Domena .tk od dawna uznawana jest za obszar działania rozmaitej maści oszustów. Niedawno firma Zscaler ThreatLabZ ujawniła mechanizm działania przekrętu, na którym scammerzy zarabiają ponad 20 tys. dolarów miesięcznie.

Chodzi o system przekierowań ze zhakowanych stron na witryny służące do wyłudzania pieniędzy. Są to blogi wyświetlające niedające się zamknąć popupy lub fałszywe strony wsparcia technicznego sugerujące, że komputer użytkownika został zainfekowany wirusem.

Hakerzy instalują skrypty na stronach, które padły ofiarą ich ataku. Po wejściu na taką stronę użytkownik zostaje przekierowany na adres z końcówką .tk, a następnie docelową witrynę w innej domenie. W poniższym materiale ilustrującym schemat działania oszustów jest to nazwa w rozszerzeniu .top.

Zhakowane strony zawierają kod przekierowania. Zazwyczaj jest on zaciemniony, czyli przekształcony w taki sposób, by mimo zachowanej semantyki był trudny do zrozumienia i wykrycia. Na razie nie jest jasne, za pomocą jakich metod scammerzy hakują strony. Na podstawie przeanalizowanych próbek analitycy podejrzewają, że mogą to być dziury w WordPressie, najpopularniejszym obecnie systemie zarządzania treścią.

Od maja 2018 r. zespół Zscaler ThreatLabZ odkrył ponad 3,8 tys. unikalnych domen .tk wykorzystywanych w tej kampanii. Ich pełna lista znajduje się TUTAJ. Mohd Sadique, analityk bezpieczeństwa w Zscaler, w wypowiedzi dla serwisu BleepingComputer.com oszacował miesięczne zyski scammerów na co najmniej ponad 21 tys. dolarów. Taką kwotę daje pomnożenie średniego indywidualnego przychodu, jaki przynosi każda strona (300 dolarów) przez liczbę aktywnych witryn wykorzystywanych obecnie w kampanii (72). Zyski pochodzą głównie z wymuszonych kliknięć w reklamy.

Tagi: .tk, scam, Zscaler ThreatLabZ