Mówi się, że pierwszy milion trzeba ukraść. My nie popieramy tego sposobu na zostanie milionerem, ale nie każdy jest tak samo uczciwy jak redakcja Tabletowo. To oszustwo pozwoliło się jednak ogromnie wzbogacić przestępcom. Podczas gdy ci zyskali, ponad setka firm straciła.
Vastflux to oszustwo reklamowe o niewyobrażalnej skali
Branża reklamowa to łakomy kąsek dla osób, które chcą zarobić. Na Tabletowo również widzicie reklamy, ale staramy się, aby były one jak najmniej „inwazyjne” i nie przeszkadzały Wam w korzystaniu z naszej strony i czytaniu tekstów, które każdego dnia dla Was przygotowujemy. Nie wszyscy mają skrupuły – nie brakuje osób, które chcą wycisnąć tyle, ile tylko się da, na dodatek nie zawsze uczciwie.
Mamy tu do czynienia z jednym z największych oszustw reklamowych. Marion Habiby, analityk danych w Human Security i główny badacz tego przekrętu przyznał, że gdy po raz pierwszy otrzymał wyniki dotyczące odkrytego oszustwa, musiał wielokrotnie je sprawdzić, bowiem nie dowierzał, że doszło do czegoś takiego. Jednocześnie Habiby nie ukrywa, że ten proceder został skrupulatnie przygotowany – określił go mianem „wyrafinowanego”.
Analityk zauważa, że przestępcy byli świetnie zorganizowani i bardzo się postarali, aby ich oszustwo nie wyszło szybko na jaw, dzięki czemu przyniosło im ono mnóstwo pieniędzy, zanim zostało wykryte – a miało to miejsce po raz pierwszy latem 2022 roku, aczkolwiek nie natychmiastowo położono mu kres (choć następnie dość szybko ograniczono jego skalę). Tu warto wspomnieć, że przestępcom udało się przeprowadzić oszukańczy proceder w ponad 1700 aplikacji 120 różnych wydawców na 11 mln telefonów – to pokazuje skalę tego przekrętu.
Na czym polegało to intratne oszustwo?
Przestępcy najpierw licytowali sloty reklamowe w popularnych aplikacjach. To często spotykana praktyka w branży reklamowej – szacuje się, że na takie „zautomatyzowane reklamy” wydano w 2022 roku aż 418 mld dolarów. Mimo że pierwszy etap nie nosił znamion przestępstwa, to już o kolejnym trudno to powiedzieć, bowiem po wygranej aukcji przestępcy „wstrzykiwali” złośliwy kod JavaScript, co umożliwiało im nakładanie wielu reklam wideo jedna na drugą – nawet 25!
Mimo że użytkownik aplikacji widział tylko jedną reklamę – tę, która znajdowała się na samej górze, w rzeczywistości wyświetlanych było znacznie więcej reklam i oszuści otrzymywali zapłatę za emisję każdej z nich. U szczytu aktywności, tj. w czerwcu 2022 roku, emitowano w ten sposób nawet 12 mld reklam dziennie!
Tracili na tym nie tylko ci, którzy płacili za to, ale też właściciele urządzeń, bowiem przez ten proceder akumulator szybciej się rozładowywał, gdyż telefon musiał przetworzyć więcej niż się wydawało. Ponadto mogło to powodować zwiększone zużycie internetu. Co ciekawe, oszuści najczęściej brali na celownik posiadaczy iPhone’ów, aczkolwiek użytkowników smartfonów z Androidem też nie oszczędzali – szacuje się, że w ten sposób wykorzystano nawet 11 mln urządzeń.
Według Human Security oszustwo udawało się ukryć przed wykryciem dzięki temu, że przeprowadzano je w tak dużej liczbie aplikacji (~1700), a do tego wykorzystywano wiele domen i adresów IP. Marion Habiby powiedział, że to nie jest bardzo prosty rodzaj oszustwa, z którym spotykamy się cały czas.
Badacze nie ujawnili kwoty, jaką wygenerowało oszustwo Vastflux, zasłaniając się trwającym postępowaniem, lecz mimo wszystko – patrząc przez pryzmat jego skali i przywoływanych słów analityków danych – można domyślać się, że może chodzić o nieosiągalną dla przeciętnego Kowalskiego czy Nowaka sumę. Z tego samego powodu nie podali nazwy organizacji, stojącej za tym procederem, aczkolwiek zdradzili, że to nie pierwsza jej akcja tego typu – wcześniej ci sami przestępcy dopuścili się oszustwa reklamowego w 2020 roku. Ostatecznie Vastflux przestał być aktywny w grudniu 2022 roku.