Noticias

Cookie stuffing: Somos parte de un fraude de millones de dólares sin darnos cuenta

Esta es una investigación que realizamos en Seekurity hace tiempo, pero estas fechas llenas de compras en linea, me hicieron recordar el post y pasarlo a español. Esta es una técnica utilizada por defraudadores que se sirven de la publicidad (legitima) en linea para obtener grandes cantidades de dinero, sin que la empresa que paga por esa publicidad lo note y llegue a pagar enormes sumas de dinero a los defraudadores y lo peor de todo, es que el elemento principal es un usuario cualquiera que jamás lo notará.

 

¿Qué es Cookie stuffing?

Es una actividad que permite a defraudadores que tienen un sitio en linea y muestran publicidad de terceros en su sitio, recibir crédito ($) por las compras realizadas por sus visitantes en sitios de terceros. Esta actividad afecta principalmente a programas de marketing para “afiliados”, pero no quiere decir que actividades similares estén exentas de esto. Uno de los casos más grandes que ha existido fue en el programa de afiliados de eBay, en el que algunos afiliados obtuvieron millones de dólares ilegalmente con ésta técnica.

 

Esto sucede cuando el sitio web de un defraudador, engaña al navegador de un visitante para que visite uno o varios sitios de venta en linea sin darse cuenta y sin realizar acción alguna (como dar clic en la publicidad del sitio), en los que el defraudador está registrado como afiliado. Esta actividad le da puntos al defraudador por redirigir (generar tráfico) hacia el sitio de venta en linea a posibles clientes y probablemente recibirá un pago, si el visitante realiza una compra días, semanas o meses después.

 

¿Como funciona?

Existen muchas formas para realizar cookie stuffing, por ejemplo cuando un defraudador controla un sitio web o se ha introducido en el sitio web de alguien más con una pobre o nula seguridad.

 

  • El defraudador podría agregar un iframe oculto (comúnmente en imágenes diminutas) en un sitio y este iframe redirigirá al visitante al sitio web de la tienda en línea. El defraudador puede introducir dentro de la URL contenida en el iframe, sus datos para que la tienda en linea reciba esos parámetros y registre que el visitante fue redirigido por el defraudador.

1cs

 

  • Otro proceso similar, es sobrescribir las cookies insertadas en el navegador del visitante por un sitio legítimo con cookies que contienen los parámetros del defraudador.
    • Un visitante entra al sitio de un afiliado confiable.2cs
    • El visitante llega a un sitio malicioso y su navegador es inyectado con cookies fraudulentas (4 o más!) , lo que provoca que las cookies del sitio legítimo, sean eliminadas.
    • 3csCuando el visitante llega al sitio web de la tienda en linea, el sitio solo leerá las cookies maliciosas y tomará los datos del defraudador. Si el visitante realiza una compra, el pago se realizará al defraudador y no al dueño del sitio legitimo quien realmente ayudó a realizar la venta del producto.4cs

 

  • Otra forma de hacer cookie stuffing, es a través de malware o adware instalado en el navegador del visitante.
    • Estos programas, abren páginas web sin que el usuario lo solicite, pop-ups o banners relacionados a búsquedas que el usuario ha realizado anteriormente. 5cs
    • Por ejemplo, si el usuario da clic en publicidad generada por Google, es redirigido a la página del sitio de la tienda en linea, el malware/adware genera e inyecta cookies con información del defraudador y estas cookies son leídas por la tienda en linea. Esto provocará que los registros de pago se dupliquen y si esta actividad no es detectada, la comisión de una venta se pagará a Google y al defraudador. 6cs

 

  • Una cuarta forma de realizar cookie stuffing es, cuando un usuario da clic en un link o imagen maliciosa, entonces es redirigido a un sitio web cualquiera, pero detrás de esa redirección, se generan peticiones en el fondo sin que el usuario lo note, hacia uno o más sitios web maliciosos que inyectarán cookies en su navegador, las cuales normalmente tienen un tiempo de vida de semanas, meses o en algunas ocasiones hasta de un año. 7cs

 

  • La quinta y última forma que descubrimos dentro de nuestra investigación, es cuando un usuario da clic en una URL o imagen maliciosa y es redirigido a un sitio web cualquiera, pero antes de llegar a destino final, el usuario pasa por una cadena de sitios web que inyectarán tantas cookies sean posibles en su navegador. 8cs

 

[AQUI] En el post original, podrás encontrar más información como:

  • Características para detectar este tipo de fraudes por Request, Referrer page, Referrer time, Time spent on online retailer’s site, cookie expiration time.
  • Como funciona una empresa de afiliados.
  • Tráfico normal comparado con tráfico malicioso.
  • Vulnerabilidades en sitios de afiliados que permiten generar actividad maliciosa.
  • Análisis de un caso.
  • Siguientes pasos.
Hiramcoop

Hiramcoop

Reader • Speaker | Linux • Technology • Science • Physics • Universe | InfoSec • CyberSec | Security Researcher |
Seekurity.com

Previous post

Ayuda a construir el hackerspace más grande de México

Next post

This is the most recent story.