Все, что вам нужно знать о центрах обработки данных и мошенничестве с рекламой

скликивание рекламы хостинг провайдеры и дата центры

Дата-центры играют фундаментальную роль в нашем обществе и цифровой экономике. Все, что происходит в сети, размещается в дата-центре. В этих зданиях, заполненных серверами и другим цифровым оборудованием, хранятся видео и другие файлы, работает важное программное обеспечение, а данные передаются между различными сетями, которые образуют центр распределения данных. Наибольшее количество центров обработки данных приходится на крупнейшие облачные и интернет-компании, включая Amazon, Microsoft, Google и Facebook. Например, новый сайт, объявленный Facebook, создающий 100 рабочих мест, должен открыться в 2022 году в США, которые являются ведущим местом расположения центров обработки данных, за которым следует Китай. Сейчас в мире существует более 500 гипермасштабируемых центров обработки данных.

Однако с развитием центров обработки данных онлайн-мошенничество и мошенничество с рекламой (скликивание, кликфрод) стали процветать. Использование в качестве оружия трафика центров обработки данных представляет собой большую часть роста мошенничества с рекламой, которое обходится онлайн-маркетологам в 23 миллиарда долларов в год.

Например, используя данные CHEQ, мы видим, что почти 50% атак мошенничества с рекламой в Интернете связаны с трафиком ботов центра обработки данных. В этом посте мы подробнее рассмотрим, как операторы ботов используют трафик центра обработки данных для разного рода мошенничества, используя ботов для скликивания рекламных бюджетов.

Что такое дата-центр?

Центр обработки данных – это объект, в котором размещено множество сетевых компьютеров, которые работают вместе для обработки, хранения и обмена данными. Большинство крупных технологических компаний в значительной степени полагаются на центры обработки данных как на центральный компонент в предоставлении онлайн-услуг. Интересно, что количество электроэнергии, потребляемой в крупном центре обработки данных, не уступает небольшому городу.

Мошенничество и центры обработки данных: связь

Компания MRC, контролирующая онлайн-рекламу, в своем руководстве на 2020 год требует, чтобы передовая практика обнаружения мошенничества включала удаление трафика центра обработки данных из рекламных кампаний в Интернете. По словам MRC, ваш провайдер должен обеспечивать «фильтрацию IP-адресов известных хостинговых организаций, определенных как постоянный источник нечеловеческого трафика; не включая артефакты маршрутизации законных пользователей или законного просмотра виртуальной машины ».

Центры обработки данных остаются популярными среди бот-создателей, поскольку они представляют собой простой и относительно недорогой способ скрыть незаконную деятельность. Это работает так: центры обработки данных имеют сеть серверов с собственными IP-адресами. Как правило, за выделение этих IP-адресов (фактически диапазонов IP-адресов) отвечают организации.

Бывают случаи, когда компании получают диапазон IP-адресов и предоставляют своим пользователям прокси-сервис. Есть сервисы, предлагающие использование нескольких десятков тысяч IP-адресов за несколько десятков долларов. Мошенники любят пользоваться такими сервисами, поскольку средства предотвращения скликивания, не позволяют пользователям делать слишком много запросов за короткий период времени. Таким образом, мошенники направляют своих ботов через центры обработки данных (прокси-сервисы), чтобы «изменить» свой IP-адрес и избежать обнаружения.

Определение трафика центра обработки данных

Когда организация получает диапазон IP-адресов, эти данные сохраняются в базе данных регионального интернет-реестра (RIR), которая доступна для всех. Существуют распространенные типы использования (хотя это не официально и не согласовано во всем мире). Эти виды использования являются коммерческими; Правительство; Военные: университет / колледж / школа; Библиотека; Сеть доставки контента; Провайдер фиксированной связи; Мобильный интернет-провайдер; Дата-центр / веб-хостинг / транзит; Паук поисковой машины и зарезервировано.

Технически каждый IP-адрес может быть сопоставлен с организацией. Однако не всегда ясно, чем на самом деле занимается компания. Более того, есть случаи, когда диапазоны IP регистрировались под вымышленными именами.

При обнаружении мошенничества мы, как правило, уделяем особое внимание центрам обработки данных / веб-хостингу / транзиту (DCH); Провайдер фиксированной связи; и мобильный интернет-провайдер.

Провайдеры фиксированной и мобильной связи – это обычные домашние пользователи, которые пользуются Интернетом из дома или с мобильных устройств. Напротив, DCH означает, что диапазон IP-адресов назначается компании, которая не является интернет-провайдером, обычно для собственного использования (например, серверам). Теперь серверы не должны просматривать веб-сайты, как обычные пользователи, поэтому мы считаем это мошенничеством.

Примеры трафика, управляемого центром обработки данных

Есть много случаев плохого трафика центра обработки данных. Google, например, выявляет мошенничество издателей, когда издатели запускают программные инструменты в центрах обработки данных, чтобы намеренно вводить рекламодателей в заблуждение с помощью поддельных показов и кликов. В одном случае, связанном с программой фальшивых кликов под названием Urlspirit, было установлено более 6 500 установок программного обеспечения в центрах обработки данных, причем каждая установка центра обработки данных выполнялась на отдельной виртуальной машине. В совокупности установки этого программного обеспечения в центрах обработки данных генерировали в среднем 2500 мошеннических кликов рекламы на установку в день.

В целом, с большинством плохого бот-трафика, исходящего из центров обработки данных, США остаются «сверхдержавой плохих ботов»: 45,9% плохого бот-трафика поступает из Соединенных Штатов.

Не блокировать весь трафик дата-центра

Однако простое использование «черных списков» центра обработки данных, которое является широко распространенным средством блокировки нежелательных посетителей, может привести к блокировке многих реальных и законных пользователей. Это может быть случай с IP-адресами организации или VPN \ прокси организации, используемыми в офисе.

Они также используются очень человечными сотрудниками, просматривающими веб-сайты. Таким образом, безопасные веб-шлюзы (SWG), корпоративные центры обработки данных, веб-прокси и виртуальные частные сети стали средством, с помощью которого значительное число веб-пользователей используют центры обработки данных в качестве стартовых площадок для Интернета.

Трафик от таких пользователей направляется через IP-адреса, выделенные центрам обработки данных. Блокирование всего трафика центра обработки данных также может привести к блокировке большого числа настоящих посетителей, использующих центры обработки данных в качестве интернет-шлюзов.

Гораздо лучшим подходом к предотвращению того, чтобы трафик ботов не “убивал” ваши рекламные кампании, было бы развертывание решения для обнаружения скликивания рекламы, поддерживаемого технологиями обнаружения кибербезопасности и машинного обучения. Он может анализировать каждое событие по сравнению с более чем 1000 тестами кибербезопасности, чтобы проанализировать, был ли клик или событие от человека или нет, поступил он из центра обработки данных или нет.

Боты переходят из центров обработки данных на домашние IP-адреса

Действительно, хотя многие традиционные атаки происходят через центры обработки данных, которые используют инструменты ботов / автоматизации, более сложные атаки с использованием мошенничества с кликами требуют гораздо большей защиты.

Все чаще и чаще атаки используются в законной среде, включая жилые (домашние) сети. Чтобы выглядеть еще более “человечным”, современные плохие боты все чаще используют домашние IP-адреса вместо IP-адресов центров обработки данных, хотя это дороже, чем IP-адреса центров.

Во-вторых, плохой бот-трафик также вызывает развертывание мобильных интернет-провайдеров, когда более дешевые варианты проживания или центра обработки данных неэффективны. В-третьих, значительная часть бот-атак, совершающих рекламное мошенничество, также использует смартфоны и ПК, зараженные вредоносным ПО или скомпрометированные браузеры, надстройки / плагины браузеров и приложения.

В большинстве случаев мы обнаруживаем, что боты, использующие дорогостоящие IP-адреса или мобильные прокси-серверы интернет-провайдеров, имеют высокую мотивацию. Они также часто подменяют пользовательский агент, изменяют свои цифровые отпечатки, а также HTTP-заголовки.

Принято считать, что сегодняшние боты почти неотличимы от законного человеческого трафика, способного выполнять JavaScript и использующего настоящие браузеры или браузеры, управляемые программное , такие как Chrome, Firefox и Internet Explorer [ “безголовые” браузеры позволяют выполнять полную версию последний браузер, управляя им программно. Его можно использовать на серверах без выделенной графики или дисплея, что означает, что он работает без «головы», графического интерфейса пользователя (GUI). В автономном режиме можно переходить со страницы на страницу без вмешательства человека, подтверждать функциональность JavaScript и создавать отчеты].

Использование центров обработки данных является причиной большинства случаев рекламного мошенничества, но использование отраслевых черных списков явно недостаточно даже для решения этой проблемы. С ежедневным повышением сложности ботов мы должны опережать атаки из центра обработки данных и за его пределами.