Краткая история скликивающих рекламу ботов

Скликивание рекламы яндекс гугл защита

Боты-кликеры с самого начала были занозой для PPC-маркетологов. Эти надоедливые автоматические обманщики крадут деньги из рекламных бюджетов компаний и в последние годы становятся все более изощренными. Сегодня мошенничество с кликами обходится рекламодателям более чем в 23 миллиарда долларов ежегодно (и объем потерь продолжает расти).

В этой статье мы рассмотрели некоторые из самых известных примеров таких клик-ботов, некоторые из самых известных вредоносных кампаний и то, как все менялось за эти годы.

Что такое клик-бот?

Эти боты, автоматически кликающие по рекламе, представляют собой небольшие программы, которые предназначены для того, чтобы “нажимать” на то, что нужно мошеннику. В случае мошенничества с рекламой с оплатой за клик (т.н. скликивание) основное внимание уделяется, соответственно, PPC-рекламе (медийная реклама, видео или текст/результаты поиска), которая обычно показывается на веб-сайте, принадлежащем мошеннику.

Идея состоит в том, что мошенник затем получает выплаты за клики (или показы видео) по объявлениям, размещенным на его сайте.

Сами боты технически представляют собой тип вируса или трояна, обычно встраиваемого в подключенное к Интернету устройство, такое как компьютер, планшет, сервер или мобильный телефон.

Будучи встроенными в устройство, они могут быть использованы как часть сети, чтобы массово нажимать на эти объявления. Или они могут осуществлять локализованное мошенничество с кликами, например, в приложении (известное как внедрение кликов или клик-спам).

Какой бы ни была техника, каждый клик по рекламе стоит какому-либо рекламодателю немного денег…

О мошенничестве с кликами известно, по крайней мере, с начала 2000-х годов, а сама реклама с платой за клик стала использоваться примерно с 1996 года. Но когда мошенничество с кликами или рекламное мошенничество стало такой проблемой, которой оно является сейчас?

Мошенничество с кликами (скликивание) до 2006 года

Большинство упоминаний о мошенничестве с кликами до 2006 года связано с практикой размещения рекламы на некачественном сайте (или сайтах) с последующим массовыми ручными кликами по ним для получения выплат.

Как правило, это было довольно просто: мошенники-издатели регистрировали свой низкокачественный сайт в Google AdSense, а затем сами нажимали на рекламу (или нанимали кого-то, кто делал это за них).

Уже в 2003 году были упоминания о ботах, которые нажимают на такие объявления, но большая часть информации была основана на предположениях и опосредованных исследованиях. Но зная, что существует большая проблема с мошенничеством с кликами и рекламным мошенничеством, уже тогда Google создал специальную команду для решения этой растущей проблемы.

Мошенничество с кликами (скликивание) конкурентов также было проблемой с первых дней оплаты за клик, и сегодня эта практика стала обычным явлением. Таким образом, распространение клик-ботов стало вопросом времени.

Clickbot A

  • Годы деятельности: 2006
  • Ориентировочные потери: 50 000 долларов
  • Предполагаемое количество заражений: 100 000 компьютеров.

Еще в 2006 году Google обнаружил некотое вредоносное ПО, которое использовалось для «проведения малозаметных мошеннических атак с кликами против синдицированных поисковых сетей».

Проще говоря, Clickbot A ориентировался на результаты поиска на сайтах, которые использовали Google для показа спонсируемых результатов. Считалось, что около 100 000 компьютеров были подключены к этому ботнету.

Clickbot A, возможно, является первым реальным доказательством существования кликеров, работающих с PPC-рекламой, как минимум первым публичным упоминанием о настоящем рекламном кликере.

По оценкам Google, Clickbot A был ответственен за мошенничество на сумму 50 000 долларов. Мелочь для многих современных корпоративных маркетологов. Но, как мы увидим, это относительно малая величина по сравнению с теми потерями, что нанесли его последователи.

DNSChanger

  • Годы деятельности: 2007 – 2011
  • Ориентировочные потери: 14 миллионов долларов
  • Предполагаемое количество заражений: 4 миллиона компьютеров (как Windows, так и macOS).

DNSChanger, созданный и распространяемый командой эстонцев и россиян, работавших в группе под названием Rove Digital, вероятно, является одним из первых известных судебных дел против сети, занимающейся мошенничеством с рекламой. Владимир Цастин был осужден за мошенничество с использованием электронных средств связи и отмывание денег.

Этот ботнет работал при помощи заражения веб-браузеров (обычно Microsoft Internet Explorer) и последующего изменения веб-адресов на зараженных устройствах на домены, принадлежащие банде. Затем браузер отображал рекламу, которая приносила комиссию мошенникам из Rove Digital.

Ботнет DNSChanger работал около 4 лет, и помимо клик-ботов были доступны такие функции, как предотвращение обновлений антивируса, которые, возможно, помогли ему работать еще дольше.

Miuref

  • Годы деятельности: 2013 – настоящее время
  • Ориентировочные потери: неизвестно
  • Предполагаемое количество заражений: неизвестно

Этот бот, также известный как Boaxxe, больше, чем просто бот для скликивания рекламы. Как троянец, часто доставляемый с помощью хитрых вложений, таких как поддельные документы, Miuref использовался в различных атаках в области онлайн-мошенничества.

Самое известное применение Miuref – использование его разрушительного эффекта в рамках кампании ботнета 3ve (подробнее об этом чуть позже). Но его также использовали для удаленного майнинга биткойнов, кражи данных и взлома компьютеров через известные уязвимости.

Хотя он идентифицирован и может быть удален с помощью антивирусного программного обеспечения, Miuref продолжает оставаться проблемой и быстро распространяется.

Неясно, какой именно финансовый ущерб был причинен Miuref, поскольку он часто используется в ботнетах вместе с другим ПО. И поскольку это не именно бот-кликер для мошенничества с рекламой, потери от его деятельности могут исчисляться миллиардами долларов.

Stantinko

  • Годы работы: 2012 – настоящее время
  • Ориентировочные потери: неизвестно
  • Предполагаемое количество заражений: 500 000+ компьютеров

Еще один многоцелевой ботнет, Stantinko, был идентифицирован как стоящий за рядом кампаний по скликиванию рекламы, но недавно перешел на крипто-майнинг.

Для заражения системы операторы Stantinko вводят в заблуждение пользователей, которые ищут пиратское ПО и загружают исполняемые файлы, иногда замаскированные под торренты. Stantinko специализируется на рекламном мошенничестве, но выделяется на общем фоне технической сложностью. Шифрование кода и оперативная адаптация для защиты от обнаружения антивирусами позволили операторам Stantinko оставаться вне зоны видимости как минимум на протяжении пяти лет.

Однако этот клик-бот довольно универсален и способен устанавливать дополнительное рекламное ПО, получать доступ к сайтам WordPress и Joomla, и даже выполнять поиск в Google.

Stantinko поражает в основном Россию и Украину, но также был обнаружен в системах и за пределами этих стран.

Bamital

  • Годы деятельности: 2009 – 2013
  • Ориентировочные потери: 700 000 долларов в год
  • Предполагаемое количество заражений: до миллиона настольных компьютеров

Обнаруженный Microsoft в начале 2013 года, Bamital был вредоносной программой, которая использовала хитроумную форму перехвата результатов поиска для совершения скликивания рекламы. Пользователи Bing, Yahoo и Google нажимали на результаты поиска, но перенаправлялись на объявления или страницы со встроенным в них вредоносным ПО.

Какое-то время Bamital оставался незамеченным из-за его способности прятаться на веб-страницах и устанавливаться через drive by-загрузки. Посетители сайтов без ведома получали обновления (обычно для своего веб-браузера) или загрузки с зараженных сайтов, которые и содержали вирус.

Считалось, что ботнет Bamital приносил своим операторам около 1 миллиона долларов в год.

Chameleon

  • Годы деятельности: 2013
  • Ориентировочные потери: около 6 миллионов долларов в день
  • Предполагаемое количество заражений: 120 000 настольных компьютеров.

Ботнет Chameleon был одним из первых идентифицированных клик-ботов, имитирующих поведение пользователя. Он также был новаторским в том, что ориентировался на медийную рекламу, а не на текстовую, которая была стандартом на тот момент.

Несмотря на эти новые функции, Chameleon на самом деле был относительно простым ботом. Он выполнял “случайную” серию кликов и скролов на чуть более 200 сайтах.

Однако Chameleon давал чуть более половины доходов от рекламы на этих 200 сайтах.

Kovter

  • Годы деятельности: 2014 – настоящее время
  • Ориентировочные потери: неизвестно
  • Предполагаемое количество заражений: неизвестно

Kovter, еще один ботнет для скликивания рекламы, который использовался в крупных кампаниях и который все еще работает. Как и другие долговечные вредоносные программы, Kovter прячется в другом ПО.

Это умный бот для кликов наносит урон, когда система находится в «спящем» или «ждущем» режиме. Kovter также может выключаться при сканировании системы, что затрудняет его обнаружение стандартными антивирусными сканерами.

Methbot

  • Годы деятельности: 2015 – 2017
  • Ориентировочные потери: в пике 3 миллиона долларов в день
  • Предполагаемое количество заражений: 1 900 выделенных серверов с 852 000 ложных IP-адресов

Один из самых известных ботнетов, занимающихся мошенничеством с рекламой, Methbot использовал сеть зараженных серверов для имитации веб-сайтов и создания поддельных показов видеорекламы. Считается, что банда, стоящая за Methbot, зарабатывала до 3 миллионов долларов каждый день на поддельных показах.

Хотя, как мы уже видели, в мошенничестве с рекламой нет ничего нового, уникальной особенностью Methbot была его способность придавать поддельному инвентарю вид действительно премиальных ресурсов.

Огромный объем мошенничества, совершаемого Methbot, попал в заголовки газет и напугал сообщество цифрового маркетинга. Сегодня он по-прежнему является эталоном для кампаний по мошенничеству с кликами, хотя его ближайший родственник, 3ve, вскоре и заменил Methbot в качестве крупнейшей мошеннической сети.

3ve (Eve)

  • Годы деятельности: 2017 – 2018
  • Ориентировочные потери: не менее 29 миллионов долларов
  • Предполагаемое количество заражений: 1,7 миллиона взломанных компьютеров

Когда ФБР закрыло Methbot, на первый план вышла новая, более крупная сеть для мошенничества с рекламой. На самом деле 3ve по большей части управлялся той же командой, что и Methbot, но сложность этой схемы рекламного мошенничества была действительно впечатляющей.

В основном используя существующие рекламные боты-кликеры, такие как Kovter и Miuref, 3ve смогла обеспечить еще больше показов видео. И еще одна умная функция –  3ve удавалось работать несмотря на файл ads.txt, фактически используя списки ads.txt для подделки инвентаря.

Выяснилось, что за этой огромной аферой стояла группа граждан России и Казахстана, заработавшая около 29 миллионов долларов.

HyphBot

  • Годы деятельности: 2017
  • Ориентировочные потери: до 1,2 миллиона долларов в день
  • Предполагаемое количество заражений: не менее 500 000 компьютеров в США, Великобритании, Нидерландах и Канаде

Еще один рекламный кликер, которому удалось обойти файл ads.txt, HyphBot, как предполагалось, был примерно в 3 или 4 раза больше, чем Methbot.

Используя списки сайтов ads.txt, HyphBot мог создавать составные доменные имена, которые в основном использовались для фиктивных показов видеообъявлений. И снова организаторы HyphBot использовали существующие ботнеты в качестве своих рекламных кликеров.

HyphBot проработал относительно короткий промежуток времени, прежде чем вышел из строя, но даже за это время он успел получить миллионы долларов от мошеннических показов рекламы.

DrainerBot

  • Годы деятельности: 2018 – 2019
  • Ориентировочные потери: неизвестно
  • Предполагаемое количество заражений: обнаружено не менее 10 миллионов случаев заражения

Показательный пример того, что мошенничество с кликами и рекламное мошенничество продолжает развиваться. DrainerBot – это ботнет, встроенный в SDK для Android. Этот SDK использовался для создания сотен или тысяч приложений, многие из которых содержали код DrainerBot.

DrainerBot обошел проверки Google Play Protect, став активным только после обновления, в котором была обнаружена основная часть вредоносного ПО. После этого приложения стали просматривать видеорекламу в фоновом режиме, используя при этом много данных и заряд аккумулятора.

Из-за того, что вирус использовал до 10 ГБ трафика в месяц и быстро растрачивал заряд батареи, он и получил название DrainerBot. Все приложения, идентифицированные как содержащие DrainerBot, были удалены из Play Store, но, возможно, этот рекламный бот-кликер все еще присутствует там…

404Bot

  • Годы деятельности: 2018 – настоящее время
  • Ориентировочные потери: не менее 15 миллионов долларов
  • Предполагаемое количество заражений: неизвестно

Еще один ботнет, нацеливающийся на слабые ссылки в ads.txt, этот кликер подделывает домены аналогично HyphBot. Фактически, похоже, что 404 Bot способен применять несколько различных превентивных методов защиты и продолжает истощать маркетинговые бюджеты, пока вы читаете статью.

Учитывая, что по состоянию на февраль 2020 года ущерб от его деятельности оценивался в 15 миллионов долларов, конечные потери сейчас оценить трудно.

Tekya

  • Годы деятельности: 2019 – 2020
  • Ориентировочные потери: неизвестно
  • Предполагаемое количество заражений: не менее 56 приложений с более чем 1 миллионом загрузок.

Этот рекламный кликер был спрятан как минимум в 56 приложениях для Android, в основном в играх, предназначенных для детей, плюс в нескольких утилитах. Подобно DrainerBot, Tekya взаимодействовал с рекламой без ведома пользователя устройства.

С более чем 1 миллионом загрузок, предполагается, что Tekya использовался для  рекламного мошенничества как минимум с мая 2019 года. Tekya использовал вредоносную программу-кликер под названием Haken, которая способна имитировать поведение пользователя и нажимать как на видимую, так и на невидимую рекламу на экране устройства. 

Будущее кликфрода и мошенничества с рекламой

Приложения и программное обеспечение, совершающие мошеннические действия с кликами (скликивание), продолжают оставаться проблемой для маркетологов, которой не видно конца, несмотря на несколько инициатив, направленных на ее решение.

Эти клик-боты способны совершать невероятные объемы мошенничества за относительно короткий промежуток времени, при этом даже кампании по мошенничеству с рекламой, длящиеся всего несколько месяцев, приносят сотни тысяч долларов.

Маркетологам, которые хотят заблокировать фальшивые взаимодействия со стороны этих клик-ботов, часто приходится играть в догонялки. Так что можно сделать?

Есть способы вручную заблокировать мошенничество с кликами в ваших PPC-объявлениях. Но самый простой способ – использовать программное обеспечение для защиты от мошенничества с кликами, такое как clickfraud.ru. А с помощью бесплатной пробной версии еще до регистрации вы можете точно узнать, сколько ложных кликов получают ваши объявления.

Убедитесь, что по вашей PPC-рекламе кликают только люди, а не боты-кликеры или работники клик-ферм.