杂志汇计算机世界

Bot(僵尸程序): 网络犯罪领域最大的玩家

作者:作者 Taylor Armerding
虽然勒索软件和 DDoS 攻击最受人瞩目,但 bot 欺骗造成的损失让他们二者相形见绌。包括受害者在内,大家对此似乎都束手无策。

在网络犯罪领域,勒索软件和DDoS攻击过去一年最受人瞩目。在旧金山最近举行的RSA会议上,专门有一整天分给勒索软件“峰会”。但是,当涉及到受害者损失的金钱以及犯罪分子勒索的金钱时,bot欺诈才是老大——非常多。

2016年,美国勒索软件造成的损失估计在10亿美元左右。而White Ops和国家广告商协会(ANA)于2016年1月发表了题为“Bot基本调查:数字广告欺诈”的研究,估计2016年全球损失为72亿美元。

营销科学咨询集团最近的一份报告估计,仅美国2016年的损失就高达310亿美元。

按照营销科学集团的网络安全和广告欺诈研究员,同时也是报告“数字广告欺诈状况分析”的作者Augustine Fou的说法,相比之下,勒索软件造成的损失都是“小钱”。

Fou把他自己描述成“bot猎人”,他说,这类网络犯罪非常多,因为它是如此容易、有利可图而且安全。

他说:“这非常有利可图,而且很容易扩散,犯罪分子对此也不用冒生命危险。他们舒服地坐在自己的椅子上就能够进行广告欺诈犯罪活动。”

事实上,Resilient Systems公司的首席技术官Bruce Schneier在最近的一篇博文中写道,“点击欺诈”的增长——旨在欺骗广告客户认为真实用户已经看过并点击了他们广告的bot,有可能导致“互联网的整个广告模式崩溃”。

关于bot欺诈是怎样工作的,在业界并不神秘。在线广告模式的基础是,广告客户根据在网站上浏览他们的广告以及点击广告的人数来付费。

公司根据每次点击费用CPC(Cost per Click)或者每千次浏览费用CPM来付费。

对于广告客户,所有这一切一开始时被认为比报纸更好,因为报纸这种方式除非给零售商发放优惠券,否则没有办法知道读者是否真正看了广告或者回应了广告。

互联网模式确保广告客户只为实际浏览或者回应(点击)广告的用户付费。

但是,bot的出现改变了这一切,它使用数千台甚至数百万台“僵尸”计算机或者僵尸网络中连接的设备,创建虚假的网站流量和欺骗性的广告“点击”。

White Ops首席执行官Michael Tiffany 说:“ 复杂bot流量的现行费率大约是每次访问1美分。如果一个僵尸网络操控者可以控制100,000台不同的计算机访问某一网站,而且他可以让这些访问看起来是真实的,那就意味着价值1000美元。”

而且,很多报道都提到,bot制造者已经非常擅长使它们表现得像真正的人类访客。

Farsight Security的科学家Joe St. Sauver说,bot制造者利用被感染的设备,在多个IP地址之间传播“流量”,使得一些点击是来自俄勒冈州,其他的来自俄亥俄州,还有的则来自俄克拉荷马州等。

他说:“该软件还可以包括一些例程,这些例程设计为模仿自然暂停,页面正在‘被阅读’,随之被点击——可能是在思考某些特性,查找本地经销商或者其他看起来像正常人类访客要做的事情。”

但Tiffany说很多安全专业人士仍然“错误地认为bot流量看起来像机器行为。”相反,它来自住宅IP地址,使用真正的浏览器,做出机器干不了的行为,例如,“运行JavaScript,运行Flash,使用受害者的cookie使其看起来像真正的人类,并像真人那样与页面进行交互,这一般是通过模仿拥有被感染计算机的真人的行为来实现。”

他补充说,在某些情况下,他们甚至不必那么复杂。他说:“如果每次访问的付费只是一分钱的十分之一,那么流量看起来不会是真实的,因此这欺骗不了使用复杂分析的广告买家,但这足以让您的网站看起来很流行。”

这就是为什么bot欺骗是如此受欢迎的原因。他说:“想象一下,每次让受感染的一台计算机加载一个网页,就能挣到一分钱?没有什么比这更挣钱了。”

Fou对此表示同意。“欺诈网站所有者通过购买流量来产生广告浏览次数,他们以每千次浏览1美元的价格购买流量,并以每千次浏览10美元的价格出售广告浏览次数,他们的纯利润是9美元。”

所有这些都提出了一个明显的问题:考虑到广告客户惊人的损失,为什么没有更积极、更成功的措施来遏制它呢?

在某些情况下,有。

inAuth首席战略官Mike Lynch说,使用一种名为“速度检测”的工具,可以发现某些设备的很多行为是异常的。但他说,如果该工具使用IP地址或者cookie,bot可以轻松地打败它,因为他们会修改IP地址,禁用cookie。

他说:“因此,设备智能和一种称为设备指纹识别的方法是关键的防御措施。设备指纹越可靠,速度检测的能力就会越好,就会发现bot的蛛丝马迹。”

Lynch说,打败bot的其他技术包括:

● 静态——检测某些已知的恶意软件

● 行为——检测大量尝试、大量失败、异常流量模式、异常访问速度和访问尝试

● 蜜罐——创建蜜罐,诱骗攻击者去访问看起来是真的网站,收集攻击者的有关信息,并阻止攻击者

St Sauver说,使虚假流量或者点击产生不了价值的一种方法是,“在线零售商转而采用收入分享模式,只有在购买后才付费,而且不会由于使用被盗信用卡而被推翻。”

但他承认这样的模式有其复杂性。他说:“假设您在A网站看到广告后去访问一个跑车网站。第二天,您在B网站看到另一个广告。一个星期后,你去经销商那里买车。那么此次购买行为应链接给A网站还是B网站?”

原文网址: http://www.csoonline. com/article/3176889/security/ bots-biggest-player-on-thecybercrime-block.html

 

人工智能提升企业生产率的 3 种方法

颠覆慢速互联网的三种技术

敏捷+ DevOps,数字化转型的关键

中科睿光发布新一代云计算操作系统 Cloudview SVM Edition V3

边缘计算(Edge computing)会把云吹散吗

Bot(僵尸程序): 网络犯罪领域最大的玩家

相关文章