Incidentes Asociados
Esta historia comienza con Sidney Crosby. Un jugador de hockey profesional e ícono canadiense. No puedo confirmar ni negar que broté como un niño pequeño en la exhibición “Golden Goal” del Salón de la Fama del Hockey (nunca lo olvidaré). momento). Así que imagina mi sorpresa cuando estaba realizando una investigación y me desvié con este anuncio:
Ahora ya puedo verte rodando los ojos. Parece un poco estafador, ¿no? El problema es que miré el dominio del anuncio y vi ctvnews.ca, que es una organización de noticias de renombre en Canadá. Esto, por supuesto, me hizo pensar que algo realmente pasaba con Sid. Así que hice clic. Sí. Seguramente lo hice.
Entonces notará que esto se parece mucho a ESPN, no a CTV News en absoluto. No solo eso, sino que el dominio espn.l1dh.com tampoco me hace sentir seguro de haber aterrizado en el sitio de ESPN. Al desplazarnos más abajo en la página, vemos los inevitables anuncios de suplementos.
Claramente, esto no es ESPN y Sid the Kid no respalda este suplemento. En la parte inferior de la página puedes ver la “prueba social” de las personas que recomiendan el producto. Hagamos una búsqueda rápida de imágenes inversas para ver si se trata de personas reales. Charles Barrott es el objetivo de nuestra búsqueda en este caso:
Esto invertirá la búsqueda en Google de esa imagen exacta. He aquí que resulta ser Sam Muirhead, un cineasta.
Está bien. Podemos detenernos allí. Claramente, alguien ha descubierto cómo jugar con el sistema de Facebook para publicar anuncios que parecen conducir a un lugar (ctvnews.ca) y, en última instancia, conducen a un lugar muy diferente. No solo eso, sino que utilizan repetidamente nombres de marcas registradas, términos e información falsa para vender productos. Esto viola una serie de [políticas de publicidad de Facebook] (https://www.facebook.com/policies/ads/). Mi conjetura es que te registras en la "Prueba gratuita" y te van a timar una vez al mes de por vida. O peor.
¿Qué demonios está pasando aquí?
En este punto, me pregunto con qué frecuencia los estafadores usan esta técnica de cebo y cambio. ¿Podría ser solo un estafador único que pudo engañar a Facebook y tuve la suerte de atraparlo? Recurrí a mi propio índice Hunchly. Hunchly le permite realizar una búsqueda de texto completo en todas las páginas capturadas que ha visto mientras Hunchly estaba activado. Al mirar los anuncios de Facebook, siempre aparece la palabra clave "Patrocinado" en el HTML, por lo que una búsqueda rápida como esta:
url:facebook.com\* patrocinado
Hará una búsqueda de texto completo de todas las URL de facebook.com que contengan la palabra clave "patrocinado". Esto generó una gran cantidad de visitas (tengo alrededor de 5k páginas en mi índice), como era de esperar, ya que la mayoría de las páginas de Facebook contienen anuncios patrocinados. Empecé a buscar en varias páginas archivadas y encontré una página que había visto en una investigación el 11 de diciembre de 2015, hace aproximadamente 6 meses.
Vi la página en Hunchly y vi un anuncio que parecía sospechoso solo por el texto del anuncio. El dominio mostrado es para btmontreal.ca, que es un sitio de noticias legítimo. Empecé a oler a humo.
Dado que Hunchly tiene una copia en vivo de toda la página, todos los enlaces se conservan. Paso el mouse sobre el anuncio para ver dónde me llevará realmente el clic y veo que la URL que se muestra en la parte inferior de Chrome no corresponde a btmontreal.ca. Tenemos otro resultado. Ahora veo fuego. En lugar de hacer clic en el enlace, hago clic con el botón derecho y lo copio en un editor de texto.
Es una gran mancha desordenada, y si ve todos esos pequeños %, esto le indica que la URL está codificada. Puede encontrar fácilmente un [descodificador de URL en línea] (http://meyerweb.com/eric/tools/dencoder/) en el que puede pegarlo y el primer bit que verá es este:
https://www.facebook.com/a.php?u=http://goo.gl/UssPDm&
El primer bit es el controlador de publicidad de Facebook, y la parte en negrita es la URL de destino donde aterriza después de hacer clic. Lo corté en el primer "&" para que solo tengamos la URL de Google abreviada. Esto nos lleva a la siguiente parte de nuestra investigación.
Análisis de URL de Google acortadas
El acortador de URL de Google funciona como cualquier otro servicio de acortamiento como bit.ly. Ingresas una URL grande y escupe una pequeña URL. Lo bueno del acortador de URL de Google es que le proporcionan análisis para que pueda ver cómo se accedió a una URL acortada y cuántas veces.
Entonces, ¿cómo encuentras estos maravillosos an�álisis?
Simplemente agregue .info al final de una URL de Google abreviada y será llevado a una página que tiene los datos:
Así que podemos ver que hubo 26.812 clics a través de esta URL abreviada y si pasas el cursor sobre el gráfico de anillos, verás que hubo 11.246 clics confirmados de Facebook. Son muchos clics. Los clics "Desconocidos" podrían deberse a que los navegadores no transmiten el encabezado HTTP Referer, pero no puedo confirmarlo. Lo que podemos ver en el gráfico de actividad es que la campaña solo se ejecutó durante un período de tiempo relativamente corto antes de detenerse. En defensa de Facebook, esto puede haber significado que detectaron este fraude o que alguien denunció los anuncios. También podría significar que el estafador ganó suficiente dinero y decidió abandonar la campaña y derribar toda su infraestructura. Difícil de confirmar de cualquier manera.
También vemos que la URL de destino (que ahora está muerta) es:
http://dftrack6.com/?i0g51dkl&s1=sc\_hgould\_ca\_ll
No había copias en caché del sitio, y dado que no hice clic en los enlaces cuando lo vi por primera vez en diciembre, no tenía una copia de la página de destino almacenada en mi índice de Hunchly. Por lo tanto, no tenemos suficientes pruebas para demostrar que tenemos una página de destino fraudulenta, pero si profundiza en el dominio dftrack6.com, verá rápidamente que parece sospechoso.
Sin embargo, el punto principal aquí ha sido probado: los estafadores pueden crear anuncios que parecen apuntar a sitios legítimos y luego generar decenas de miles de clics a través de sus páginas de destino. Aparentemente, Facebook está dormido al volante y, lamentablemente, siento que el usuario general de Facebook y los consumidores en general están siendo víctimas por eso.
¿Qué tan difícil puede ser esto?
Ahora era el momento de poner todo esto a prueba. Usaré publicidad local y me dirigiré, bueno, solo a mí. Usé mi código postal, mi edad y lo configuré para que los anuncios solo se publicaran para las personas conectadas tanto a mi página AutomatingOSINT.com como a la página de Facebook de Hunchly.
Por un minuto, me gustaría que pensaran en la capacidad de hacer este targeting desde una perspectiva de spear phishing. ¿No es aterrador?
Configuré mi anuncio para que se publicara en la página de Hunchly y la URL de destino para https://www.hunch.ly, pero configuré la URL visible en www.cnn.com. Al igual que:
Ahora, por supuesto, esto es realmente una locura desde la perspectiva de la red de publicidad. Si intentara esto en Google AdWords, se reiría de su cuenta. No hay otros indicadores en el anuncio que le digan al usuario que están destinados a www.hunch.ly. Cualquier usuario normal simplemente verá www.cnn.com y pensará que se dirige a un dominio confiable. ¿Cuántos usuarios de Facebook realmente revisan la parte inferior de la ventana de su navegador cada vez que se desplazan sobre un enlace? No muchos.
estoy divagando
Todo esto está muy bien, pero por supuesto necesito que el anuncio pase por el proceso de aprobación de Facebook. Seguramente deben darse cuenta de que la URL de destino ni siquiera está cerca de la URL mostrada. Seguramente deben ver lo malo que sería esto para el consumidor promedio o usuario de Facebook.
Con un gran ruido sordo, se aprueba nuestro anuncio e incluso podemos ver la maravillosa vista previa, completa con una URL visible de cnn.com:
Una vez que el anuncio comenzó a publicarse, lo apagué de inmediato. Estoy seguro de que si alguien de Facebook está leyendo este artículo y ha llegado hasta aquí, mi cuenta publicitaria se suspenderá de inmediato.
Conclusión
En el mundo de la seguridad, llevamos mucho tiempo presionando para asegurarnos de que los productos sean más "seguros por defecto". Esto significa que no importa lo poco que sepa un usuario, está lo mejor protegido posible desde el primer día. Si bien todos somos conscientes de que existen formas de cometer fraude a través de las redes publicitarias, en muchos casos requiere numerosos trucos o un nivel de sofisticación relativamente alto. Google AdWords está extremadamente alerta cuando se trata de colocar un nuevo anuncio (pruébelo) para asegurarse de que no esté haciendo nada sospechoso. Si bien AdWords no es un sistema perfecto, como todo lo relacionado con la seguridad, la idea es elevar el nivel lo suficiente como para que solo los estafadores más sofisticados puedan engañar al sistema.
A Facebook le falta un control simple que está poniendo en riesgo a los usuarios. No estamos hablando de mejorar o ajustar un sofisticado algoritmo antifraude. De hecho, el código se ve así:
if (display_domain == landing_page_domain)
{
aprobar_anuncio = verdadero;
} más {
aprobar_anuncio = falso;
}
Ahora, lo que me encantaría que hicieras es revisar tu propia cuenta de Facebook en busca de anuncios patrocinados. ¿Señalan el dominio que dicen que hacen?
Si no [envíeme un correo electrónico] (mailto: justin@automatingosint.com) sus hallazgos, me encantaría comenzar a recopilar algunas estadísticas o ver algunas investigaciones derivadas para ver qué tan extendido está realmente este problema.