Скликивание рекламы: как можно побороть преступления стоимостью 5.8 млрд. долларов

скликивание рекламы яндекс гугл

Тамер Хассан почти параноик. Иногда он каждую неделю проводит полную очистку всех своих мобильных устройств. Он знает гораздо больше, чем большинство из нас, о том, на что способны киберпреступники, и о идущем сражении в области мошенничества с рекламой.

Хассан является одним из соучредителей White Ops, компании, занимающейся кибербезопасностью и проверкой рекламы, именно его компания занималась раскрытием двух крупнейших операций по мошенничеству с рекламой в Интернете: Methbot в 2016 году и 3ve (произносится как Ив, Ева) в 2018 году. Хассан был CTO, когда обнаружил особенно устойчивый тип ботнета в 2017 году — призрак Methbot, который потом быстро превратился в 3ve. Он руководил проектом по разоблачению 3ve от начала до конца, и ему приписывается роль главы глобального консорциума по его устранению. За свою работу Хасан был назначен на должность исполнительного директора White Ops в апреле 2019 года.

Поскольку цена мошенничества с рекламой (скликивание, кликфрод и т.п.) стремительно выросла, правоохранительные органы начали интересоваться этой областью. По мнению Хассана, после исторического участия Федерального бюро расследований США в уничтожении Methbot в 2016 году, правительственные киберкоманды и юристы США теперь должны изучить, как работает программатик реклама, чтобы они могли вмешиваться и принимать меры еще раньше. Тот факт, что правоохранительные органы занимаются повышением квалификации в adtech, показывает серьезность проблемы, но рекламодатели все еще не воспринимают это достаточно серьезно, считает он.

Но есть надежда. Впервые в этом году больше мошенничества будет остановлено, чем будет реализовано — это результат того, что платформы спроса (DSP) и платформы предложения (SSP) фильтруют мошеннические запросы в торгах, возвращают деньги и осуществляют другие превентивные меры. По оценкам White Ops, без таких мер потери могли бы составить 14 миллиардов долларов в год.

За кулисами

Относительно плохо квалифицированные мошенники осуществляют скликивание с помощью ферм устройств в центрах обработки данных. Сотням устройств приказывают повторять такие действия, как клики, регистрации, установки и действия, чтобы создать иллюзию законной деятельности. Фермы устройств все еще являются обычной практикой, но их легко обнаружить и, следовательно, они имеют короткий срок службы.

Основанные на вредоносных программах бот-сети, которые заражают устройства, используемые реальными людьми, по своей природе намного лучше маскируются под людей. У них есть реальный идентификатор устройства и реальная история. Три четверти мошеннической активности, которую отслеживает White Ops, происходит от ботов.

“Вопрос всегда в том, чтобы быть похожим на миллион людей”, — объясняет Хассан. “Как только ты выглядишь как миллион людей, ты можешь делать в интернете много вещей — мошенничество с рекламой является одним из самых успешных”.

Methbot и 3ve притворялись настоящей аудиторией, а также подделывали инвентарь, чтобы похищать рекламные доллары. Ботнет 3ve генерировал три миллиарда запросов на просмотр рекламы в сутки и похитил более 29 миллионов долларов на кликфроде до того, как его отключили в прошлом году. Полные потери от Methbot неизвестны, но, по оценкам, он генерировал 400 миллионов показов в день на поддельных веб-сайтах при средней цене 13 долларов за тысячу показов, что дает примерную оценку в 5.2 миллиона долларов ежедневных убытков.

3ve получил контроль над 1.7 миллионами уникальных IP-адресов — это компьютеры, зараженные вредоносными программами Boaxxe/Miuref и Kovter, а также IP-адреса, захваченные через BGP hijacking. Вредоносное ПО, используемое 3ve, существует уже почти десять лет, оно использовалось для массы преступных действий — от кликфрода до вымогательств. Троян распространялся через вложения электронной почты и скачиваемые файлы. Со временем вредоносное ПО стало более изощренным и стало защищаться от обнаружения. Перед мошенничеством с рекламой оно проверяло геолокацию, наличие программного обеспечения для обеспечения безопасности, работу виртуальных частных сетей или прокси-серверов, которые обычно используются в изолированной программной среде при изучении вирусов.

“Встроенные средства защиты от обнаружения были настолько продвинуты, что их даже было невозможно понять, потому что авторы заранее предусмотрели это”, — объясняет Хассан.

На самом деле, программа стала настолько продвинутой, что следующие версии этого вредоносного ПО уже начинают “прорастать”, всего через несколько месяцев после того, как ботнет был уничтожен в ходе международной правоохранительной операции.

Methbot основывался не на вредоносных программах, а на центрах обработки данных. Впервые White Ops столкнулись с подобной деятельностью. За несколько лет разработчики получили или взяли в аренду почти миллион реальных IP-адресов и использовали их для генерации мошеннических рекламных кликов (скликивании), которые, по-видимому, поступали от законных провайдеров интернет-услуг в США, таких как Verizon и Comcast. Рекламные показы осуществлялись на более чем 6,000 поддельных сайтах.

Methbot также использовал передовые методы защиты, чтобы избежать обнаружения при осуществлении кликфрода — фальшивые движения мыши и даже информацию о входе в социальную сеть, чтобы создать впечатление, будто пользователь на самом деле залогинен в ней. В начале своего существования Methbot отправлял от трех до пяти миллиардов запросов на показ рекламы в день.

Развиваются не только технологии, которые лежат в основе мошенничества. Сама киберпреступность также стала более организованной. Хассан объясняет, что 10 лет назад вредоносное ПО часто запускалось одним человеком, который отвечал за все, от написания кода до отмывания денег. Но поскольку киберпреступность стала очень прибыльной, эта деятельность превратилась в бизнес. Сейчас целые команды управляют разными частями операции, а несколько человек наверху дергают за ниточки.

“Это почти как наркокартели, где у вас есть поставщики и дистрибьюторы, и это уже целая экосистема,  а значит она стала намного более устойчивой”, — объясняет Хассан. Вот почему когда Methbot вышел из строя, 3ve быстро заняла его место. Одни и те же люди стояли за обеими схемами.

“Это профессионалы, это их работа на полный рабочий день, и они зарабатывают намного больше денег, чем мы”, — продолжает он. “Они могут потерять миллионы долларов, если проиграют. Так что вы должны думать об этом с точки зрения адаптации. Как вы можете выиграть у такого противника?”

В основе пирамиды все еще есть начинающие, которые хотят быстро заработать в dark web, но не они не дают Хассану спать ночью.

Откуда происходит организованная преступная киберпреступность?

Methbot и 3ve начинались в России, но White Ops также видит много активности, происходящей из Китая.

Тем не менее, из-за закрытости рынка, Хассан говорит, что трудно определить, какая часть бот-активности является киберпреступностью, а какая “просто частью повседневного бизнеса в Китае”. Также сложно оценить объем кликфрода в стране. По оценкам Group M, мошенничество в Китае оценивается в 18.7 млрд. долларов, что составляет 83.4% от всего мошенничества с рекламой в мире, но некоторые специалисты отрасли подвергли сомнению эту цифру.

Если вы можете выглядеть как миллион людей, что вы можете сделать?

Ботнеты можно использовать для совершения различных действий, некоторые из которых являются более опасными, чем другие, но основным мотиватором всегда  являются деньги. Боты могут нажимать на рекламу (скликивать), слушать музыку, чтобы увеличивать гонорары, генерировать фальшивые лайки в социальных сетях, увеличивать загрузки в магазинах приложений или создавать фальшивые отзывы. Они могут совершать распределенные DDoS-атаки типа, в результате чего сервер или сайт переполняется трафиком и замедляется или вообще перестает работать. Но преступление, которое привлекло, возможно, наибольшее внимание в последние годы, — манипулирование выборами.

Хассан считает, что реальный уровень влияния ботов на выборы еще не оценен. В то время как продолжается расследование вмешательства России в президентские выборы 2016 года в США, раскрываются и другие случаи. В 2017 году миллионы фальшивых комментариев были размещены на портале Федеральной комиссии по связи, чтобы повлиять на голосование по нейтральности сети.

“Это было раскрыто, и это был относительно простой бот, который доставил лишь немного беспокойства”, — говорит Хасан. “Если бы это было что-то более сложное, мы, возможно, никогда бы не раскрыли этого. Поэтому вы должны задаться вопросом, скольких операций мы на самом деле не видим”.

Более поздние инновации в мошенничестве сосредоточены на контролировании мобильных телефонов. Вредоносные программы на телефонах могут генерировать фальшивые клики (скликивание, кликфрод) и доходы, расходовать заряд батареи и, в некоторых случаях, получать полный доступ к смартфону пользователя — теоретически это позволит копировать файлы или прослушивать микрофон.

Сложная “цепочка поставок” рекламы способствует мошенничеству

В то время как мошенничество с рекламой существует уже более 30 лет, недавнее усложнение цепочки поставок рекламы — от линейной до сложной, с тысячами посредников — обеспечило мошенников множеством темных углов, в которых можно скрыться.

Поскольку рекламодатели часто не знают точно, на каких сайтах они покупают показы, мошенникам относительно легко выдать себя за законных партнеров в этой экосистеме.

Обычно для этого использует подделка домена (domain spoofing). Суть этой техники в том, что мошенники выдавают некачественный инвентарь за премиальные сайты. Такая же практика применяется и к приложениям, называется она уже подделкой имени приложения (app name spoofing).

Неудивительно, что мошенничество с кликами (кликфрод, скликвание) в настоящее время дает 20-35% всех показов рекламы, согласно последнему отчету White Ops Bot Baseline. И поэтому растут защитные технологии — такие, как оптимизация путей поставки рекламы, которая помогает DSP оптимизировать и устранять непрозрачность в цепочках поставок.

Также в этом помогает инструмент Бюро интерактивной рекламы ads.txt, появившийся в 2017 году для защиты покупателей рекламы от незаконных продавцов. Ads.txt — это текстовый файл, в котором перечислены поставщики, которым издатель разрешил продавать свой инвентарь.

Этот инструмент стал “важным шагом” в сокращении количества возможностей у мошенников, но он “определенно не решает большую часть проблем”, предполагает Хассан.

“Он почти наверняка улучшил ситуацию в определенной степени, но не может отсеять профессиональных киберпреступников”, — говорит он. “Но поможет побороть других игроков — подростков в их подвалах, маленькие группы”.

Ads.cert, который будет использовать криптографические подписи для ставок, чтобы определить, принадлежит ли показ к правильному веб-сайту, добавит более комплексную защиту, отмечает Хассан, но платформа заработает лишь через несколько лет.

Хассан сравнивает инициативы, такие как ads.txt, с “построением стены вокруг вашего замка, который вы пытаетесь защитить, с ограничением количества точек входа, чтобы вы могли сосредоточить свои оборонительные усилия на них”. Но проблема такого подхода в том, что защита рекламной индустрии всегда будет отставать от действий мошенников.

“Это игра в кошки-мышки”, — добавляет Хассан.

В чем решение?

Хассан полагает, что единственным надежным способом пресечения мошенничества и киберпреступности является преодоление ее экономической эффективности.

“В тот момент, когда вы повысите стоимость мошенничества до уровня прибыли или даже превысите его, вы начнете уничтожать киберпреступников. Вот так мы и создаем наш механизм обнаружения мошенничеств — его обход стоит гораздо дороже”, — говорит он. “Это единственный способ победить”.

Использование коллективных действий отрасли и усиление криминальных последствий мошенничества также является сдерживающим фактором. Methbot и 3ve были первыми в истории крупномасштабными расследованиями ФБР в области мошенничества с рекламой, и много ресурсов было потрачено на поиск виновных.

“В большинстве случаев вы останавливаетесь на активном предотвращении и блокировании мошенничества; на самом деле закрытие “последней мили”, раскрытие преступления и определение виновного лица или компании, требует больших ресурсов”, — говорит Хасан. Вот почему рекламное мошенничество является одним из самых опасных преступлений в мире.

Страшно звучит, верно? Зная, что он имеет дело с постоянно развивающейся угрозой мошенничества с рекламой, Хассан смирился с неизбежностью стать его жертвой в какой-то момент.

“Я думаю, что неправильно думать, будто мы можем идеально защитить периметр. Я просто исхожу из того, что мои электронные письма, мои устройства скомпрометированы”, — говорит он. “Иногда я очищаю все устройство каждую неделю или каждый месяц. Но это, конечно, больше уже походит на паранойю”.