Najbardziej znane Ad Fraudy wykryte w latach 2018-2022
źródło: opracowanie własne
W poprzednim tekście opisaliśmy największe Ad Fraudy wykryte w latach 2012-2017, w tym artykule będziemy kontynuować temat i przedstawimy oszustwa reklamowe zdemaskowane w kolejnych latach, a więc od roku 2018 do 2022. Jak pokazują dane zarówno ilość oszustw związanych z marketingiem w sieci jak też ich skala działania są z roku na rok coraz większe, a stosowane przez fraudsterów technologie bardziej zaawansowane. Na szczęście również coraz więcej podmiotów związanych z branżą przyłącza się do walki z oszustami, co pozwala na udaremnienie przynajmniej części z nich. Z pewnością w kolejnych latach liczba ad fraudów będzie nadal rosła, oby wykładniczo rosły też statystyki dotyczące ich wykrywalności.
404bot / 404fraud
Oszustwo nazywane 404bot lub 404fraud zostało wykryte na przełomie lat 2018/2019 przez dwie niezależne firmy (pod koniec 2018 roku przez firmę DoubleVerify, a na początku roku 2019 przez IAS Threat Lab), ale z całą pewnością ten ad fraud był aktywny już wcześniej.
Oszuści uruchamiali sieć botów i nie tylko obchodzili zabezpieczenia pliku ads.txt (rozwiązanie wprowadzone w 2017 r. przez IAB - Interactive Advertising Bureau, które miało umożliwić wydawcom wyświetlanie listy autoryzowanych sprzedawców), ale wręcz wykorzystywali go do przeprowadzenia fraudu. Świadomi tego, że wydawcy nie aktualizują pliku ads.txt, a reklamodawcy nie sprawdzają go zbyt dokładnie, autorzy tego fraudu znaleźli witryny posiadające duże, zaniedbane listy w tym pliku i się pod nich podszyli. Dzięki zastosowaniu fałszowania domen, generowania nieprawdziwych danych przeglądarki i stworzeniu nieistniejących adresów URL do 404fraudu nie były im potrzebne żadne zasoby reklamowe - reklamodawcy byli przekonani, że pracują z autoryzowanym sprzedawcą ruchu (bo przecież znajdował się na liście), a w rzeczywistości po wejściu na sfabrykowane strony pojawiał się błąd 404, stąd też nazwa całego przedsięwzięcia. IAS oszacował, że 404bot kosztował branżę co najmniej 15 milionów dolarów.
DrainerBot
DrainerBot, odkryty w lutym 2019 roku przez firmę Oracle Software, to bardzo ciekawy przykład mobilnego złośliwego oprogramowania. Oszuści do rozprzestrzeniania go użyli bowiem niczego nieświadomych autorów aplikacji mobilnych - fragment złośliwego kodu ukryty był w pakiecie programistycznym SDK, używanym do tworzenia aplikacji. Tysiące aplikacji na Androida, które pobrano prawie 10 milionów razy, zostało utworzonych przy użyciu takiego zmodyfikowanego SDK co umożliwiło fraudsterom działanie na gigantyczną skalę.
DrainerBot aktywował się, gdy użytkownik pobierał jedną ze zmodyfikowanych przez oszustów aplikacji ze sklepu Google Play. Gdy urządzenie zostało zainfekowane w tle stale wyświetlane były reklamy wideo. Oprócz odtwarzania im przy każdej okazji wyrwanych z kontekstu materiałów reklamowych, użytkownicy byli też odsyłani do stron internetowych. Następnie aplikacja zgłaszała sieciom reklamowym, że film został obejrzany w legalnej witrynie, co skutkowało wypłatą prowizji.
DrainerBot swoją nazwę zawdzięcza temu, że zużywał ogromne ilości transferu danych urządzeń na których się znalazł (nawet 10 GB miesięcznie) przy okazji szybko wyczerpując ich baterie (samo działanie aplikacji potrafiło w kilkadziesiąt minut rozładować baterię ze 100% do 5%).
Hydra
Oszustwo reklamowe zwane Hydra po raz pierwszy zidentyfikowane przez Protected Media w sierpniu 2019 r., było odpowiedzialne za straty reklamodawców na poziomie ponad 130 milionów dolarów. Fraudsterzy wykorzystywali rzeczywistą aktywność użytkowników w ponad 8000 zainfekowanych aplikacji, fałszowali mobilne adresy IP i kierowali ruch przez serwery proxy, aby ukryć fakt, że generowanych przez nich kliknięcia i wyświetlenia są nieprawdziwe. Stosowali przy tym zaawansowane technologie, które utrudniały weryfikacje ruchu jako niepoprawny i działali z wieloma sieciami reklamowymi równocześnie, do każdej z nich dostarczając na tyle niewiele ruchu, aby nie znaleźć się na radarze.
Hydra często zmieniała swój model działania, a wśród oszustw, których dopuścili się jej autorzy, znalazły się między innymi wstrzykiwanie kliknięć, fałszowanie kliknięć i wyświetleń, przechwytywanie kliknięć innych wydawców, kradzież danych ze stron internetowych czy też przejmowanie kont.
Aby zdemaskować aktywność Hydry Protected Media, firma zajmująca się cyberbezpieczeństwem, która wykryła ten ad fraud, dostarczyła w 2020 roku podmiotom związanym z branżą reklamową ponad 100 000 adresów IP, które były wykorzystywane przez botnet i przy współpracy z innymi graczami zajmującymi się ochroną w sieci zapoczątkowała akcje nazwaną Slay Hydra (Zabij Hydrę).
Uber
Nie wszystkie oszustwa wykrywają firmy zajmujące się cyberbezpieczeństwem. Czasem reklamodawcy sami biorą sprawy w swoje ręce. Tak zrobił Uber, który w 2019 roku złożył pozew, a następnie wygrał w sądzie sprawę, przeciwko pięciu sieciom reklamowym – Fetch, BidMotion, Taptica, YouAppi i AdAction Interactive.
Stało się to po tym jak powszechnie znana firma odkryła, że mniej więcej dwie trzecie jej budżetu reklamowego (około 100 milionów dolarów) nie przekłada się na konwersje. Jak się okazało za wszystko odpowiadały firmy retargetujące reklamy, które nadużywały systemu, tworząc oszukańczy ruch. Skala oszustwa reklamowego została odkryta, gdy firma obniżyła wydatki na reklamę o 100 milionów dolarów i nie zauważyła żadnej zmiany w liczbie instalacji aplikacji.
W 2020 roku Uber wygrał również proces przeciwko Phunware Inc. udowadniając, że większość instalacji aplikacji Uber, które ta firma rzekomo dostarczyła, została wygenerowana w wyniku ad fraudu wykorzystującego technikę zalewania kliknięciami.
Tekya
W 2020 roku pracujący przy projekcie Check Point Research badacze odkryli nowe szkodliwe oprogramowanie, które nazwane zostało Tekya. Ukryty w zaledwie kilku wierszach w pakiecie programistycznym (SDK), kod tego ad fraudu został dopisany do kilkudziesięciu aplikacji, pochodzących od różnych twórców, a ponieważ aktywował się dopiero po pobraniu aplikacji przemykał niepostrzeżenie przez algorytmy ochronne. Złośliwy program odpalał się w tle przy podejmowaniu przez użytkownika aktywności i rejestrował jego interakcje z urządzeniem. Następnie Tekya wykorzystywała aplikacje o nazwie Haken do tworzenia i wywoływania zdarzeń imitujących kliknięcie, co pozwalało oszustom generować przejawy aktywności do złudzenia przypominających ludzkie zachowanie. W dużym skrócie Tekya kopiowała więc działania użytkowników udając, że klikają oni w konkretne reklamy.
To złośliwe oprogramowanie znaleziono w 56 aplikacjach na Androida, które można było pobrać z Google Play. Były to głównie: gry i łamigłówki skierowane do dzieci (24 gry dla dzieci), kilka gier dla dorosłych oraz różne aplikacje użytkowe takie jak kalkulatory i aplikacje do tłumaczenia. Uważa się, że Tekya miała ponad milion pobrań i, że działała co najmniej od maja 2019 r.. Więcej o tym Ad Fraudzie pisaliśmy w 2020 roku w tekście - Tekya - najnowszy przypadek fraudu polegającego na klikaniu reklam online. - TrafficWatchdog.
Terracotta
Badacze z firmy White Ops od końca 2019 r. monitorowali botnet nazwany Terracotta. Oszuści umieszczali w sklepie Google Play aplikacje, które obiecywały użytkownikom bezpłatne korzyści (najczęściej darmowe buty, ale też bilety, kupony i drogie zabiegi dentystyczne) w zamian za zainstalowanie ich na swoich urządzeniach. Prezent miał dotrzeć do użytkowników w ciągu dwóch tygodni od instalacji i w tym czasie użytkownicy musieli pozostawić aplikację zainstalowaną na smartfonie. Następnie złośliwy program pobierał na urządzenia zmodyfikowaną wersję przeglądarki WebView, która pozostając niewidoczna dla użytkownika wyświetlała mu reklamy i tym samym umożliwiała fraudsterom osiąganie sporych przychodów z fałszywych wyświetleń reklam. Oszustwo przeprowadzono na ogromną skalę - jak podało White Ops tylko w ostatnim tygodniu czerwca 2020 roku botnet Terracotta po cichu załadował ponad dwa miliardy reklam na 65 000 zainfekowanych smartfonach.
Po konsultacjach ze specjalistami z White Ops Google usunął z oficjalnego sklepu Google Play kilkadziesiąt aplikacji na Androida, które z największym prawdopodobieństwem były elementem przekrętu, Google wyłączył też te aplikacje na wszystkich urządzeniach użytkowników, powstrzymując ich dalsze złośliwe zachowanie.
Icebucket
Na początku 2020 roku przy akcji nazwanej „Icebucket” fraudsterzy podszyli się pod ponad 2 miliony ludzi z ponad 30 krajów naciągając w sumie ponad 300 różnych reklamodawców chcących pokazać swoje materiały w kanale OTT i CTV. Ten fraud, w którym BOTy udawały ludzi oglądających reklamy w platformach i aplikacjach do streamingu, w szczytowym momencie (styczniu 2020) odpowiadał za 28 procent całego ruchu CTV (czyli około 1,9 miliarda żądań reklam dziennie) monitorowanego przez badaczy White Ops, którzy odkryli i zdemaskowali to oszustwo w kwietniu 2020 roku. Fraudsterzy wykorzystali około 1700 adresów IP zlokalizowanych w 9 krajach do podrabiania odtwarzaczy CTV i generowania sztucznych wyświetleń reklam wideo wstawianych po stronie serwera (SSAI - Server-Side Ad Insertion ), a więc modelu, w którym reklamy są „wszywane” w treść materiałów wideo.
DiCaprio
Mniej więcej w tym samym czasie (w styczniu 2020 r.) Pixalate (platforma do ochrony przed oszustwami marketingowymi) doniosła o nowym ad fraudzie nazwanym DiCaprio. Oszuści wykorzystali aplikację randkową Grindr (popularną głównie wśród społeczności LGBTQ) i prawdziwe urządzenia jej użytkowników. Reklamodawcy byli przekonani, że kupują wyświetlenia swoich reklam wideo w serwisie streamingowym Roku, podczas gdy w rzeczywistości były to tylko sfałszowane żądania reklam odbywające się w tle aplikacji Grindr, a wszystko dzięki wykorzystaniu skryptu „DiCaprio”, który wywoływał nowy JavaScript, aby działał w tle telefonu i inicjował nowe żądania reklamy.
Monarch
Już dwa miesiące później, w marcu 2020 roku, Pixalate ujawniło kolejny przekręt, w którym wykorzystane zostały pasywne aplikacje Roku, nazwany Monarch od Monarch Ads – platformy użytej do monetyzacji zasobów reklamowych, której używały wszystkie aplikacje wykryte przy tym oszustwie. Sam fraud polegał na przekazywaniu żądania reklam pokazujących prawidłową nazwę danej aplikacji, choć w odpowiedzi zwrotnej wyświetlała się już inna, a miejscem docelowym był „Aragon Creek”. Reklamodawcy myśleli, że ich materiały pokazywane były na serwisie (lub w aplikacji) Roku podczas gdy w rzeczywistości kupowali reklamy w aplikacjach wygaszaczy ekranu lub programach stworzonych z myślą o zwierzętach domowych.
Straty sięgnęły milionów dolarów, a ofiary fraudu to luksusowe marki takie jak między innymi Chipotle, GEICO, Jaguar, Lexus czy Uber, a nawet politycy wykorzystujący kanał CTV podczas wyborów do Senatu.
MultiTerra
Reklama mobilna i CTV stała się też celem odkrytego w 2020 roku przez DoubleVerify, firmę zajmującą się analizą oszustw reklamowych, fraudu MultiTerra. Oszuści skupili się na wydawcach premium, którym kradli około 1 miliona dolarów miesięcznie fałszując ich zasoby reklamowe. Botnet został nazwany MultiTerra ze względu na złożony schemat działania oraz fakt, że dotyczył głównie kanałów mobilnych. W ciągu 20 minut jeden adres IP podszywał się pod 16 różnych smartfonów, generując około 50 fałszywych wyświetleń reklam w co najmniej 9 różnych aplikacjach wydawców premium, a następnie był zastępowany nowym. W szczytowym momencie, między czerwcem a sierpniem 2020, botnet generował dziennie ponad trzy miliony fałszywych żądań reklamy w aplikacjach mobilnych oraz na telewizorach podłączonych (CTV). Oszuści zadbali też o to, aby co kilka dni zmieniać wzorce zachowań botnetu i dzięki temu przez długi czas fraud działał w ukryciu.
ChartreuseBlur
Eksperci ds. cyberbezpieczeństwa z zespołu White Ops Satori Threat Intelligence And Research Team opublikowali w lipcu 2020 roku na swoim blogu informacje o wykryciu nowego ad fraudu. ChartreuseBlur zostało tak nazwane ze względu na fakt, że z użytych do fraudu aplikacji większość miała służyć do edycji zdjęć, a konkretnie do blurownia, czyli stosowania efektu rozmycia. Po pobraniu na urządzenie złośliwy kod uruchamiał się i wyświetlał użytkownikowi pełnoekranowe reklamy za każdym razem, gdy ten odblokowywał swoje urządzenie, podłączał je do ładowania oraz włączał lub wyłączał sieć Wi-Fi lub dane komórkowe. Użytkownicy mogli też mieć problem z usunięciem aplikacji, ponieważ po załadowaniu jej ikona sama usuwała się z ekranu urządzenia. W związku z tym oszustwem ze sklepu Google Play zniknęło 29 aplikacji, wcześniej pobrano je ponad 3,5 miliona razy.
StreamScam
Pod koniec 2020 roku firma Oracle poinformowała o wykryciu nowego fraudu reklamowego – StreamScam, który swoją nazwę zawdzięcza głównie temu, że dotyczył on technologii wyświetlania reklam CTV. W operacji użytych zostało ponad 28,8 miliona adresów IP gospodarstw domowych w USA, około 3600 aplikacji i 3400 unikalnych modeli urządzeń CTV. Wykorzystanie prawidłowych domowych adresów IP pokazuje wyrafinowanie StreamScam w porównaniu z poprzednimi operacjami oszustw związanych z reklamami CTV.
Dzięki wykorzystaniu technologii Moat, firma Oracle odkryła przekręt i ustaliła, że stojący za StreamScam oszuści zbudowali sieć serwerów, które wysyłały do reklamodawców zdarzenia wyświetlenia reklamy bez faktycznego wysyłania reklam i treści wideo do użytkowników. Wszystko po to, aby udawać, że reklamy były odtwarzane, gdy w rzeczywistości nie miało to miejsca. Jak wynika z raportu Oracle, StreamScam wywołał u reklamodawców straty sięgające około 14,5 miliona dolarów.
Mangago
W 2021 roku wspomniana już firma Oracle Moat wykryła oszustwo związane z popularną stroną anime z zawartością dla dorosłych i pirackimi treściami – mangago.me. Właściciele serwisu chcieli otrzymywać wyższe stawki CPM (cost per mile, a więc za tysiąc wyświetleń) więc postanowili pokazać się reklamodawcom z zupełnie innej strony niż ta widoczna dla użytkowników. I to dosłownie, ponieważ oprócz prawdziwej witryny Mangago.me, mającej zresztą około 70 milionów odwiedzających miesięcznie, w oszustwie użyto jeszcze 3 innych domen, na które przekierowywano ruch: mnggo.net podająca się za magazyn zatytułowany „newfashion”, lady-first.me udająca stronę lifestylową „ladyfirst” oraz fashionlib.net: przedstawiona reklamodawcom jako magazyn „lifestyle”.
Każda z tych stron miała dwie twarze - kiedy odwiedzający wchodzili na dane domeny bezpośrednio – wyglądały one jak strony poświęcone modzie damskiej i lifestylowi i wyświetlały związane z tą tematyką treści kopiowane z innych serwisów, jeśli natomiast przekierowanie nastąpiło ze strony Mangago.me wyświetlany w nich content dotyczył brutalnych mang i zawierał treści z gatunku X.
Oszuści nie tylko wyłudzali więc od reklamodawców wynagrodzenie, ale też mogli poważnie zaszkodzić wizerunkom marek, których reklamy udostępniali w swoich domenach. Warto wspomnieć, że choć fraud został ujawniony sama strona Mangago.me wciąż prosperuje.
KissFraud
Bardzo podobnie działał też inny fraud wykryty przez Oracle w I kwartale 2022 roku – KissFraud, nazwany tak od fałszywej witryny użytej do jego przeprowadzenia - kisscenter.net. Mechanika KissFraudu jak w przypadku oszustwa związanego z witryną Mangago.me opierała się na przekierowywaniu użytkowników. W tym przypadku byli to odwiedzający witrynę kimcartoon.li zawierającej pirackie materiały wideo. Strona docelowa, na którą przekierowywany był ruch z kimcartoon.li nazwana została kisscenter.net. Przy bezpośrednim wejściu wyglądała jak serwis informacyjny, a zamieszone na niej treści były kopiowane z prawdziwych stron tego typu. Jednak, gdy użytkownik trafiał na kisscenter.li z przekierowania ze strony kimcartoon.li, a działo się tak najczęściej przy kliknięciu linka do konkretnego odcinka lub filmu, przed oczami miał kontynuację serwisu z pirackimi treściami. Wykorzystani do przeprowadzenia tego przekrętu internauci często nie zdawali sobie sprawy, że są już pod innym adresem URL. Reklamodawcy chcący zamieścić swoje materiały na serwisach informacyjnych w efekcie udostępniali swoje reklamy na stronach zawierających… nielegalne filmy.
Vastflux
Latem 2022 roku Vikas Parthasarathy, ekspert z firmy Human Security, przypadkowo zauważył, że pewna aplikacja tworzy wyjątkowo dużą liczbę żądań i przekazuje w odpowiedzi różne identyfikatory. Wpadł w ten sposób na ślad jednego z największych wykrytych fraudów reklamowych nazwanego Vastflux od wykorzystanego w nim typu ataktów hakerów „fast flow” („szybki przepływ”) oraz szablonu pozwalającego na wyświetlanie reklam w odtwarzaczach wideo, opracowanym w ramach Interactive Advertising Bureau (IAB) - „VAST” (Video Ad Serving Template).
Oszuści wykupywali pojedyncze miejsca reklamowe w znanych aplikacjach mobilnych, a następnie przed umieszczeniem reklamy w wygranym na aukcji miejscu reklamowym dodawali do niej złośliwy kod JavaScript który pozwalał odtwarzać równocześnie 25 reklam jedna pod drugą. Dzięki temu fraudsterzy generowali nawet 25 wyświetleń reklam zamiast jednego, rzeczywiście widocznego dla niczego nieświadomego odbiorcy. Stojący za akcją Vastflux oszuści udawali, że odtworzone reklamy pochodzą z wielu różnych aplikacji choć w rzeczywistości używana była tylko jedna.
Botnet użyty do tego Ad Fraudu składał się z aż 11 milionów telefonów (głównie z systemem iOS, choć niektóre urządzenia z Androidem również zostały zainfekowane), a oszuści podszywali się w sumie pod 1700 aplikacji i 120 wydawców. W czerwcu 2022 roku, kiedy Vestflux osiągnął swoje najlepsze wyniki, złośliwy program wysyłał nawet 12 miliardów żądań reklam dziennie.
Dochodzenie trwało pół roku i zakończyło się w grudniu 2022 roku, kiedy oszuści wyłączyli wykorzystywane do przekrętu serwery. Dokładne dane na temat strat jakie to oszustwo przyniosło branży reklamowej oraz tożsamości stojących za nim fraudsterów nie zostały jeszcze ujawnione ze względu na trwające dochodzenie. O Vastflux pisaliśmy niedawno w artykule - Vastflux – jeden z największych wykrytych Ad Fraudów! - TrafficWatchdog.
