Methbot - nowe oblicze farm BOTów
źródło: opracowanie własne
We wrześniu 2015 roku eksperci zatrudniani przez firmę White Ops, specjalizującą się w cyberbezpieczeństwie, zaczęli monitorować niewielkie ilości zautomatyzowanego ruchu z unikalnym podpisem roboczo nazwanym „C3”. Jak okazało się w 2016 roku odkryta w ten sposób innowacyjna farma BOTów nazwana Methbotem naciągała reklamodawców nawet na 3 do 5 milionów USD dziennie, stając się najbardziej dochodowym znanym fraudem online w historii marketingu internetowego.
Jak odkryto Methbota
Był wrzesień 2015 roku, gdy zespół badaczy z firmy White Ops, przy okazji rutynowo wykonywnych przez siebie analiz, zauważył niewielką ilość zautomatyzowanego ruchu na stronach internetowych swoich klientów. Ekspertów zaciekawiło to, że wykorzystano w tym celu BOTy, które pozostawiały niespotykany dotąd znak rozpoznawczy. Ruch generowany przez te źródła był od tej pory stale monitorowany, a widoczny w nim znak rozpoznawczy został roboczo określony jako „C3”. Stosowana obecnie nazwa Methbot również powstała z powodu odniesień do „met” w jego kodzie źródłowym.
Przez niemal rok źródło nie wykazywało dużej aktywności i nie wpływało znacząco na działania online klientów korzystających z usług White Ops. Wszystko zmieniło się jednak 5 października 2016 roku, kiedy zaczęły pojawiać się znacznie większe ilości ruchu ze znakiem rozpoznawczym „C3”. Już pod koniec tego tygodnia, źródło generowało nawet 137 milionów wyświetleń dziennie. Działania tej innowacyjnej farmy botów rozprzestrzeniały się w bardzo szybkim tempie - do końca października White Ops wykrył jej aktywność u 32 swoich różnych klientów.
Jak działał Methbot
Stosowane zwykle fraudy online są dość proste do wykrycia – często opierają się o działanie złośliwych oprogramowań infekujących prywatne sprzęty i dzięki temu funkcjonują na tych samych adresach IP co użytkownicy. Stworzony z wielu przejętych w ten sposób urządzeń BOTnet przeprowadza swoje nieuczciwe działania w tle działań prawdziwych internautów. Dzięki temu, że używane przez takich oszustów adresy IP są stałe można je łatwo namierzyć i zablokować ich działanie, a zwiększenie zasięgu fraudu wymaga zainfekowania kolejnych sprzętów. Twórcy Methbota przeprowadzili jednak dokładne badania i zainwestowali dużo czasu i środków, aby zbudować infrastrukturę, która zapewniła im możliwość działania na niemal nieograniczoną skalę.
Osoby stojące za powstaniem Methbota wykorzystały sfałszowane dokumenty, aby zakupić lub wydzierżawić 852 992 prawdziwych adresów IP (wartych jak się szacuje ponad 4 miliony dolarów), dzięki czemu generowany ruch wydawał się pochodzić od legalnych dostawców Internetu.
Sercem Methbota były natomiast prawdziwe serwery danych zlokalizowane w Dallas, Teksasie i Amsterdamie, jak szacuje firma White Ops było ich od 800 do 1200, używane do tworzenia serwerów pośredniczących i ukrycia prawdziwego źródła operacji, które znajdowało się w Rosji. Dodatkowo, aby uniknąć zidentyfikowania źródło ze znakiem rozpoznawczym „C3” codziennie zmieniało swoje kody, dostosowując je i utrudniając namierzenie fraudu.
Kogo i w jaki sposób udawał Methbot?
Oszuści, posługujący się Methbotem doskonale zdawali sobie sprawę, że zarówno wydawcy premium jak też finalni odbiorcy odpowiadający grupie docelowej są bardzo porządani przez reklamodawców. Używane przez niego BOTy podszywały się więc zarówno pod topowych wydawców (tworząc fałszywe strony internetowe nawiązujące do innych dobrze funkcjonujących) jak też konsumentów, których aktywności rzekomo generowali (przez sztuczne odtwarzanie filmów reklamowych, wyświetlenia reklam i tworzenie złudzenia, że pochodzą one od ludzi).
Twórcy Methbota wybierali domenę lub adres URL z listy najlepszych wydawców, i zakładali własne fałszywe strony internetowe wykorzystując warianty nazw znanych domen. Tak stworzone sztuczne serwisy zawierały tylko to, co było potrzebne do obsługi reklamy. Następnie oszuści pobierali od sieci afiliacyjnych, programów partnerskich lub samych reklamodawców przygotowane dla nich reklamy wideo zawierające ich identyfikator wydawcy, aby mogli otrzymać zapłatę za „wygenerowany” ruch. Oczywiście partnerzy nie mieli pojęcia, że ogromne ilości kliknieć i wyświetleń, jakie dostarczały te fałszywe domeny były nieprawdziwe. Szacuje się, że Methbot posługiwał się 6111 domenami, które miały wyglądać jak te należące do rzeczywiście istniejących wydawców premium, a adresów URL było w sumie ponad 250 tysięcy.
Podszywanie się pod znane strony internetowe to jednak nie wszystko, stosowane przez Methbota BOTy udawały też finalnych użytkowników. Również w tym obszarze zastosowano bardzo zaawansowaną technologię mającą naśladować działane człowieka – BOTy podrabiały ruchy myszy, tak aby wyglądały na ludzkie, tworzyły też sztuczne logowania do sieci społecznościowych i manipulowały geolokalizacją adresów IP. Dodatkowo, aby konsumenci pozornie „odtwarzający” ich reklamy wydawali się bardziej atrakcyjni używano też spreparowanych plików cookies, które wykorzystując wspólną bibliotekę open source tworzyły fałszywe sesje internetowe.
Szacowane straty finansowe
Nie bez powodu Methbot skupiał się na reklamach wideo – w witrynach premium osiągają one jedne z najwyższych stawek w online marketingu. Jak pokazują dane dostarczone przez White Ops, po konsultacji z firmą AD/FIN, dzięki sprytowi twórców innowacyjna farma BOTów osiągała też bardzo wysokie ceny CPM (Cost Per Mile), a więc opłaty za 1000 wyświetleń reklamy. W różnych domenach spreparowanych przez Methbota wynosiła ona od 3,27 do 36,72, a średnio 13,04 USD. W październiku 2016 oszuści wytwarzali pomiędzy 200 – 300 milionów odsłon dziennie, zarabiając na tym w szczytowym momencie od 3 do 5 milionów USD jednego dnia. Czyni go to absolutnym rekordzistą, jeśli chodzi o straty przyniesione branży reklamy internetowej.
Szacuje się, że operatorzy Methbota - nazwani Ad Fraud Komanda (lub AFK13) – spowodowali w branży online marketingowej straty od 180 milionów do nawet 1 miliarda USD. Jest to jednak z pewnością tylko częściowy obraz sytuacji, ponieważ firma White Ops analizowała dane bezpośrednio udostępniane jej przez korzystających z jej usług klientów. Bardzo możliwe więc, że liczby te są znacznie niedoszacowane.