Cloaking, czyli oszustwo pod płaszczykiem. Jak się ochronić?

Ukrywanie złośliwych stron pod płaszczykiem prawdziwego adresu jest coraz popularniejsze wśród cyberprzestępców. Przykładów nie trzeba daleko szukać. Gdy na naszych łamach opisywaliśmy sprawę fałszywych reklam z Omeną Mensah na Facebooku, na screenach można było zauważyć, jakoby linki do „artykułów” prowadziły do znanego portalu informacyjnego. W rzeczywistości było inaczej.

Znajomy adres, a w rzeczywistości oszustwo

Taki sposób oszustwa to cloaking. Cyberprzestępcy wykorzystują w jego ramach Punycode, czyli konwersję Unicode na znaki dozwolone w adresach internetowych. W ten sposób, menedżer reklam odczyta stronę zgodnie z konwersją, ale w wyświetlonym linku pojawi się wersja „normalna”, niewzbudzająca podejrzeń. 

Dodatkowo, po kliknięciu w reklamę, użytkownik jest przekierowywany przez kilka innych stron, zanim trafi pod docelowy adres. Ma to na celu minimalizację ryzyka wykrycia oszustwa przez zabezpieczenia serwisów.

Nie tylko Facebook. Google polem do popisu aktorów

Przykład z końca czerwca nie oznacza, że zjawisko jest ograniczone jedynie do Facebooka. Portal BleepingComputer poinformował w środę o kampanii w wyszukiwarce Google wykorzystującej cloaking. Tym razem, cyberprzestępcy podszywają się pod aplikację Google Authenticator, zaś plik .exe do ściągnięcia to w rzeczywistości malware DeerStealer.

Nie jest to oczywiście pierwszy taki przypadek nadużycia Google Ads. Poprzednio sposób ten został wykorzystany w identyczny sposób w przypadku reklam uzurpujących menedżera KeePass czy przeglądarkę Arc. Zarówno Meta (właściciel Facebooka) oraz Google zapewniają, że walczą z tym zjawiskiem, ale efektów raczej nie widać.

Obrona przed cloakinginem? Czujność i adblocki

Czy jest możliwość zauważenia cloakingu i skuteczna obrona przed tego typu zagrożeniami? Chociaż odpowiedź jest twierdząca, tak informacje co do samych metod nie wyglądają optymistycznie. Jak przekazała nam Iwona Prószyńska z CERT Polska, skutecznym narzędziem w tym konflikcie są adblocki, które blokują wyświetlanie wszystkich reklam, nie tylko tych oszukańczych. „Warto też pamiętać o weryfikacji adresu strony, na której się znaleźliśmy” – dodała.

Główny ruch w zakresie ochrony użytkowników przed tym zagrożeniem leży po stronie platform. Niestety i tutaj nie ma dobrych informacji. „Wciąż czekamy na skuteczniejsze narzędzia ochrony użytkowników” – podkreśliła przedstawicielka CERT Polska.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].