Traffic Cardinal Traffic Cardinal написал 03.10.2024

Атаки на приложения арбитражников в сентябре: что известно

Traffic Cardinal Traffic Cardinal написал 03.10.2024
5 мин
0
792
Содержание

Приложения — важнейший элемент связки при заливе на iGaming-офферы. В качестве альтернативы используют PWA, чат-ботов и линки, но эффективность этих вариантов часто ниже, чем у классических прилок.

banner banner

Сегодня расскажем о том, что делать, когда на приложение в один момент льют сотни тысяч нерелевантных инсталлов. Разберемся с деталями подобных атак и способами защиты.

Механика атак на приложения

19 сентября в чате Mobile Money Makers появились жалобы про залив спам-трафика на прилки. Публично про инцидент высказались несколько вебов, но судя по реакциям участников комьюнити, пострадавших больше.

Пользователи сообщают, что в один момент количество инсталлов начинает расти многократно, статистика улетает в небеса, а трекер не всегда справляется с нагрузкой. Нужно действовать оперативно, но не у всех под рукой есть специалисты с опытом решения подобных проблем.

Cхема атаки состоит из нескольких шагов:

  1. Злоумышленник выбирает приложения, на которые заливается трафик из других источников.
  2. Через анализаторы прилок находится ссылка трекера.
  3. На линку заливаются клики и установки.
  4. Спустя какое-то время злоумышленник связывается с владельцем приложения и просит от $100 за остановку спам-трафика.

Вебу налили 946 000 кликов
Вебу налили 946 000 кликов

В чате ранее писали, что у некоторых вебов возникли проблемы не только с заливом, но и с работоспособностью приложения. Их убрали из App Store с пометкой «мотивированный трафик». А это уже серьезный ущерб для рабочей связки.

Веб-мастер лишился приложения
Веб-мастер лишился приложения

Объем инсталлов в каждом случае отличается, но в среднем пользователи называют цифру от 150 до 320K. Скорее всего, у злоумышленников большая ферма, которая позволяет нагружать прилку, а в некоторых случаях полностью останавливать работу.

Автор канала GP Console провел собственное расследование и сделал вывод, что, скорее всего, злоумышленники из ниши аффилиат-маркетинга и активно мониторят чаты на предмет упоминания приложений. Веб-мастер отмечает, что $100 — только первый шаг. Как только шантажист получит деньги, вероятно, он поднимет цену выкупа.

Мнение из чата
Мнение из чата

Диалог с угрозами
Диалог с угрозами

В чатах писали, что нашли канал злоумышленника, исходя из постов которого можно увидеть спланированную атаку. На скриншоте ниже первое сообщение в канале, наглядно демонстрирующее подход к «работе».

Заявка на «революцию» в нише
Заявка на «революцию» в нише

В канале опубликовано несколько примеров заблокированных приложений и планы на будущее. В одном из постов указано, что владелец приложения вышел на связь и «решил вопрос».

Советы по защите прилок

С технической точки зрения подобные атаки на приложения тщательно спланированы. Они называются L7 DDoS — злоумышленники атакуют прокладку в виде трекера, чтобы вывести из строя всю воронку.

Трекер обрабатывает клики с небольшой задержкой, и если направлять большие объемы трафика — работа может замедлиться или прекратиться. К примеру, у одного из пострадавших вебов отключили сервер из-за аномальной нагрузки.

Поддержка хостинга заблокировала сервер
Поддержка хостинга заблокировала сервер

На 100% защититься от атаки на приложения невозможно, но можно минимизировать ущерб. Важно подготовиться заранее, чтобы не пришлось останавливать трафик из рекламных источников на период повышенной нагрузки.

Эксперты рекомендуют выполнить следующие действия:

  1. Внимательно анализировать потоки. Когда в трекере появляется новый трафик, можно найти фильтры для его отсечения.
  2. Подключение облачной защиты Cloudflare WAF. Технические специалисты утверждают, что инструмент спасает от мусорного трафика в 99% случаев.
  3. Спрятать директорию /admin с помощью .htaccess. Домен трекера также лучше замаскировать так, чтобы он не отличался от пула других адресов.

Принцип работы WAF
Принцип работы WAF

Решение выше принесет результат в большинстве ситуаций, но если злоумышленники хорошо маскируют трафик под стандартные потоки, бороться будет сложнее. Понадобится помощь технического специалиста с опытом противодействия DDoS-атакам Layer 7.

Главный момент в этой истории — окупаемость затрат. Налить 100–300K инсталлов и попросить $100 — нонсенс. Если не реагировать на шантаж и защищать прилки, скорее всего, со временем поток спам-трафика прекратится.

Арбитраж до сих пор на пике буста, и в ближайшие годы спада интереса к нише не прогнозируется. Вместе с приходом на рынок новых вебов будут появляться и те, кто хочет заработать с помощью атак на инфраструктуру арбитражников. С ними не обязательно бороться, можно просто не платить деньги.

Здравствуйте! У вас включен блокировщик рекламы, часть сайта не будет работать!