Spotify

Les listes de lecture et podcasts Spotify sont utilisés à mauvais escient pour diffuser des logiciels piratés, des codes de triche de jeux, des liens de spam et des sites « warez ».

En injectant des mots-clés et des liens ciblés dans les noms de playlists et les descriptions de podcasts, les acteurs malveillants peuvent bénéficier d’un meilleur référencement pour leurs propriétés en ligne douteuses, puisque les résultats du lecteur Web de Spotify apparaissent dans les moteurs de recherche comme Google.

Table des matières hide
1 Listes de lecture Spotify poussant warez
2 Avantage supplémentaire : référencement pour les sites de spam
3 Les « épisodes » de podcast utilisent la parole synthétisée
4 Ensuite : les astuces de jeu et les mods « GTA V »
5 Publié via des services de distribution de podcasts tiers

Listes de lecture Spotify poussant warez

Lorsqu’ils abusent des plateformes, les spammeurs et les escrocs ne ménagent aucun effort pour promouvoir leur programme.

Publicité

Plus récemment, une playlist Spotify intitulée « Sony Vegas Pro 13 Crack… » est apparue pour générer du trafic vers un ou plusieurs sites de logiciels « gratuits » répertoriés dans le titre et la description de la playlist.

Les termes « warez » ou « crack » sont fréquemment utilisés dans la culture informatique pour désigner des logiciels bootlegs ou piratés circulant sur internet, souvent sur des sites peu fiables.

Il n’y a aucune garantie que tenter de télécharger des produits logiciels contrefaits à partir de tels sites Web, ou des « torrents », sera sans risque, car ceux-ci pourraient être des logiciels malveillants ou conduire les utilisateurs vers de faux sites « d’enquête » qui sont des escroqueries.

Les utilisateurs qui téléchargent de tels « warez » peuvent en effet, à l’occasion, recevoir le logiciel annoncé sur des sites Web suspects sans payer de frais, mais peuvent sans le savoir se retrouver avec des virus, des logiciels publicitaires ou d’autres programmes indésirables cachés dans la version « craquée » de le logiciel.

Avantage supplémentaire : référencement pour les sites de spam

Nous avons observé que la pollution par le spam de plateformes fiables et très populaires comme Spotify, pour les acteurs malveillants, a pour effet secondaire de renforcer le classement de leurs sites Web douteux dans les moteurs de recherche.

Ceux qui recherchent des mots clés tels que « téléchargement gratuit » combinés avec « Sony Vegas Pro 13 » ou d’autres produits logiciels peuvent se voir présenter les résultats Google suivants :

Les podcasts et listes de lecture Spotify apparaissent dans les résultats de recherche
Les listes de lecture et podcasts Spotify apparaissent dans les résultats de recherche (Ordinateur qui bipe)

Ceci est rendu possible car, en plus des applications mobiles et de bureau, Spotify propose une version de lecteur Web sur ouvert.spotify.com. Les playlists et podcasts disponibles sur le lecteur Web sont, comme pour tout site Web, explorés par les moteurs de recherche comme Google.

Cela signifie que les sites Web de logiciels « libres » illicites ont désormais une plus grande visibilité et une plus grande chance de générer du trafic vers leurs serveurs, qui sont souvent criblés de publicités, de spam, de fausses « enquêtes » et de cadeaux cryptographiques sur lesquels il faudrait naviguer. à, peut-être, pouvoir enfin télécharger un produit logiciel cracké, ce qui est encore une fois forcément risqué.

Nous avons demandé à Spotify s’il disposait de contrôles ou de technologies automatisées pour détecter et prévenir le spam, et si des applications ou services Spotify tiers étaient abusés pour introduire du contenu de spam sur la plate-forme.

Spotify a supprimé la playlist et le podcast « Sony Vegas Pro » et son porte-parole a répondu :

« Le titre de la playlist en question a été supprimé », a informé Spotify à BleepingComputer.

« Spotify Règles de la plateforme interdire la publication, le partage ou la fourniture d’instructions sur la mise en œuvre de logiciels malveillants ou de pratiques malveillantes connexes qui cherchent à nuire ou à obtenir un accès non autorisé aux ordinateurs, réseaux, systèmes ou autres technologies.

Nous n’avons pas obtenu de réponse à nos autres questions.

Les « épisodes » de podcast utilisent la parole synthétisée

BleepingComputer a découvert que le problème de spam de Spotify ne se limitait pas aux listes de lecture faisant la promotion de liens vers des logiciels piratés, mais aussi au contenu numérique bootleg en général, y compris les livres électroniques.

Par rapport aux listes de lecture, nous avons observé des cas bien plus nombreux de faux podcasts, chacun comportant plusieurs « épisodes », publiés dans l’intention apparente de promouvoir des liens de spam, des « torrents » et des chaînes Telegram qui semblent être des escroqueries.

Plusieurs podcasts et playlists Spotify faisant la promotion de livres électroniques numériques piratés
Plusieurs podcasts et listes de lecture Spotify faisant la promotion d’ePubs et de livres électroniques PDF (Ordinateur qui bipe)
Podcasts Spotify frauduleux faisant la promotion d'ebooks et de torrents
eBook et podcasts « torrent » sur Spotify (Ordinateur qui bipe)

Ces « épisodes » durent environ dix à vingt secondes et comprennent de l’audio vocal synthétisé qui incite les utilisateurs à visiter le « lien dans la description ». Un de ces épisodes est transcrit ci-dessous :

« Bonjour les téléspectateurs, bienvenue sur ma chaîne, j’ai de bonnes nouvelles de ma part, si vous souhaitez télécharger ou écouter des livres audio de cette chaîne, veuillez cliquer sur le lien dans la description et inscrivez-vous là-bas, vous obtiendrez un accès illimité aux livres, veuillez suivre moi, je recherche plusieurs options de livres électroniques et de livres audio. Merci d’être venu sur ma chaîne, salutations chaleureuses de ma part.

Ces liens mènent à une page comportant des boutons « télécharger » ou « lire en ligne » à côté de l’image de couverture numérique du livre annoncé. Cependant, cliquer sur l’un ou l’autre bouton tente soit de lancer une enquête, soit pire, de diriger les utilisateurs vers Extensions Chrome fragiles « blocage des publicités » qui peut plutôt collecter vos données :

Extensions d'annonces Adblock
Annonces d’extension Chrome « adblock » douteuses (Ordinateur qui bipe)

Ensuite : les astuces de jeu et les mods « GTA V »

De même, certains podcasts que nous avons découverts prétendait proposer des codes de triche de jeu pour des titres à succès comme Apex Legends, des hacks Fortnite, des scripts Roblox, des « mods GTA V » et des entraîneurs.

codes de triche
La description du podcast contient des mots-clés pour les astuces et les hacks de jeu (Ordinateur qui bipe)

Le texte « Codes de triche gratuits » dans la description de cet exemple d’épisode était cliquable et conduisait à un tricheur.ninja site web:

Site Web de Cheater Ninja diffusé via des podcasts
Un site Web de triche de jeux « Cheater.ninja » diffusé via des podcasts (Ordinateur qui bipe)

Publié via des services de distribution de podcasts tiers

Il est intéressant de noter que même si des plateformes comme Spotify peuvent disposer de technologies automatisées et de barrières limitant les noms ou descriptions de listes de lecture non valides, les applications et services tiers constituent un autre vecteur de menace sur lequel les acteurs peuvent s’introduire pour mettre le pied.

Un dénominateur commun parmi de nombreux « podcasts », même s’ils ne sont pas tous, était l’utilisation de services tiers qui fournissent des services d’hébergement, de publication et de distribution aux producteurs de podcasts sur des plateformes de streaming, notamment Spotify.

Nous avons remarqué un « Propulsé par l’hébergement Firstory« bannière ajoutée à la zone de description de ces podcasts.

Lancé en 2019, Première histoire est un service en ligne conçu pour « permettre aux podcasteurs du monde entier de diffuser partout et de commencer à se connecter avec le public ! »

On peut utiliser Firstory pour publier des podcasts sur Spotify, mais la plateforme reconnaît que le spam est un problème persistant qu’elle s’efforce de réduire.

« Les comptes et le contenu de spam constituent des défis permanents, et c’est quelque chose que nous continuons à améliorer », a écrit Stanley Yu, co-fondateur de Firstory, à BleepingComputer en réponse à nos questions.

« Tout le monde peut utiliser notre plateforme pour publier des podcasts sur Spotify. Cependant, nous avons mis en place certains filtres pour empêcher les comptes d’utiliser des domaines frauduleux spécifiques ou des adresses e-mail contenant des variantes telles que compte+.[numbers]@gmail.com ou ‘.’ dans les e-mails. »

« Ces comptes de spam violent non seulement les droits des créateurs que nous apprécions le plus, mais ils augmentent également nos coûts opérationnels. »

« Nous avons consacré des ressources considérables pour résoudre ce problème. »

Yu a expliqué que les mesures de sécurité en place incluent la vérification et le blocage des e-mails ; c’est-à-dire effectuer « une série de vérifications pour bloquer les adresses e-mail suspectes ou frauduleuses pendant le processus d’enregistrement du compte ».

De plus, la plateforme travaille en étroite collaboration avec Spotify et, selon Yu, examine et signale rapidement tout contenu contrefait détecté.

« Nous avons également une intégration API avec Spotify pour supprimer tout contenu signalé. »

« Nous analysons les titres des podcasts et affichons des notes pour des mots-clés spécifiques comme EPUB, PDF, etc., afin d’empêcher l’hébergement de contenu contenant du spam. Un défi ici est que certains épisodes utilisent des variantes telles que « EPUB » ou contiennent des termes comme « epub » dans des termes sans rapport. contextes (par exemple, « république »). Ces cas nécessitent une attention particulière lors de notre processus d’examen », a conclu Yu.

Qu’il s’agisse d’insérer des liens « manuscrits » dans des profils de rencontres ou de détourner des sites Web gouvernementaux et universitaires, des acteurs sans scrupules ont utilisé à plusieurs reprises de nouvelles tactiques pour diffuser des contenus indésirables auprès des masses. Et maintenant, ils ne vous laisseront pas non plus en paix avec votre musique préférée.

5/5 - (116 votes)
Publicité
Article précédentPokemon Gold And Silver reçoit de superbes produits dérivés pour son 25e anniversaire
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici