ευρήματα στο συνέδριο ασφάλειας Black Hat στο Λας Βέγκας. Υπάρχουν “πολλές σελίδες προορισμού που φαίνονται εξαιρετικά στοχευμένες για παιδιά”, αναφέρει ο ίδιος.

Για παράδειγμα, αν κάνετε κλικ στον σύνδεσμο σε ένα PDF που διαφημίζει δωρεάν νομίσματα για ένα online παιχνίδι, κατευθύνεστε σε έναν ιστότοπο όπου σας ζητάει το όνομα χρήστη του παιχνιδιού και το λειτουργικό σας σύστημα, προτού σας ρωτήσει πόσα νομίσματα θα θέλατε δωρεάν. Εμφανίζεται ένα αναδυόμενο παράθυρο που λέει: “Τελευταίο βήμα!” Αυτή η σελίδα ισχυρίζεται ότι τα δωρεάν νομίσματα του παιχνιδιού θα ξεκλειδωθούν αν εγγραφείτε σε μια άλλη υπηρεσία, εισάγετε προσωπικά στοιχεία ή κατεβάσετε μια εφαρμογή. “Το έχω δοκιμάσει εκατοντάδες φορές”, λέει ο Edwards. Δεν έχει, ωστόσο, λάβει ποτέ ανταμοιβή. Όταν οι άνθρωποι οδηγούνται μέσα από αυτόν τον λαβύρινθο σελίδων και καταλήγουν να κατεβάσουν μια εφαρμογή, να εισάγουν προσωπικά στοιχεία ή να κάνουν οποιαδήποτε άλλη απαιτούμενη ενέργεια, αυτοί που βρίσκονται πίσω από τις απάτες μπορούν να κερδίσουν χρήματα.

Αυτού του είδους οι απάτες υπάρχουν εδώ και καιρό, λένε οι ερευνητές διαφημιστικών απατών. “Αλλά αυτές ξεχωρίζουν, καθώς όλες έχουν συνδέσμους προς τη διαφημιστική εταιρεία CPABuild και τα μέλη που εργάζονται για το δίκτυό της”, υποστηρίζει ο Edwards. “Όλοι οι παραβιασμένοι ιστότοποι που έχουν ανεβάσει PDF καλούν σε διακομιστές εντολών και ελέγχου που ανήκουν στην CPABuild”, συμπληρώνει. “Προωθούν διαφημιστικές καμπάνιες στην υποδομή κάποιου άλλου”, λέει. Η αναζήτηση στο Google ενός αρχείου που συνδέεται με τα PDF εμφανίζει σελίδες με αποτελέσματα από παραβιασμένους ιστότοπους.

Η ιστοσελίδα της CPABuild, η οποία δηλώνει το νομικό μητρώο της στη Νεβάδα, περιγράφει τον εαυτό της ως “δίκτυο αποκλεισμού περιεχομένου πρώτα απ’ όλα”. Η εταιρεία, η οποία υφίσταται από το 2016, φιλοξενεί εργασίες από τους πελάτες της, όπως το να δίνει στους ανθρώπους την ευκαιρία να κερδίσουν χρήματα υποβάλλοντας τα στοιχεία του email και του ταχυδρομικού τους κώδικα. Στη συνέχεια, οι χρήστες του CPABuild, συχνά γνωστοί ως συνεργάτες, προσπαθούν να πείσουν τους ανθρώπους να ολοκληρώσουν αυτές τις προσφορές. Συχνά το κάνουν αυτό μέσω spamming συνδέσμων σε σχόλια στο YouTube ή δημιουργώντας το είδος των αναδυόμενων σελίδων μέσω του “κλικ” στο δηλητηριώδες PDF. Αυτή η διαδικασία που βασίζεται στα αποτελέσματα είναι γνωστή ως κόστος ανά ενέργεια (cost per action, CPA) από τους διαφημιστές και τους εμπόρους.

Το WIRED επικοινώνησε με πολλαπλές διευθύνσεις ηλεκτρονικού ταχυδρομείου που αναφέρονται στον ιστότοπο της CPABuild, καθώς και με την αποστολή ερωτήσεων μέσω μιας φόρμας επικοινωνίας, αλλά δεν έλαβε καμία απάντηση. Ο ιστότοπος της εταιρείας δεν κατονομάζει κανένα άτομο που βρίσκεται πίσω από την CPABuild και είναι φειδωλός σε γενικές λεπτομέρειες. Ο ιστότοπος ισχυρίζεται ότι διαθέτει “καθημερινούς” ελέγχους απάτης για τη σύλληψη κακοποιών που κάνουν κατάχρηση της πλατφόρμας του, ενώ οι όροι χρήσης του απαγορεύουν σε όσους τον χρησιμοποιούν να εμπλέκονται σε απάτες και να μοιράζονται πολλαπλά είδη περιεχομένου.

Ο ιστότοπος ισχυρίζεται ότι έχει καταβάλει περισσότερα από 40 εκατομμύρια δολάρια σε εκδότες και διαθέτει χιλιάδες πρότυπα και σελίδες προορισμού. Στο πλαίσιο του CPABuild, υπάρχουν διάφορα επίπεδα χρηστών. Η δομή των θυγατρικών του ιστότοπου εμφανίζεται σε μια εικόνα στην αρχική σελίδα του. Σ’ ένα βίντεο που ανέβηκε από ένα μέλος της CPABuild στις 11 Αυγούστου, φαίνεται ένας λογαριασμός διαχειριστή να μοιράζεται ένα μήνυμα με τους χρήστες, που δείχνει ότι η εταιρεία έχει λάβει μέτρα για να αποτρέψει τη χρήση της πλατφόρμας για απάτη. “Εξακολουθούμε να λαμβάνουμε αναφορές ότι οι εκδότες του CPABuild προωθούν προσφορές με τρόπους που παραβιάζουν τους όρους παροχής υπηρεσιών μας”, αναφέρει το μήνυμα που φαίνεται στην οθόνη. Η έρευνα του Edwards δείχνει, ωστόσο, ότι οι όποιες προσπάθειες έχει λάβει η CPABuild απέτυχαν να αποτρέψουν τους χρήστες της από το να συμμετέχουν σε ανεξέλεγκτες απάτες.

“Η απάτη CPA, η οποία περιλαμβάνει το κόστος εγκατάστασης ανά εφαρμογή, είναι πολύ συχνή”, λέει ο Augustine Fou, ανεξάρτητος ερευνητής κυβερνοασφάλειας και διαφημιστικής απάτης. “Ειδικοί όπως αυτοί που εντοπίστηκαν στην έρευνα δημιουργούν μια θέση όπου γίνονται ο ηγέτης της κατηγορίας σε ένα συγκεκριμένο είδος απάτης”, λέει ο Fou. “Οι πελάτες έρχονται σε αυτούς γι’ αυτή την ειδικότητα”.

Δεκάδες ιστότοποι επηρεάζονται επί του παρόντος από τα PDFs. Αυτήν την εβδομάδα, το Τμήμα Οικονομικών Υπηρεσιών της Πολιτείας της Νέας Υόρκης αφαίρεσε τα PDFs που ανέβηκαν. Η Ciara Marangas, εκπρόσωπος του τμήματος, αναφέρει ότι το πρόβλημα εντοπίστηκε για πρώτη φορά το 2022 και μετά από επανεξέταση και πρόσθετα βήματα, τα αρχεία αφαιρέθηκαν.

Το 2022, λέει ο Edwards, ειδοποίησε την Υπηρεσία Υποδομών Κυβερνοασφάλειας των ΗΠΑ (Cybersecurity Infrastructure Agency, CISA) για περισσότερους από 50 παραβιασμένους ιστότοπους, στους οποίους περιλαμβάνονταν το Εθνικό Εργαστήριο Oak Ridge και το Εθνικό Εργαστήριο Lawrence Berkeley. Εκπρόσωπος του Oak Ridge δήλωσε ότι “ανταποκρίθηκε αμέσως” στην ειδοποίηση του CISA, “διέγραψε το ύποπτο περιεχόμενο και έλυσε το ζήτημα”. Σύμφωνα με τους ίδιους δεν επηρεάστηκαν δεδομένα που ανήκουν στο εργαστήριο. Εν τω μεταξύ, εκπρόσωπος του Εθνικού Εργαστηρίου Lawrence Berkeley δήλωσε ότι δεν μπορεί να σχολιάσει τη μεμονωμένη περίπτωση, αλλά “καμία ευπάθεια δεν οδήγησε σε παραβίαση των συστημάτων των επισκεπτών” του ιστοτόπου του.

Ο διαχειριστής του μητρώου .gov της CISA, Cameron Dixon, λέει ότι όταν λαμβάνει γνώση για ευπάθειες σε κυβερνητικούς ιστότοπους, τους ενημερώνει και προσφέρει βοήθεια. “Σε οποιαδήποτε δεδομένη ημέρα, θα μπορούσατε να έχετε έναν τόσο μεγάλο κατάλογο νέων θυμάτων”, λέει ο Edwards. (Το 2020, η Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας Υπολογιστών της Ιταλίας, CIRST, εξέδωσε προειδοποίηση σχετικά με παραβιασμένους τομείς που είχε βρει ο Edwards).

Ενώ υπήρξαν κάποιες αναφορές που συνδέονται με πιθανές θυγατρικές της CPABuild, ο Edwards λέει ότι το σύστημα μπορεί να περάσει απαρατήρητο, καθώς οι σύνδεσμοι περνούν μέσω υπηρεσιών ανακατεύθυνσης, οι οποίες αποκρύπτουν την ταυτότητά τους. Επίσης, υποστηρίζει ότι οι παραβιάσεις μπορούν να αγνοηθούν, καθώς δεν έχουν τόσο μεγάλο αντίκτυπο όσο το ransomware ή άλλες επιθέσεις στον κυβερνοχώρο.

Ωστόσο, υπάρχουν ίχνη δραστηριότητας που συνδέονται με τα μέλη και τους συνεργάτες της CPABuild και εξαπλώνονται σε όλο τον ιστό. Διάφοροι χρήστες του CPABuild έχουν ανεβάσει βίντεο στο YouTube που εκθέτουν τον τρόπο λειτουργίας τμημάτων του ιστότοπου. Μέσα σε ένα βίντεο φαίνονται τα είδη των προσφορών που φιλοξενεί το CPABuild, συμπεριλαμβανομένων των ανθρώπων που αναγκάζονται να υποβάλουν τα στοιχεία του ηλεκτρονικού ταχυδρομείου και του ταχυδρομικού τους κώδικα, τα στοιχεία της πιστωτικής τους κάρτας, να εγκαταστήσουν εφαρμογές για κινητά και να συμπληρώσουν “γενικές έρευνες”.

Εκατοντάδες από τις θυρίδες περιεχομένου στον ιστότοπο της CPABuild έχουν καταγραφεί από το Internet Archive τα τελευταία επτά χρόνια. Μια σελίδα θυρίδας με τίτλο “Amazon gift cards” προσφέρει στους ανθρώπους την ευκαιρία να συμπληρώσουν μια έρευνα για να “κερδίσουν 5.000 δολάρια μετρητά τώρα” ή να “συμμετέχουν” για να κερδίσουν 25.000 δολάρια. Άλλες ωθούν τους ανθρώπους να κατεβάσουν εφαρμογές, όπως το πρόγραμμα περιήγησης ιστού Opera, ή να εισάγουν τα στοιχεία τους για να “αποκτήσουν μια κάρτα παιχνιδιού Roblox αξίας 100 δολαρίων”. Δημοφιλή παιδικά παιχνίδια χρησιμοποιούνται συχνά ως δέλεαρ για αυτές τις “προσφορές”.

“Μισούμε αυτού του είδους τα πράγματα όσο και εσείς, αλλά μας βοηθάει να μείνουμε ζωντανοί”, αναφέρει μια σελίδα. “Παρακαλούμε συμπληρώστε μια γρήγορη φόρμα για να λάβετε τον κωδικό σας και δείξτε μας την υποστήριξή σας”.

Εργαλεία επιθεώρησης ιστοτόπων, όπως το URLScan, δείχνουν πολλαπλούς ύποπτους ιστοτόπους που επικοινωνούν με την υποδομή της CPABuild, η οποία φιλοξενείται από τις Υπηρεσίες Ιστού της Amazon (AWS). Οι ομάδες εμπιστοσύνης και ασφάλειας της Amazon εξετάζουν τα αποτελέσματα της έρευνας του Edwards, σύμφωνα με τον Patrick Neighorn, εκπρόσωπο της AWS. “Οι όροι παροχής υπηρεσιών της AWS απαγορεύουν στους πελάτες να χρησιμοποιούν τις υπηρεσίες μας για οποιαδήποτε παράνομη ή δόλια δραστηριότητα και οι πελάτες μας είναι υπεύθυνοι για τη συμμόρφωση με τους όρους μας και όλους τους ισχύοντες νόμους”, αναφέρει ο Neighorn.

Εν τω μεταξύ, οι εταιρείες τυχερών παιχνιδιών λένε ότι παραδείγματα των ιστότοπων που φιλοξενούν τέτοιες σελίδες δεν είναι νόμιμα. “Πρόκειται για απάτες”, λέει ο Jake Jones, ανώτερος διευθυντής επικοινωνίας της Epic Games, η οποία δημιούργησε το Fortnite. “Οι παίκτες δεν ήταν ποτέ σε θέση να πουλήσουν, να χαρίσουν ή να ανταλλάξουν in-game V-Bucks σε άλλον παίκτη ή να πουλήσουν εικονικά αντικείμενα ο ένας στον άλλον”. Παρομοίως, ο James Kay, εκπρόσωπος του Roblox, λέει ότι η χρήση υπηρεσιών τρίτων για “αγορά, πώληση, ανταλλαγή ή δώρο Robux” απαγορεύεται και οι άνθρωποι πρέπει να αποφεύγουν τις “προσφορές” σε ιστότοπους που υπόσχονται δωρεάν χρήματα εντός παιχνιδιού ή άλλα αντικείμενα.

Η Victoria Kivilevich, διευθύντρια έρευνας απειλών στην εταιρεία ασφάλειας KELA, λέει ότι η εταιρεία έχει δει το CPABuild να συζητείται σε φόρουμ κυβερνοεγκλήματος και hacking. Σε έναν ιστότοπο, λέει η Kivilevich, κάποιος συνιστά τη δημιουργία ενός καναλιού στο YouTube με κλεμμένα παιχνίδια και περιεχόμενο λογισμικού για την προσέλκυση βίντεο. “Ο χρήστης συνιστά τη χρήση του CPABuild για να τοποθετήσει μια διεύθυνση URL κλειδαριάς περιεχομένου – που προφανώς έχει αποκτηθεί μέσω του CPABuild – στην περιγραφή των βίντεο και να κερδίζει από τους επισκέπτες που κάνουν κλικ στη διεύθυνση URL”, λέει η Kivilevich, προσθέτοντας ότι υπάρχουν συχνές συζητήσεις σχετικά με το Fortnite και το Roblox.

“Πολλοί χρήστες αναζητούν οδηγίες για το πώς να εγκριθούν στο CPABuild και για λογαριασμούς στο CPABuild που μπορούν να αγοράσουν”, λέει η Kivilevich. Ενώ πολλά από τα δηλητηριώδη PDF ωθούν τους ανθρώπους προς τις απάτες, δεν το κάνουν όλα. “Φαίνεται ότι συγκεκριμένοι πελάτες του CPABuild είναι συγγραφείς κακόβουλου λογισμικού”, λέει ο Edwards. Μερικές φορές, τις ημέρες μετά την εμφάνιση ενός αρνητικού άρθρου για την Κίνα στις ειδήσεις, λέει, κάποια από αυτά τα PDF με λέξεις-κλειδιά εμφανίζονται και περιλαμβάνουν λέξεις παρόμοιες με τα άρθρα των ειδήσεων. “Το νόμιμο άρθρο θα εμφανιστεί ως το πρώτο αποτέλεσμα της πρώτης σελίδας μιας αναζήτησης, και στη συνέχεια, ίσως τρία ή τέσσερα παρακάτω θα ήταν παγίδες”, λέει. “Σε όλες αυτές τις σελίδες, επρόκειτο για κακόβουλο λογισμικό”.

Πηγή:

https://www.wired.com/story/poison-pdf-scam-fortnite-roblox/