Najbardziej znane fraudy reklamowe wykryte w latach 2012 – 2017
źródło: opracowanie własne
Oszustwa reklamowe nie są niczym nowym - istnieją tak długo jak sama reklama i tak jak ona nieustannie ewoluują. Stosowane przez fraudsterów techniki z roku na rok są coraz bardziej wyrafinowane, używana do oszustw technologia bardziej zaawansowana, a wykrywalność niższa. Nie oznacza to jednak, że osoby odpowiedzialne za przekręty reklamowe zawsze są bezkarne, a ich działanie anonimowe – na szczęście część ad fraudów jest wykrywana i likwidowana, choć takie przypadki stanowią niewielki odsetek wszystkich oszustw reklamowych. Poniżej krótko omówimy najbardziej znane fraudy reklamowe wykryte w latach 2012-2017.
Chameleon (Kameleon)
Chameleon, jeden z pierwszych zidentyfikowanych BOTów klikających, które naśladowały zachowanie użytkownika, został po raz pierwszy zauważony przez firmę Spider.io. w grudniu 2012 roku. W skład botnetu wchodziło co najmniej 120 000 komputerów z systemem Windows w Stanach Zjednoczonych, a fałszywe kliknięcia generowane były na 202 stronach internetowych należących do niewielkiej grupy wydawców. Zadbano również o różnorodność tematyki, aby zwiększyć zasięg oszustwa. Według obliczeń Chameleon kosztował reklamodawców displayowych około 6 mln USD miesięcznie.
Botnet ZeroAccess
Botnet ZeroAccess to złośliwe oprogramowanie typu koń trojański, które dotarło na ponad 2 miliony komputerów generując dla oszustów zyski na poziomie około 100 000 USD dziennie. Wirus po zakażeniu sprzętu pobierał na niego inne szkodliwe programy i aplikacje. Pierwsze wzmianki o ZeroAccess pojawiły się już w maju 2011 roku, ale pierwsze oficjalne doniesienie pochodzi z firmy Symantec z lipca 2013 r.. Ta zajmująca się bezpieczeństwem w sieci firma odkryła sławnego trojana przy okazji wykrycia luki w swoich systemach i zareagowała natychmiast wykluczając ze swojej sieci ponad pół miliona zakażonych tym wirusem urządzeń. Od grudnia 2013 r. sprawę badało więcej organizacji, takich jak FBI i Microsoft (które utworzyło zresztą całą koalicję do walki z tym fraudem), nie powstrzymało to jednak stojących za BOTem ZeroAccess oszustów przed kolejnym aktywowaniem go między 21 marca a 2 lipca 2014 roku i ponownie w styczniu 2015 roku.
Miuref
Miuref to odkryty w listopadzie 2013 r. trojan ułatwiający oszustwa związane z kliknięciami (choć to tylko jeden z jego możliwych złośliwych celów). Najczęściej dostawał się na urządzenie jako załącznik w wiadomościach spamowych lub jako plik pobrany dobrowolnie z Internetu (gdy udaje inne programy lub aplikacje), a następnie instalował się na urządzeniu jako wtyczka przeglądarki i odpalał, gdy była ona uruchamiana.
Miuref, znany również jako Boaxxe, to coś więcej niż bot do klikania - często używany był w połączeniu z innymi botnetami. Potrafił monitorować aktywność przeglądarki, wyświetlać wyskakujące reklamy, przekierowywać użytkowników do potencjalnie złośliwych stron internetowych podczas korzystania przez nich z wyszukiwarki internetowej a nawet prowadzić do naruszenia prywatności użytkownika. Chociaż został zidentyfikowany i może zostać usunięty przez odpowiednie oprogramowanie antywirusowe, nadal stanowi on poważny problem.
Kovter
Kovter używany był po raz pierwszy w 2013 roku jako policyjne oprogramowanie ransomware, które instalowało się na urządzeniu i aktywowało, gdy użytkownik pobierał nielegalne pliki. W takich sytuacjach program informował użytkownika o nielegalnej działalności i wzywał do zapłaty „grzywny”. Co ciekawe w niektórych późniejszych wariantach tego typu oprogramowania wykorzystywanych przez oszustów zastąpiono taki wirtualny mandat żądaniem okupu.
Już rok później, w 2014 roku, pojawiły się pierwsze doniesienia o użyciu Kovtera do fraudów reklamowych. Program nadal obserwował ruch internetowy użytkowników, ale wiedzę uzyskaną w ten sposób wykorzystywał do przeprowadzania oszustw związanych z reklamą w sieci. Jego działanie polegało na zainfekowaniu danego urządzenia, a następnie wstrzykiwaniu mu specjalnego kodu, który umożliwiał odnalezienie i kradzież pewnych informacji i przekazanie ich do serwerów oszustów. Szkodliwy program w swoich różnych odsłonach był (a nawet dalej jest) używany zarówno w oszustwach związanych z kliknięciami w rekalmy, oprogramowanie scareware, jak i eksfiltrację danych.
Methbot
We wrześniu 2015 roku firma White Ops (obecnie HUMAN) zajmująca się cyberbezpieczeństwem zaczęła śledzić unikalny ruch botów przechodzący przez sieć ich klienta. Ad Fraud znany jako Methbot, a nazwany tak ponieważ fałszywa przeglądarka jakiej używali oszuści nazywała się „methbrowser”, powstał w Rosji (choć nie był w żaden sposób powiązany z organami Państwowymi) i był niezwykle złożony i zaplanowany w najdrobniejszym szczególe.
Grupa przestępcza nazwana Ad Fraud Komanda lub „AFK13” zdobyła 571 904 dedykowane adresy IP, stworzyła 6000 fikcyjnych domen i 250 267 odrębnych adresów URL i wykorzystywała warianty nazw znanych wydawców, aby się pod nich podszyć. Dzięki wnikliwej analizie fraudsterzy byli w stanie oszukać algorytmy, które decydowały, gdzie trafią najbardziej dochodowe reklamy i zaprogramowali wszystko tak, aby preferowały ich przestrzeń reklamową. Finalnie ponad pół miliona botów naśladowało ludzkie zachowanie generując na stworzonych do przekrętu stronach internetowych nawet 300 milionów wyświetleń reklam wideo dziennie co odpowiadało przychodom na poziomie od trzech do pięciu milionów dolarów dziennie. Co ciekawe przy tym fraudzie Botnet wykorzystywał nie telefony czy inne urządzenia – ale około 1000 prawdziwych serwerów danych zlokalizowanych w Dallas, Teksasie i Amsterdamie.
Wśród ofiar Methbota znalazły się takie marki jak The New York Times, The New York Post, Comcast i Nestle, a wywołane przez niego straty w branży reklamowej szacuje się na od 180 milionów do nawet 1 miliarda dolarów. Pod koniec 2021 roku jeden z członków grupy „AFK13” - Aleksandr Żukow został skazany na 10 lat więzienia, zasądzono też, że za swoje czyny musi zapłacić ponad 3,8 mln dolarów zadośćuczynienia. Więcej o tym Ad Fraudzie pisaliśmy w 2020 roku w tekście - Methbot - nowe oblicze farm BOTów.
HummingBad
HummingBad to złośliwe oprogramowanie wirusowe, które instaluje rootkita na zarażonym sprzęcie i pozwala oszustom przejąć nad nim kontrolę.
Wystarczy, że użytkownik pobierze go i otworzy, a stojący za nim fraudsterzy będą mogli nie tylko instalować dodatkowe programy i aplikacje, ale także przechwycić wszystkie dane na temat tego, co jest wpisywane w urządzenie. Jednak z tego co wiadomo na temat HummingBad był używany przede wszystkim do generowania nieprawdziwych kliknięć reklam mobilnych i internetowych, co pozwoliło na uzyskanie ogromnych przychodów – nawet 300,000 dolarów miesięcznie i około 4 milionów dolarów rocznie. Użytkownicy zarażonych wirusem urządzeń nie tylko zmuszeni byli do klikania w reklamy, ale program utrudniał też ich zamykanie, co skutkowało niezwykle wysokim współczynnikiem klikalności - 12,5%.
Analitycy z Check Point ustalili, że na całym świecie zostało nim zainfekowane 10 milionów urządzeń z systemem Android. Choć HummingBad został wykryty i zamknięty w 2016 roku, rok później powrócił w nowej odsłonie jako HummingWhale infekując ponad 20 aplikacji w sklepie Google Play. Rzekomo program został stworzony przez chińską firmę reklamową YingMob.
3ve (Ewa) – czyli nowa odsłona Methbota
W 2017 roku grupa oszustów składająca się w znacznej mierze z zespołu stojącego za Methbotem wymyśliła fraud 3ve, który wykorzystywał znane już BOTy takie jak Kovter i Miuref aby uzyskać dostęp do prawie 2 milionów zainfekowanych komputerów. Nowy fraud był jednak bardziej zaawansowany – program tworzył złożone adresy URL z nieaktualnych list ads.txt i dzięki temu mógł działać mimo stosowania tego standardu. 3ve było też w stanie uzyskać jeszcze więcej wyświetleń wideo – szacuje się, że przed jego odkryciem i zamknięciem stojący za nim oszuści zarobili 29 milionów dolarów.
Chamois (Giemza)
Chamois to rodzaj kozy górskiej, znanej ze swojej odporności, zdolności adaptacyjnych i sposobu, w jaki jest w stanie znaleźć pożywienie w najbardziej wrogich miejscach. Dlatego była to idealna nazwa (nadana przez Google) dla wielu powiązanych rodzajów złośliwego oprogramowania znajdujących się w tysiącach aplikacji, z których część trafiła do Google Play Store.
Chamois został przez Google zaklasyfikowany jako Android PHA (Potentially Harmful Applications - potencjalnie szkodliwe aplikacje), która umożliwia oszustom generowanie nieprawidłowego ruchu przez wyskakujące okienka reklam, automatyczne instalowanie aplikacji w tle a nawet dokonywanie oszustw telefonicznych poprzez wysyłanie SMS-ów premium.
Ostatecznie Google pozbył się najbardziej szkodliwych aplikacji dotkniętych Chamois i opisał ad fraud (i walkę z nim) na swoim blogu w marcu 2017 roku.
HyphBot
W tym samym roku również inny program do wyklikiwania reklam nauczył się wykorzystywać standard ads.txt - był to HyphBot uważany za ponad 3 razy większy niż Methbot. Zdaniem analityków zainfekował on co najmniej 500 000 komputerów w Stanach Zjednoczonych, Wielkiej Brytanii, Holandii i Kanadzie generując dla oszustów przychody na poziomie od 500 000 do prawie 1,2 miliona dolarów dziennie. Wykorzystując sieć już znanych botnetów oraz listy stron internetowych w pliku ads.txt stojący za HyphBotem oszuści stworzyli ponad 34 000 różnych nazw domen i ponad milion różnych adresów URL, aby udając ruch pochodzący od ludzi oszukiwać reklamodawców głównie w zakresie generowania fałszywych wyświetleń reklam wideo. Wyglądało to tak, jakby ich reklamy były wyświetlane w witrynach premium jak Forbes czy The Economist, choć w rzeczywistości strony tylko udawały znane domeny.
HyphBot został odkryty przez firmę Adform około września 2017 r.
Xindi Botnet
Pixalate, platforma do analizy ochrony przed oszustwami, prywatności i zgodności dla Connected TV (CTV), aplikacji mobilnych i stron internetowych, zauważyła w październiku 2014 r. nieprawidłowy ruch z renomowanych stron. Odkryty w ten sposób botnet infekował komputery i używał ich do generowania fałszywych wyświetleń, wykorzystał też luki w OpenRTB, aby pomóc cyberprzestępcom w przeprowadzaniu oszustw reklamowych.
Było to możliwe dzięki połączeniu wielu technik jak pobieranie danych i wykorzystanie innych, znanych już złośliwych programów i ataków phishingowych. Szacuje się, że Xindi dołączył do swojego botnetu od 6 do 8 milionów komputerów znajdujących się w ponad 5000 organizacjach, w tym firm z listy Fortune 500, 1500 uniwersytety oraz ponad 200 instytucji finansowych i rządowych.
Według prognoz Xindi miałby kosztować reklamodawców co najmniej 3 miliardy dolarów do końca 2016 roku, a lista reklamodawców, których wziął na celownik obejmuje takie przedsiębiorstwa jak Home Depot, Uber, McDonald’s, Honda, Verizon, Monster czy Nissan. Nadal nie ustalono, w jaki sposób Xindi zdołał kontrolować adresy IP tych dobrze znanych przedsiębiorstw. Jak twierdzi Pixalate ten ad fraud odpowiedzialny jest za wygenerowanie prawie 78 miliardów wyświetleń.
Co ciekawe nazwa, którą Pixalate nadało temu szkodliwemu programowi - „Xindi” pochodzi od rasy obcych ze Star Treka, która ewoluowała w pięć podgatunków i utworzyła sojusz.
Zirconium (Cyrkon)
Dostawca cyberbezpieczeństwa - Confiant, ujawnił niezwykle rozbudowany Ad Fraud, który nazwał Zirconium (Cyrkon). W 2017 roku Zirconium był największym ogniskiem złośliwych reklam, wykorzystał technikę znaną jako forced redirect (wymuszone przekierowanie), która służy do odsyłania internauty do innej witryny niż ta, na której się znajduje, ale to dopiero początek – jego twórcy mieli wielkie plany! Stworzyli fałszywą agencję reklamową o nazwie Beginads, a nawet całkiem sprawnie działającą sieć afiliacyjną MyAdsBro. Aby wspierać przebieg oszustwa powstały też fakowe profile na LinkedIn i w mediach społecznościowych, które następnie wykorzystywano do nawiązywania kontaktów, tworzenia wizerunku i promowania reklam.
Zirconium nawiązywał również relacje z właścicielami stron docelowych (ruch był od nich kupowany, a następnie odsprzedawany platformom stowarzyszonym) i współpracował z aż 28 agencjami reklamowymi, a ponieważ każda z nich kupowała mniejsze ilości ruchu, fraud mógł dłużej pozostać w ukryciu generując rocznie około 1 miliarda wyświetleń.