Is de reclame die je op je favoriete website ziet een echte advertentie, of een door cybercriminelen geplaatste boobytrap met een virus?Het kopen van advertenties op populaire sites is een snel groeiende markt voor cybercriminelen. Ze proberen zo veel mogelijk slachtoffers te veroorzaken door malware te installeren via reclame. Daarmee houden ze je computer gegijzeld of proberen ze je bankgegevens te stelen. Alleen al in de laatste paar maanden hebben beveiligingsbedrijven dit soort kwaadaardige advertenties – het wordt ook wel "malvertising" genoemd – op websites als Yahoo, de Huffington Post, YouTube en eBay gevonden.
Advertentie
Malvertising is booming. In de eerste zes maanden van die jaar zijn er al 260 procent meer reclamecampagnes met dit soort advertenties gevonden dan in 2014.Als je naar de technische rapporten kijkt die er over gemaakt zijn snap je dat ook wel: ze zijn spotgoedkoop.De laatste malvertising campagne die werd ontdekt, op de site Match.com bijvoorbeeld, kostte maar €0,32 per 1.000 bereikte klanten. Een andere die de site van New York Daily News lastig viel kostte €0,40 per 1.000 mensen. En bij Huffington Post kwam hier uiteindelijk een prijs van €2,07 voor hetzelfde aantal personen uitrollen.Dat is "niets vergeleken met de opbrengst die geïnfecteerde computers op kunnen brengen," zegt de onderzoeker van Malwarebytes, Jerome Segura. Hij heeft de afgelopen maanden malvertising bestudeerd en schrijft erover op zijn blog."Onthoud ook dat je alleen maar hoeft te betalen voor de advertenties die mensen ook daadwerkelijk binnenkrijgen. Je verspilt dus helemaal niks van je reclamebudget," vertelt Segura aan Motherboard in een online chat.Als een van de advertenties een slachtoffer weet te infecteren met ransomware, een type malware waarbij je data wordt 'gegijzeld' waarna er geld voor wordt gevraagd, en het slachtoffer in de val trapt kan de crimineel wel €500,- verdienen, merkt Segura op. (Het is niet ongewoon voor slachtoffers om te betalen. Uit een recent onderzoek bleek dat 13 procent van de benadeelde personen uiteindelijk betalen.)
Advertentie
Om mijn argument kracht bij te zetten reken ik het even uit. Laten we zeggen dat criminelen 1 miljoen advertenties met ransomware kopen. Als de advertentie €0,50 per 1000 views kost, betalen ze maar €500,- voor de reclamecampagne. Als slechts 1 procent van de slachtoffers betalen, zeg €100,-, verdienen de criminelen al 1 miljoen euro.In dit theoretische scenario verdienen de criminelen dus 1 miljoen met een investering van 500 euro.Erger nog, dit soort advertenties zijn, zoals Segura het in zijn blog schrijft, een soort "sluipmoordenaars" omdat ze "geen enkele vorm van interactie van de gebruiker nodig hebben" om slachtoffers te maken. Criminelen kunnen daarnaast miljoenen gebruikers selecteren via sites als Yahoo, en zelfs met behulp van de reclametools precies aangeven wie ze willen hebben."Je kan het reclameplatform gebruiken om precies jouw interessegebied te selecteren: locatie, leeftijd, het soort operating systeem, de soort browser, enz," vertelt Segura me. "Naar mijn weten zijn er geen betere tools dan die de marketingafdelingen gebruiken."Het zou natuurlijk nog goedkoper zijn om mensen te infecteren via een gehackte site, vertelt beveiligingsexpert Graham Cluley aan Motherboard in een mail. Dat kost helemaal niets, maar dan moet je wel een slecht beveiligde website vinden. Dat gaat niet zo makkelijk lukken bij grote sites als Yahoo en YouTube."Het voordeel van de schaduwzone waarbinnen 'malvertising' zich bevindt is dat je je criminele code naar de massa kan brengen via legitieme sites, die niet eens weten dat ze met geïnfecteerde advertenties zijn overspoeld," zegt Cluley.Zo lang de economische voordelen van malvertising zo groot blijven en websites hun advertenties uitbesteden aan derden – marketingbedrijven die zich geen zorgen maken over beveiliging – zal malvertising blijven groeien.