Cybercriminelen proberen internetgebruikers op allerlei manieren op advertenties, pop-ups en links te laten klikken. Onderzoekers hebben echter een manier gevonden waarbij dit op een zeer geraffineerde wijze gebeurt. De scam begint met gecompromitteerde sites die bezoekers naar malafide sites doorsturen.

Het gaat bijvoorbeeld om WordPress-sites die via kwetsbare plug-ins zijn gekaapt. Vervolgens wordt er kwaadaardige code aan de website toegevoegd die ervoor zorgt dat bezoekers automatisch naar een andere website worden doorgestuurd. Het kan dan gaan om websites met malvertising, advertentiefraude en helpdeskfraude. Het doorgestuurde verkeer kan fraudeurs duizenden dollars aan advertentie-inkomsten per maand opleveren, aldus antimalwarebedrijf Malwarebytes.

Om ervoor te zorgen dat doorgestuurde gebruikers ook op de advertenties klikken maken de fraudeurs gebruik van een sluwe truc. Zodra gebruikers worden doorgestuurd naar een malafide website verschijnt er een pop-up. Wanneer de gebruiker deze pop-up via de X-knop wil sluiten zorgt CSS-code ervoor dat de pop-up wordt verplaatst en de gebruiker onbedoeld op de advertentie klikt.

"De oplichters maken gebruik van CSS-code die de muiscursor monitort en reageert wanneer die over de X wordt bewogen. De timing is belangrijk om de click een paar milliseconden later op te vangen wanneer de advertentie in focus komt. Deze trucs worden geïmplementeerd om advertentie-inkomsten te maximaliseren, aangezien de inkomsten van advertentieclicks veel hoger is", aldus onderzoeker Jerome Segura.

Volgens Segura laten dergelijke aanvallen zien dat webmasters kwetsbaarheden in hun website en gebruikte plug-ins snel moeten patchen. In het geval van ernstige kwetsbaarheden kunnen die na het bekend worden al binnen enkele uren worden aangevallen. De overgenomen websites zijn vervolgens op allerlei manieren door criminelen te verzilveren.