Приложения — важнейший элемент связки при заливе на iGaming-офферы. В качестве альтернативы используют PWA, чат-ботов и линки, но эффективность этих вариантов часто ниже, чем у классических прилок.
Сегодня расскажем о том, что делать, когда на приложение в один момент льют сотни тысяч нерелевантных инсталлов. Разберемся с деталями подобных атак и способами защиты.
Механика атак на приложения
19 сентября в чате Mobile Money Makers появились жалобы про залив спам-трафика на прилки. Публично про инцидент высказались несколько вебов, но судя по реакциям участников комьюнити, пострадавших больше.
Пользователи сообщают, что в один момент количество инсталлов начинает расти многократно, статистика улетает в небеса, а трекер не всегда справляется с нагрузкой. Нужно действовать оперативно, но не у всех под рукой есть специалисты с опытом решения подобных проблем.
Cхема атаки состоит из нескольких шагов:
- Злоумышленник выбирает приложения, на которые заливается трафик из других источников.
- Через анализаторы прилок находится ссылка трекера.
- На линку заливаются клики и установки.
- Спустя какое-то время злоумышленник связывается с владельцем приложения и просит от $100 за остановку спам-трафика.
В чате ранее писали, что у некоторых вебов возникли проблемы не только с заливом, но и с работоспособностью приложения. Их убрали из App Store с пометкой «мотивированный трафик». А это уже серьезный ущерб для рабочей связки.
Объем инсталлов в каждом случае отличается, но в среднем пользователи называют цифру от 150 до 320K. Скорее всего, у злоумышленников большая ферма, которая позволяет нагружать прилку, а в некоторых случаях полностью останавливать работу.
Автор канала GP Console провел собственное расследование и сделал вывод, что, скорее всего, злоумышленники из ниши аффилиат-маркетинга и активно мониторят чаты на предмет упоминания приложений. Веб-мастер отмечает, что $100 — только первый шаг. Как только шантажист получит деньги, вероятно, он поднимет цену выкупа.
В чатах писали, что нашли канал злоумышленника, исходя из постов которого можно увидеть спланированную атаку. На скриншоте ниже первое сообщение в канале, наглядно демонстрирующее подход к «работе».
В канале опубликовано несколько примеров заблокированных приложений и планы на будущее. В одном из постов указано, что владелец приложения вышел на связь и «решил вопрос».
Советы по защите прилок
С технической точки зрения подобные атаки на приложения тщательно спланированы. Они называются L7 DDoS — злоумышленники атакуют прокладку в виде трекера, чтобы вывести из строя всю воронку.
Трекер обрабатывает клики с небольшой задержкой, и если направлять большие объемы трафика — работа может замедлиться или прекратиться. К примеру, у одного из пострадавших вебов отключили сервер из-за аномальной нагрузки.
На 100% защититься от атаки на приложения невозможно, но можно минимизировать ущерб. Важно подготовиться заранее, чтобы не пришлось останавливать трафик из рекламных источников на период повышенной нагрузки.
Эксперты рекомендуют выполнить следующие действия:
- Внимательно анализировать потоки. Когда в трекере появляется новый трафик, можно найти фильтры для его отсечения.
- Подключение облачной защиты Cloudflare WAF. Технические специалисты утверждают, что инструмент спасает от мусорного трафика в 99% случаев.
- Спрятать директорию /admin с помощью .htaccess. Домен трекера также лучше замаскировать так, чтобы он не отличался от пула других адресов.
Решение выше принесет результат в большинстве ситуаций, но если злоумышленники хорошо маскируют трафик под стандартные потоки, бороться будет сложнее. Понадобится помощь технического специалиста с опытом противодействия DDoS-атакам Layer 7.
Главный момент в этой истории — окупаемость затрат. Налить 100–300K инсталлов и попросить $100 — нонсенс. Если не реагировать на шантаж и защищать прилки, скорее всего, со временем поток спам-трафика прекратится.
Арбитраж до сих пор на пике буста, и в ближайшие годы спада интереса к нише не прогнозируется. Вместе с приходом на рынок новых вебов будут появляться и те, кто хочет заработать с помощью атак на инфраструктуру арбитражников. С ними не обязательно бороться, можно просто не платить деньги.
