Avrupa Medyasına Sızan “Doppelganger” Ağı Deşifre Edildi
Kasım 2024’te güvenlik firması Qurium tarafından yayımlanan bir araştırma, Kremlin destekli “Doppelganger” adlı dezenformasyon ağının, Avrupa medyasına sahte haberlerle sızdığını ortaya koydu. Araştırmaya göre bu ağ, ziyaretçileri sahte içeriklere yönlendirmeden önce bir dizi alan adı üzerinden yönlendiriyor ve gelişmiş bir “alan adı gizleme” teknolojisi kullanıyor. Bu yöntem, sahte sitelerin arama motorlarına farklı, kullanıcılara farklı içerik göstermesine olanak tanıyor. Böylece sahte içerikler daha uzun süre yayında kalabiliyor.
Daha da dikkat çekici olan, bu altyapının yalnızca dezenformasyon için değil; çevrim içi flört siteleri, dolandırıcılık kampanyaları ve kötü amaçlı yazılım yayımı için de kullanıldığı ortaya çıktı.
“Breaking Bad” Temalı Reklam Ağı: LosPollos
Qurium’un bulgularına göre bu sahte trafik, “LosPollos” ve “TacoLoco” adlı iki reklam ağı üzerinden dağıtılıyor. Özellikle LosPollos, popüler dizi Breaking Bad’e gönderme yapan marka ögeleriyle dikkat çekiyor. Bu ağ, kötü amaçlı bağlantılarını genellikle güvenlik açıkları bulunan WordPress sitelerine yerleştiriyor. Kullanıcıların bu sahte reklamlara tıklaması ise dolandırıcılara küçük komisyonlar kazandırıyor.
Sahte CAPTCHA’larla Bildirim Tuzağı
TacoLoco ise kullanıcıları tarayıcı bildirimlerini açmaları için kandırıyor. Bunun için “CAPTCHA” görünümünde sahte bildirim istekleri sunuluyor. Kullanıcı onay verdikten sonra, sistemlerine virüs uyarıları ve yanıltıcı mesajlar yağdırılıyor.
GoDaddy’nin 2024 yıl sonu raporuna göre, geçen yıl ele geçirilen sitelerin yaklaşık %40’ı bu ağlar üzerinden yönlendirme yaptı.
İsviçre ve Çekya Merkezli Ağ: Adspro Group
LosPollos ve TacoLoco’nun arkasında, İsviçre ve Çekya’da kayıtlı olan Adspro Group adlı şirketin olduğu tespit edildi. Şirketin CEO’su Giulio Vitorrio Leonardo Cerutti, bu ağlarla bağlantısını reddetse de, altyapı, geliştirici firma (Holacode) ve hizmet sağlayıcılar doğrudan Cerutti’ye bağlanıyor. “Spamshield” adlı uygulama ise sözde istenmeyen bildirimleri engelliyor, ancak kullanıcılardan daha sonra ödeme talep ediyor.
Yeni Marka, Yeni Yönlendirme Ağı
Araştırmaların ardından LosPollos bildirim hizmetini durdurdu ve Adspro Group, adını “Aimed Global” olarak değiştirdi. Ancak saldırılar bitmedi. Mart 2025’te GoDaddy, “DollyWay” adlı kötü amaçlı yazılımın, yıllardır VexTrio’ya trafik yönlendirirken bir anda “Help TDS” adlı başka bir sisteme geçiş yaptığını duyurdu. Infoblox’un analizine göre, Help TDS, en az dört farklı Rus menşeli reklam ağıyla bağlantılı: Partners House, BroPush, RichAds ve RexPush.
Karanlık Reklam Teknolojisi Ne Kadar Tehlikeli?
Infoblox’un tehdit istihbaratı direktörü Renee Burton’a göre bu tür reklam ağları yalnızca can sıkıcı reklamlar sunmuyor; aynı zamanda dolandırıcılık, bilgi hırsızlığı ve zararlı yazılımlar da taşıyor. Her yıl yüz binlerce web sitesi bu tür sistemlerle ele geçiriliyor.
“Bu ağlar, tüketicilere milyarlarca dolara mal olan dolandırıcılıkların temel taşı. Rus organize suç örgütlerinin bu reklam teknolojilerini kontrol ettiği açık.” – Renee Burton, Infoblox
Kendinizi Nasıl Koruyabilirsiniz?
Tarayıcı bildirimleri çoğu zaman yararlı olabilir ancak sahte bildirimlerden korunmak için bu özelliği kapatmanız öneriliyor. İşte popüler tarayıcılarda bildirimleri devre dışı bırakma yöntemleri:
Firefox: Ayarlar > Gizlilik ve Güvenlik > Bildirimler > Ayarlar > “Yeni istekleri engelle” seçeneğini işaretleyin.
Chrome: Ayarlar > Gizlilik ve Güvenlik > Site Ayarları > Bildirimler > “Sitelerin bildirim göndermesine izin verme.”
Safari: Ayarlar > Web Siteleri > Bildirimler > “Bildirim izni isteyen sitelere izin ver” seçeneğini kapatın.
