Исследователи в области компьютерной безопасности всё чаще говорят о новом векторе сетевых атак с применением онлайн-рекламы. Уязвимости в популярных баннерных сетях позволяют злоумышленникам проводить масштабные атаки с крупнейших порталов и сайтов. Результатом этих атак может быть утечка пользовательских данных, потеря контроля над системой и многое другое.
Чтобы защищать пользователей от таких атак, в Adblock Plus включен фильтр вредоносных сайтов. Этот фильтр работает на основе регулярно пополняемого списка страниц, распространяющих вредоносное ПО и осуществляющих атаки на системы пользователей.
Также Adblock Plus рекомендует предпринять и другие действия по защите ПО. В первую очередь — убедиться, что вы пользуетесь последней версией браузера, и у вас установлены все обновления безопасности для вашей ОС. Также нужно регулярно обновлять все плагины для браузера, в особенности Java (по данным компании Cisco именно на нее приходилось около 91% атак в 2013 году), Adobe Flash и Adobe Reader. Наконец, не устанавливайте в браузер малоизвестные расширения: как известно, их разработчики могут продавать рекламодателям и третьим лицам доступ к данным пользователей. Не стоит забывать и про антивирусное ПО — даже бесплатные решения смогут значительно повысить безопасность вашей системы.
Яркий пример — атака, произошедшая осенью 2013 года и затронувшая посетителей крупных англоязычных медийных сайтов, таких как сайт газеты LA Times и Salon. Используя сеть подставных сайтов с временными доменами и уязвимости в рекламных сетях, злоумышленникам удавалось в течение нескольких недель привлекать по нескольку тысяч посетителей на страницы, распространявшие вредоносное ПО.
Может показаться, что для того, чтобы стать жертвой такого объявления, необходимо кликнуть по нему, но это не так. Атаки могут проводиться по-разному. Злоумышленник, обнаруживший уязвимость в баннерах на популярном сайте, может разместить на странице скрытую от пользователя область (iframe), которая автоматически переведет его на зараженную страницу. В свою очередь, на странице может находиться либо мошеннический контент, либо автоматизированная система поиска уязвимостей (эксплойткит), проверяющий систему пользователя на предмет известных угроз безопасности и эксплуатирующая выявленные «дыры».
Другой способ — найти уязвимость в скрипте, срабатывающем при загрузке баннера. Изменив этот скрипт, можно отобразить на экране пользователя дополнительный баннер, встроить вредоносный код прямо в текущую страницу, либо автоматически перевести его на вредоносный ресурс.
У таких атак есть еще одна особенность, унаследованная от онлайн-рекламы — таргетированность. Один и тот же сайт может заразить машину одного пользователя и обойти стороной другого. К примеру, злоумышленник проводит атаку против пользователей из конкретной страны, пользующихся конкретной ОС, браузером или другим ПО или же выбирает какое-то конкретное время суток для проведения своей «рекламной кампании». Из-за такой непредсказуемости исследователям не всегда удается оперативно выявлять такие атаки. Кроме того, довольно часто злоумышленники внедряют вредоносный код не сразу после размещения баннера, а спустя какое-то время. Это позволяет усыпить бдительность администрации рекламной сети или площадки. Атаки часто проводятся в выходные дни, когда большая часть IT-персонала инфицированного ресурса не может оперативно отреагировать на них.
