Мы уже ранее рассказывали о том, почему мошенничество с рекламой (кликфрод) не сдает своих позиций, а только усиливает натиск. Всё из-за постоянного совершенствования обманных схем и вредоносных программ мошенниками, игнорирования проблемы скликивания со стороны брендов и компаний, а также слишком навязчивой рекламы, которая усугубляет положение дел.
Сегодня мы приведем примеры реальных случаев скликивания рекламы и другого кликфрода, которые принесли ущерб в миллионы и миллиарды долларов рекламодателям по всему миру.
Пример 1. Coinminer и вредоносная реклама
Вредоносная реклама (англ. malvertising) — использование онлайн-рекламы для распространения вредоносных программ и внедрения их на устройство пользователя — ПК, планшеты, SmartTV, смартфоны, а также браузеры.
Создатели вируса Coinminer использовали его для добычи биткоинов, при которой незаконно эксплуатировались компьютеры жертв, случайно загрузивших его себе на устройство, например, вместе с вредоносным вложением в письме.
Справка. Вирус Coinminer принадлежит к семейству троянов. Активность — с 2011 года. Он захватывает веб-браузеры пользователей, подменяет отображение информации, крадет персональные данные, логины, пароли.
Признаки наличия вируса Coinminer на устройстве:
- В браузере появляется большое количество вредоносных всплывающих окон. Страницы, автоматически открываемые в браузере, редиректят пользователя на мошеннические ресурсы.
- Устройство начинает работать медленнее, программы открываются с задержкой, «выпадают».
- Процессор потребляет больше системных ресурсов компьютера.
- Окна на ПК открываются самостоятельно и хаотично.
- Страницы в браузере перенаправляют пользователя на мошеннические сайты.
По сути, это целое семейство вирусов, используемых для различных мошеннических операций.
В декабре 2017 года эксперты по кибербезопасности обнаружили, что злоумышленники распространяли Coinminer через расширение браузера Google Chrome и сообщения в Facebook (принадлежит Meta, организации, запрещенной на территории РФ). Специалисты выявили по крайней мере два варианта вредоносной программы, распространяемой через сообщения в социальной сети. Архивы вредоносных программ загружались на сервера Facebook еще до этапа отправки ссылок в диалоге, поэтому, когда пользователь получал сообщение, ссылка для загрузки фактически шла от социальной сети.
Злоумышленники отправляли сообщения через вредоносное расширение Chrome, которое сначала устанавливалось в браузере пользователя, а затем использовало API Facebook Messages. Вредонос извлекал список друзей пользователя и выполнял отправку опасных сообщений.
К тому моменту, когда все ведущие антивирусные программы довольно быстро внесли в свои алгоритмы поимку этого, Coinminer уже был распространен на множестве устройств пользователей и приносил существенный доход рекламным мошенникам, генерирующим биткоины.
Пример 2. Тайская клик-ферма WeChat
Ранее мы подробно рассказывали о клик-фермах и о том, какой ущерб они могут принести рекламодателям. В лучшем случае, они станут помехой в продвижении продукта, в худшем — нанесут урон рекламному бюджету. Масштабы действий клик-ферм могут быть разрушающими для бизнеса.
Справка. Клик-фермы выглядят так: десятки смартфонов, как правило, старых моделей и версий ОС, установленные на стойки в несколько рядов (как в магазине мобильных телефонов) и управляемые всего парой людей. В то время, как эти люди работают практически круглосуточно, чтобы заработать хоть какие-то средства к существованию, мошенники – владельцы клик-ферм – получают колоссальные доходы.
В 2017 году в ходе полицейского рейда в Таиланде, на границе с Камбоджей, была обнаружена клик-ферма. Полицейские выяснили, что ферма насчитывала 300 тыс. SIM-карт, 400 из которых были установлены в смартфоны марки iPhone.
На фото, сделанных полицией, становится ясно, что комфорт людей, которые там работали, вовсе не брался в расчет. Также они стали прекрасной иллюстрацией того, что кликфрод — огромная проблема как для рекламодателей, так и для потребителей.
Целью данной клик-фермы была раскрутка товаров на китайском рынке, продаваемых через WeChat. Исполнители управляли действиями большого количества ботов в соответствии с определенным алгоритмом на платформе.
Справка. WeChat — это не просто обмен текстовыми и голосовыми сообщениями, но еще и целая социальная платформа, являющаяся и мессенджером, и браузером, и ОС для мобильных телефонов, и социальной сетью.
Пример 3. We Purchase Apps* и имитация
*Мы покупаем приложения
В 2017 году основатели стартапов, которые создают мобильные приложения для Android и имеющие большую базу пользователей, получили электронные письма от представителей компании We Purchase Apps. Им была предложена встреча на предмет покупки «потенциально выгодных приложений».
При ближайшем рассмотрении оказалось, что дело пахнет мошенничеством. В письме данной компании был указан британский номер телефона, хотя территориально офис был зарегистрирован в Нью-Йорке, что на поверке оказалось чьим-то частным домом. При поиске какой-либо информации о компании в Google результаты и вовсе были скромными, если вообще были. Именно это и стало тревожным звоночком для большинства добросовестных разработчиков.
Сомнения появились и у разработчиков простеньких приложений, вроде мобильных игр или селфи, которые все же согласились на сделку. За чек на кругленькую сумму они разрешили новым владельцам делать все что заблагорассудится.
Ну а дальше мошенники, связанные с We Purchase Apps, следили за поведением пользователей купленных приложений, чтобы запрограммировать ботов на имитацию действий реальных людей. Делалось это с одной целью — для кликфрода и обмана рекламодателей.
Если бы не Buzzfeed News, которые раскрыли эту преступную схему, то мошенники бы и дальше продолжили свою деятельность. А крупные платформы, где всё это и происходило, остались бы в стороне и ничего бы не делали, если бы не огласка, считают эксперты.
Пример 4. HummingBad и слежка
Справка. HummingBad (от слова hummingbird — колибри) — это вредоносное ПО, разработанное для Android. Устанавливало по 50 тыс. вредоносных приложений в день, показывало по 20 млн вредоносных рекламных объявлений и приносило доход более 300 тыс. долларов в месяц.
Хоть и считается, что Азия — концентрация рекламных мошенников, на западе их не меньше, поскольку пользователи Android есть по всему миру.
Эксперты выяснили, что HummingBad ассоциирован с группой Yingmob, которые являются экспертами в области хакерства и разработки вредоносов. Также группа ответственна за создание программ, способных взламывать большинство мобильных устройств со слабой системой безопасности.
Они работали с профессиональной аналитической компанией, которая смогла проанализировать собранные данные и на их основе установить модели поведения пользователей. Вредоносная программа HummingBad устанавливалась на мобильные устройства под управлением ОС Android и полностью контролировала его в пользу мошеннической группы.
В результате под их контролем находилось более 10 млн устройств. Ежемесячно злоумышленники зарабатывали по меньшей мере 300 тыс. долларов.
Пример 5. Chamois и скрытые приложения
Серна (англ. chamois) — это вид горного козла с неветвистыми рогами, любит крутые обрывистые скалы, вблизи которых растет лес. Известен своей выносливостью и приспособляемостью. Именно благодаря такой характеристике и было названо семейство вредоносных программ, внедренное в тысячи мобильных приложений. Некоторые из них даже были обнаружены в Google Play Store. Собственно, Гугл и дал этому вирусу такое название.
Приложения искажали объем трафика с помощью всплывающих окон, а также рассылали SMS-сообщения и выполняли другие мошеннические операции с использованием скрытых приложений, устанавливаемых на устройство пользователя, когда тот просматривал рекламу. Избавиться от скрытых программ не так просто, поскольку они находятся в реестре телефона, но отсутствуют в видимом списке. Найти и удалить их могут только специалисты.
Вполне вероятно, что угрозу можно бы было обнаружить и раньше, однако вредонос содержался на таком количестве приложений, что на деле оказалось достаточно трудно их изолировать. В конце концов, Google удалось избавиться от большинства продуктов, зараженных вирусом Chamois.
Пример 6. Zirconium и редиректы
В 2017 году Zirconium стал причиной крупнейшей вспышки недобросовестной рекламы. Вредонос работал через сложную систему ложных перенаправлений. Создатели вредоноса предоставляли рекламное место на сайтах сомнительным и опасным ресурсам под видом партнерского маркетинга.
Вирус действовал так: пользователь думал, что у него возникли какие-то проблемы с программным обеспечением на устройстве. Его постоянно редиректило на различные ресурсы, а на экране всплывало окно с уведомлением о том, что необходимо обновить Flash player.
Под видом партнерки и сложной инфраструктуры в течение определенного времени это была одна из самых сложных и продуктивный сетей для кликфрода.
Пример 7. Chameleon и псведопросмотры рекламы
А этот ботнет доставил в 2015 году немало хлопот вебмастерам и рекламодателям. Он мог делать миллиарды фейковых просмотров страниц и рекламных объявлений.
Эксперты выяснили, что рекламодатели теряли от ботнета Chameleon порядка 6 млн долларов в месяц. Ботнет мог генерировать миллиарды псевдопросмотров страниц и рекламы на 200 сайтах, управляемых группой вебмастеров. Он имитировал поведение реальных пользователей, включая выполнение кликов, и приносил многомиллионный доход своим создателям.
Справка. Chameleon стал первым ботнетом, разработанным для атак на цифровую рекламу. Свыше 120 тыс. зараженных устройств участвовали в атаке сайтов и генерировали миллиарды фейковых просмотров рекламы. Рекламодатели платили порядка 0,69 долларов за тысячу просмотров.
Пример 8. Methbot и подделка сайтов
В 2016 году компания White Ops, специализирующаяся на кибербезопасности, обнаружила один из крупнейших ботнетов — Methbot, целью которого были атаки на цифровую рекламу в Европе и Северной Америке, а управляли им злоумышленники с территории России.
При помощи этого вредоноса мошенники зарабатывали от 3 до 5 млн долларов в день, атакуя рынок онлайн-рекламы. Выйти на такие обороты по заработку они смогли благодаря тщательному планированию и стратегии. Инфраструктура их ботнета насчитывала 571 904 IP-адреса. Они создали 6 тыс. доменов и 250 тыс. отдельных страниц, на которых размещалась исключительно видеореклама. Названия доменов были максимально похожи на сайты самых крупных паблишеров.
Благодаря такой уловке злоумышленники обманывали невнимательных рекламодателей и размещали на своих ресурсах самую дорогую рекламу. Боты «просматривали» от 200 до 300 млн рекламных видео ежедневно, где средняя стоимость за 1000 просмотров составляла порядка 13 долларов.
Но и это еще не всё. Они подделывали трафик, используя крупную ферму ботов, и получали доход от скликивания PPC-рекламы. На своем пике ежедневно Methbot приносил мошенникам, по оценкам экспертов, порядка 5 млн долларов.
Какой ущерб этот ботнет нанес индустрии онлайн-рекламы? Некоторые источники утверждают, что рекламодатели потеряли свыше 180 млн долларов.
Пример 9. Видеореклама, которая расходовала батарею смартфона
Что такое вредоносный рекламный баннер? Это когда скрытая видеореклама генерирует мошеннический доход и при этом расходует уровень заряда батареи на устройстве пользователя.
В 2019 году сервис BuzzFeed сообщил, что приложения для Android, использующие рекламную платформу MoPub, были втянуты в мошенническую схему кликфрода. Вредонос помещал под реальную видеорекламу свою и генерировал доход в пользу мошенников.
Жертвами этой схемы стали как потребители, так и разработчики. Разработчики не могли понять, почему их приложения так быстро расходуют уровень заряда батареи. Но на помощь пришла фирма Protected Media, которая так же, как и White Ops, занимается вопросами в сфере кликфрода.
Мошенники покупали дешевый инвентарь для показа рекламы в приложении и скрыто показывали видеорекламу, поверх которой была реальная. Клиенты не видели эти видео, так как те воспроизводились в фоновом режиме, тем самым принося доход мошенникам.
Решение Botfaqtor и защита от кликфрода
Из-за действий мошенников и грамотного построения инфраструктуры вредоносных программ могут страдать все стороны рекламной индустрии: паблишер (вебмастер), рекламодатель, конечный пользователь. Чтобы не терять репутацию или рекламный бюджет, воспользуйтесь сервисом Botfaqtor. Он защитит контекстную рекламу от скликивания ботами, а баннерную — от незаконных просмотров. Вебмастера и рекламодатели будут сразу же после регистрации защищены от ботов, которые уже находятся в стоп-листе.
Botfaqtor — это автоматическая защита с ежедневным мониторингом и отчетами. Не тратьте деньги на недействительные клики. Подключайтесь к сервису защиты от скликивания рекламы Botfaqtor!
