Camu и теневой рынок: Как пиратский контент приносит доход через рекламу

Однако большинство рекламодателей и рекламных сетей не хотят размещать свои объявления рядом с пиратским контентом, поэтому злоумышленники вынуждены скрывать свою деятельность.

Одним из ярких примеров такой схемы является операция «Camu» (с португальского «маскировка»). Схема, базирующаяся в Бразилии, представляет собой механизм обналичивания доходов от пиратского контента. Суть операции заключается в том, что пользователи, желающие получить доступ к пиратским фильмам и сериалам, попадают на специальный сайт — «обнальный» домен. При посещении таких доменов напрямую пользователи видят безобидные блоги, не вызывающие подозрений у рекламодателей. Однако, если посетитель приходит на сайт через определенные ссылки, ему показывается пиратский контент и множество рекламных объявлений.

Схема обмана

На пике своей активности Camu обрабатывал до 2,5 миллиардов рекламных запросов в день на 132 доменах, созданных специально для этой схемы. Для сравнения, такой показатель примерно соответствует суточной активности рекламных запросов в городах Атланта или Сакраменто в США. Усилия специалистов привели к тому, что объем запросов на доменах, связанных с Camu, значительно сократился до 100 миллионов в день за последние 9 месяцев. Операция все еще продолжается, оставаясь крупнейшей из когда-либо обнаруженных схем маскировки.

Одной из ключевых особенностей операции Camu является методика маскировки доменов. Когда пользователь переходит на сайт с пиратским контентом, ему присваивается специальный токен, который проходит через несколько этапов перенаправления, прежде чем попадет на целевой сайт. Токен добавляет cookie-файл в браузер пользователя, а наличие или отсутствие этого cookie-файла определяет позволяет системе определить, какую версию сайта показывать — с пиратским контентом или обычный блог.

С помощью куки показывается пиратский контент (сверху), а без куки отображается обычный блог (снизу)

Злоумышленники также применяют более сложные методы обмана рекламных сетей, подделывая реферальные данные, что делает связь между пиратскими сайтами и рекламными доменами менее очевидной. В некоторых случаях вместо перенаправления на сайт с пиратским контентом пользователи могут быть перенаправлены на фишинговые сайты или страницы с вредоносным ПО.