广告欺诈这是造成广告行业负面形象的众多原因之一。与通过感染恶意软件影响最终用户的广告营销不同,广告欺诈让广告主在从未被真人看到的广告中损失数十亿美元。
我们今天描述的案例展示了一些有趣的技巧,让人们在点击伪装广告的同时,以为自己在点击视频的播放按钮。最终目标是通过看起来干净可靠的流量产生按印象付费和按点击付费的收益。
此外,当用户在欺诈页面上时,骗子会跟踪用户的移动和鼠标点击,以便能够分辨受害者是真人还是机器人。如果后者被检测到,页面将自动重定向到google.com,以防止任何意外和“污染”点击广告。
显然,当广告欺诈对他们很重要时,坏人也很关心。
手段不同,最终目标相同
犯罪分子从广告欺诈中获利的方式有很多,最常见的一种是通过在用户不知情的情况下查看或点击广告的被入侵的计算机(机器人)。像Bedep这样的恶意软件可以在隐藏的桌面中模拟真实的用户活动每天欺骗数百万的广告印象.
去年年底,专门从事广告欺诈研究的White Ops公司曝光了一个名为Methbot涉及到一种不同的方法来产生数百万的欺骗性广告收入。骗子没有依赖最终用户机器,而是利用数据中心创建机器人农场。当你可以创建一支训练有素的广告欺诈机器人大军,在服务器机架上以最佳速度运行时,为什么还要为不可靠的消费者电脑费心呢?
利用广告生态系统还有很多其他方法,它们并不总是涉及感染机器或使用机器人农场。有时,广告欺诈可以以非常透明的方式进行,依赖真人执行操作,这使得反欺诈系统更难发现。例如,“点击劫持”(clickjacking)是一种欺骗用户点击某些内容的技术,它实际上产生了一个隐藏的恶意动作,在过去曾被用于进行点击欺诈。
我们今天要看的例子实际上和a有关“点击劫持”攻击我们之前写过。我们发现这个广告欺诈活动是通过一个高调的广告链,我们已经遇到了通常重定向利用套件。访问者到一个高流量的成人网站会自动重定向到另一个成人流媒体视频页面。他们不知道的是,这完全是假的,在它下面是显示付费广告的网站,骗子通过每次印象和点击获得金钱。
盖茨
这里的情况是,一些流行的成人网站的流量会通过恶意广告被重定向到几个假博客中的一个,主题从婚礼技巧、害虫控制到电器。
重定向链包括通过我们称为门的强制通道,其目标通常是检查传入的流量并采取行动。
在其中一个门中,我们注意到一些有趣的代码,这些代码用于“指纹识别”访问者,以收集他们的IP地址、用户代理和屏幕分辨率。
图1:登机口指纹识别码(点击放大)
这些信息通常是由大多数网站收集的统计和优化目的,但考虑到明确使用适当的名称getfingerprint.php文件,我们可以假设欺诈者试图识别真正的用户与爬虫或重复访问同一页面。
图2:从广告到大门的网络流量(点击放大)
一个façade:成人画廊隐藏假博客
内容是搜索引擎和其他爬虫非常重要的东西之一,因为它最终会给网站带来更多的价值。很久以前,黑帽SEO犯罪分子使用一种被称为关键词填充的技术,目的是让网站在搜索引擎结果页面(SERP)中排名靠前,但现在很容易被发现。
抄袭仍然非常有效,复制和粘贴从未如此容易。这是一种不费力气就能获得体面内容的廉价方式。在这个特别的活动中,我们看到了几个最近创建的网站,并充满了新的博客条目。
很快,我们就发现了这些文章是从哪里被盗的:主要是Ezine或Pinterest这样的网站。窃贼甚至没有费心去改变任何措辞,他们只是简单地复制/粘贴了他们的欺诈网站上的几十个条目。
图3:一个关于婚礼的虚假博客,内容被盗(点击放大)
图4: Ezine上发现虚假博客使用的原创内容(点击放大)
如果你直接访问其中一个网站,你会看到一个似乎是为婚礼提供建议的网站,伴随着一些由谷歌的DoubleClick提供支持的广告,这对任何需要支付运营成本的网站来说都是相当典型的。然而,只有爬行者最有可能直接访问这些网站,因为建立这些网站的动机非常明确:通过劫持流量欺骗广告商。
包含成人图像的一层被叠加,这样两种内容都显示在浏览器中,但只有最上面一层(成人内容)是肉眼可见的。
图5:婚礼博客变成了一个成人门户,多亏了覆盖(点击放大)
这一点很重要,因为骗子想要加载底层博客及其内容,其中包括付费广告,这样他们就可以通过广告印象赚钱,同时欺骗访问者,让他们认为他们仍然在访问他们的成人视频。
图6:通过成人页面覆盖的广告印象欺诈图表(点击放大)
图7:从门户到虚假博客,再到广告的网络流量(点击放大)
窃取(真实的)用户点击量
这个广告欺诈活动的第一阶段包括在显示隐藏广告的同时显示成人视频的缩略图,但这还不是全部。用户被骗点击观看任何特定视频,这就涉及到第二部分,即按点击付费(PPC)欺诈。
用户会看到一个单独的成人视频页面,但没有真正的视频播放,因为它只是一个截图,旨在模仿视频播放器的播放按钮和时间轴条。
其目标是让用户点击隐藏的广告,但必须经过一些验证检查,以确保点击来自真正的人。这对骗子来说有点讽刺,因为他们要检查机器人。
图8:欺骗用户点击播放按钮的虚假视频页面示意图(点击放大)
图9:隐藏广告显示在视频播放按钮上(点击放大)
实际上,只需单击浏览器的地址栏就可以显示隐藏的广告(如图9所示),结果横幅出现在最前面。类似地,通过点击页面上的任何地方,将焦点返回到页面将使横幅再次回到隐藏模式。
骗子使用JavaScript代码检查用户活动,特别是鼠标移动和点击。事实上,机器人经常执行非常程序化和可预测的动作,这些动作可以被检测为非真实的人类活动模式。的detector.js脚本将尝试检测这些模拟动作,并立即将浏览器重定向到谷歌的主页。
图10:检查鼠标活动以确保点击是合法的(点击放大)
例如,如果检测到点击,但鼠标根本没有移动,这是一个可疑的行为。同样的道理也适用于在特定时间内移动到屏幕上特定坐标的鼠标。试图模仿用户活动的恶意软件通常会在屏幕上滚动或点击,但这些通常不是非常随机或足够独特,它们会在一台受感染的机器上重复到另一台。
网络犯罪分子通过利用系统和人员的弱点来赚钱,这些弱点使他们非常清楚自己需要避免的某些陷阱。我们在过去已经看到恶意软件关闭了允许它进入的安全漏洞,甚至消除了之前的感染。同样地,当涉及到广告欺诈时,坏人非常清楚如何确保他们得到报酬并减少被抓到的机会。
它还清除浏览器返回按钮URL历史记录,这样用户就不能再次访问相同的页面:
图11:根据鼠标活动改变“返回URL”(点击放大)
如果真有人点击查看不存在的视频,他们实际上是点击了隐藏的广告,从而为骗子创收。被骗的人很快就会意识到这只是在浪费时间,实际上并没有加载任何视频。由于用户试图查看的内容的性质,他们不太可能报告这种欺诈行为。
与此同时,这一操作背后的骗子正在从每一次浏览和点击中赚钱。考虑到他们只需要为廉价的输入流量而不是更昂贵的谷歌广告付费,这是一个有利可图的商业模式。
图12:从虚假博客到点击欺诈的网络流量(点击放大)
与以往活动的链接
2016年1月,我们写了关于利用欧洲针对浏览器cookie的新法律进行的点击劫持攻击。类似地,用户被骗点击“我接受cookies”,实际上是点击了一个广告横幅,欺骗了合法的广告商。
过去和现在使用的域名都有类似的模式与单词'的网络这当然可能是一个巧合,但值得注意的是,两个竞选活动都使用点击劫持来滥用谷歌AdSense。
图13:欧洲cookie点击劫持活动的流量捕获
另一个有趣的方面是过滤器的使用。filter.php,process.php)来清除已经被列入黑名单的机器人或机器。这并不是我们在最初的博客文章中所涉及的内容,但是通过与过去的捕获进行比较,我们可以看到这个想法非常相似,尽管没有那么复杂。
封闭的思想
没有多少行业能像广告业那样引发如此激烈的争论。你经常会听到的一个论点是,无论广告是恶意的还是从未被任何人看过,广告代理公司、网络和出版商仍能赚钱。数字也有直接的关联广告支出和广告欺诈在过去的几年。
这并不意味着相关方对恶意软件或欺诈不敏感(他们投入了大量资源来解决这个问题)。事实上,将他们视为“他们”是一个糟糕的选择,因为它假设每个人都在同一水平上。我们知道,有一些网络/出版商睁一只眼闭一只眼——或者更糟——直接与犯罪团伙有联系,而另一些实际上正采取积极的立场来打击恶意软件和欺诈。
问题仍然是,用户(快速采用广告拦截器)和广告商都越来越担心,他们花的钱越来越少了.就像广告一样,只要有经济利益,犯罪分子就会不断地利用广告作为一种独特的、有利可图的欺诈和感染媒介。
我们已经通知了谷歌,并传递了他们滥用广告平台的必要信息。
进一步阅读:
- 2017年数字广告欺诈状况[Slideshare]作者:Augustine Fou
- 广告欺诈101[PDF]整合广告科学
国际石油公司:
盖茨:
stockwebhosting。com
doctorwebhosting。com
triwebhosting。com
webhostingfashion。com
假的博客:
justhappymarriage。com
myamericansofa。com
instaautohire。com
bugcurb。com
bestautotariff。com
pestdomination。com
pleasedwedding。com
nicewashing。com
theusaappliance。com
topcaraccidentals。com
perfectpurification。com
评论