在网络犯罪领域,勒索软件和DDoS攻击过去一年最受人瞩目。在旧金山最近举行的RSA会议上,专门有一整天分给勒索软件“峰会”。但是,当涉及到受害者损失的金钱以及犯罪分子勒索的金钱时,bot欺诈才是老大——非常多。
2016年,美国勒索软件造成的损失估计在10亿美元左右。而White Ops和国家广告商协会(ANA)于2016年1月发表了题为“Bot基本调查:数字广告欺诈”的研究,估计2016年全球损失为72亿美元。
营销科学咨询集团最近的一份报告估计,仅美国2016年的损失就高达310亿美元。
按照营销科学集团的网络安全和广告欺诈研究员,同时也是报告“数字广告欺诈状况分析”的作者Augustine Fou的说法,相比之下,勒索软件造成的损失都是“小钱”。
Fou把他自己描述成“bot猎人”,他说,这类网络犯罪非常多,因为它是如此容易、有利可图而且安全。
他说:“这非常有利可图,而且很容易扩散,犯罪分子对此也不用冒生命危险。他们舒服地坐在自己的椅子上就能够进行广告欺诈犯罪活动。”
事实上,Resilient Systems公司的首席技术官Bruce Schneier在最近的一篇博文中写道,“点击欺诈”的增长——旨在欺骗广告客户认为真实用户已经看过并点击了他们广告的bot,有可能导致“互联网的整个广告模式崩溃”。
关于bot欺诈是怎样工作的,在业界并不神秘。在线广告模式的基础是,广告客户根据在网站上浏览他们的广告以及点击广告的人数来付费。
公司根据每次点击费用CPC(Cost per Click)或者每千次浏览费用CPM来付费。
对于广告客户,所有这一切一开始时被认为比报纸更好,因为报纸这种方式除非给零售商发放优惠券,否则没有办法知道读者是否真正看了广告或者回应了广告。
互联网模式确保广告客户只为实际浏览或者回应(点击)广告的用户付费。
但是,bot的出现改变了这一切,它使用数千台甚至数百万台“僵尸”计算机或者僵尸网络中连接的设备,创建虚假的网站流量和欺骗性的广告“点击”。
White Ops首席执行官Michael Tiffany 说:“ 复杂bot流量的现行费率大约是每次访问1美分。如果一个僵尸网络操控者可以控制100,000台不同的计算机访问某一网站,而且他可以让这些访问看起来是真实的,那就意味着价值1000美元。”
而且,很多报道都提到,bot制造者已经非常擅长使它们表现得像真正的人类访客。
Farsight Security的科学家Joe St. Sauver说,bot制造者利用被感染的设备,在多个IP地址之间传播“流量”,使得一些点击是来自俄勒冈州,其他的来自俄亥俄州,还有的则来自俄克拉荷马州等。
他说:“该软件还可以包括一些例程,这些例程设计为模仿自然暂停,页面正在‘被阅读’,随之被点击——可能是在思考某些特性,查找本地经销商或者其他看起来像正常人类访客要做的事情。”
但Tiffany说很多安全专业人士仍然“错误地认为bot流量看起来像机器行为。”相反,它来自住宅IP地址,使用真正的浏览器,做出机器干不了的行为,例如,“运行JavaScript,运行Flash,使用受害者的cookie使其看起来像真正的人类,并像真人那样与页面进行交互,这一般是通过模仿拥有被感染计算机的真人的行为来实现。”
他补充说,在某些情况下,他们甚至不必那么复杂。他说:“如果每次访问的付费只是一分钱的十分之一,那么流量看起来不会是真实的,因此这欺骗不了使用复杂分析的广告买家,但这足以让您的网站看起来很流行。”
这就是为什么bot欺骗是如此受欢迎的原因。他说:“想象一下,每次让受感染的一台计算机加载一个网页,就能挣到一分钱?没有什么比这更挣钱了。”
Fou对此表示同意。“欺诈网站所有者通过购买流量来产生广告浏览次数,他们以每千次浏览1美元的价格购买流量,并以每千次浏览10美元的价格出售广告浏览次数,他们的纯利润是9美元。”
所有这些都提出了一个明显的问题:考虑到广告客户惊人的损失,为什么没有更积极、更成功的措施来遏制它呢?
在某些情况下,有。
inAuth首席战略官Mike Lynch说,使用一种名为“速度检测”的工具,可以发现某些设备的很多行为是异常的。但他说,如果该工具使用IP地址或者cookie,bot可以轻松地打败它,因为他们会修改IP地址,禁用cookie。
他说:“因此,设备智能和一种称为设备指纹识别的方法是关键的防御措施。设备指纹越可靠,速度检测的能力就会越好,就会发现bot的蛛丝马迹。”
Lynch说,打败bot的其他技术包括:
● 静态——检测某些已知的恶意软件
● 行为——检测大量尝试、大量失败、异常流量模式、异常访问速度和访问尝试
● 蜜罐——创建蜜罐,诱骗攻击者去访问看起来是真的网站,收集攻击者的有关信息,并阻止攻击者
St Sauver说,使虚假流量或者点击产生不了价值的一种方法是,“在线零售商转而采用收入分享模式,只有在购买后才付费,而且不会由于使用被盗信用卡而被推翻。”
但他承认这样的模式有其复杂性。他说:“假设您在A网站看到广告后去访问一个跑车网站。第二天,您在B网站看到另一个广告。一个星期后,你去经销商那里买车。那么此次购买行为应链接给A网站还是B网站?”
原文网址: http://www.csoonline. com/article/3176889/security/ bots-biggest-player-on-thecybercrime-block.html