Давайте представим классический сценарий ограбления банка, как из фильма: преступники для совершения преступления надевают на головы маски. Зачем? Чтобы скрыть свою личность от правоохранительных органов и в дальнейшем спокойно тратить награбленное.
В наши дни, конечно же, ограбление банка — дело редкое (в 2020 году было совершено 1500 ограблений по сравнению с 7465 в 2003 году), но преступники по-прежнему ищут способы быстрого заработка за чужой счет и поэтому пытаются скрыть свою личность.
Один из способов, с помощью которого киберпреступники могут это делать, — использование различных способов маскировки IP-адресов при совершении мошеннических схем. Что это такое? Как это связано с мошенничеством в рекламе? Можно ли с этим бороться?
Что это такое
Маскировка IP-адреса — это технология сокрытия уникального идентификатора устройства пользователя в компьютерной сети от третьих лиц и замена его другим IP. Часто используется, чтобы сохранить анонимность в интернете и затруднить идентификацию настоящего местоположения пользователем или связать с определенными действиями в сети, которые он совершает.
Эта технология имеет вполне законное применение. Например, пользователи часто используют сервисы для маскировки IP-адресов, чтобы избежать вредоносной или навязчивой рекламы, обойти геоблокировку в рамках потокового контента (SmartTV) и многое другое.
Однако ей также часто злоупотребляют и мошенники, которые хотят скрыть свою незаконную деятельность — кражу денежных средств у рекламодателей. И маскировка IP-адреса позволяет им выйти сухими из воды. Мотивация для применения данной технологии та же, что и у грабителей банков — скрывать свои личности и затруднять поиск.
Как мошенники скрывают IP-адреса: 5 способов
Существуют разные способы для маскировки IP-адресов. Это и хорошо, и плохо. Хорошо, потому что дает пользователям защиту своей личности в интернете. Плохо, поскольку дает мошенникам возможность скрывать себя и анонимно атаковать ничего не подозревающих рекламодателей.
Ниже перечислены способы, с помощью которых злоумышленники могут скрывать свой IP:
1. Локальные прокси-сети
Мошенники используют прокси-сервера домашних сетей — любой сервис, который направляет трафик через сервер-посредник. Как правило, это стандартная домашняя сеть, обслуживаемая интернет-провайдером.
В большинстве случаев все IP-адреса в сети принадлежат пользователям бесплатного прокси программного обеспечения. Сервер становится дополнительным звеном и отделяет человека от посещаемого сайта. Ресурс будет думать, что прокси с выданным IP — это и есть человек, хотя это на самом деле не так.
Но не всё так радужно, особенно для рекламной сферы. Злоумышленники могут превратить жизнь рекламодателя в настоящий кошмар, потому как выделенные IP могут принадлежать не только мошенникам, но и реальным потенциальным покупателям. Поэтому прямая блокировка IP-адреса — это не всегда удачное решение.
Более того, если один IP блокируется, мошенник тут же всего за пару секунд просто подключается к другому прокси-серверу в сети — так что его работа даже не замедлится.
2. Коммерческие прокси и VPN
Мошенники могут направлять трафик через сервис VPN-провайдера и, тем самым, скрывают свой IP. Некоторые сервисы предлагают свои услуги «бесплатно», однако пользователю все равно придется платить. К примеру, интернет-издание Tech Crunch пишет:
«Как и любой бесплатный сервис или ресурс, VPN зачастую монетизируются через рекламу. Это значит, что сервис продает интернет-трафик пользователя тому, кто предложит самую высокую цену за размещение целевой рекламы, пока тот подключен к VPN. Другие бесплатные VPN могут и вовсе размещать рекламу на тех сайтах, которые посещает пользователь».
Другими словами, пользователи не платят за использование VPN-сервиса деньгами, однако они расплачиваются своими персональными данными. Что еще хуже, есть такие компании, которые не заботятся о своей репутации, поэтому запросто могут продавать мошенникам персональные данных своих пользователей: ФИО, номера телефонов, адреса проживания или электронной почты. Злоумышленники в дальнейшем могут использовать данные реальных пользователей в целях мошенничества с лидогенерацией.
3. TOR и другие анонимные браузеры
Если вы знакомы с концепцией «теневого интернета» (печально известной части глобального интернета, который скрыт от обычных браузеров), то, скорее всего, знаете о Tor и других браузерах, позволяющих хранить анонимность в сети. Концепция работы Tor практически ничем не отличается от прокси-сетей. Здесь прокси уже встроена в сам браузер.
Британская исследовательская компания Comparitech отмечает следующее:
«Когда пользователь подключается к Tor, его интернет-трафик шифруется и направляется через случайную последовательность добровольных «узлов», которые представляют собой что-то вроде прокси-серверов. Сайты видят IP-адрес только последнего сервера в этой цепочке, который называется узлом выхода».
Это связано с тем, что трафик в браузере Tor маршрутизируется через очень много разных узлов, многие из которых не рассчитаны на высокую нагрузку.
И хотя не весь трафик, идущий через Tor, мошеннический, всё же существует некая стигматизация этого браузера. Он может быть использован для преступной деятельности — выхода в «теневой интернет» в поисках незаконных сервисов, услуг и т. д.
4. Динамический IP-адрес
Если посетитель сайта хочет сделать так, чтобы его активность в сети было сложнее отследить по IP, то он может использовать динамический IP-адрес своего интернет-провайдера.
Динамический IP-адрес — это временный IP, заданный интернет-провайдером, который изменяется каждый раз, как устройство пользователя подключается к сети.
Многие резидентные IP являются динамическими по своей сути. Фактически, американская маркетинговая компания TechTarget сообщает, что «это разновидность IP-адреса, который по умолчанию предоставляется интернет-провайдерами».
Даже если бы рекламодатель заблокировал динамический IP, чтобы остановить мошенника, то всё, что злоумышленнику бы понадобилось для обхода этой блокировки, — выключить и снова включить свое устройство. Тогда у него был бы новый IP-адрес, и он продолжил бы свою мошенническую деятельность.
Однако в этом случае IP все равно будет известен интернет-провайдеру. И ему будет проще выследить мошенника.
5. Ботнеты
Многие киберпреступники скрывают свои личные IP-адреса, выполняя мошеннические операции через ботнеты. Это масштабные сети, которые объединяют устройства, зараженные вредоносным ПО, и позволяют оператору бота удаленно управлять ими.
Поскольку трафик с рекламных объявлений идет через ботнет, все IP-адреса принадлежат отдельным скомпрометированным устройствам ничего не подозревающих людей, а не фактическому мошеннику. Вместо этого злоумышленники надежно прячутся за стеной зомби-ботов (зараженных устройств) и не имеют возможности напрямую взаимодействовать с сайтом или рекламой.
В некотором смысле ботнет похож на прокси-сеть. Просто злоумышленник управляет устройствами напрямую, а не маршрутизирует трафик через них.
Легкость, с которой мошенники могут приобретать готовые ботнеты (или создавать свои собственные, если у них есть соответствующие навыки и знания), делает этот способ невероятно распространенным в рамках мошенничества с рекламой. Если рекламодатель попытается заблокировать один IP-адрес, у преступника будут буквально тысячи других, которые он может использовать.
Как остановить мошенничество с маскировкой IP
Как же можно остановить мошенничество с рекламой, при котором мошенник использует технологию маскировки своего IP-адреса? Не полагаясь только на IP в качестве единственного метода идентификации злоумышленника.
Полагаться только на IP-адрес уже постфактум — это всё равно, что полиции искать грабителя, который все еще носит маску через несколько недель после ограбления.
Вместо этого нужно использовать другие маркеры и паттерны — так же, как это делает полиция после ограбления. Там, где полицейские собирают описания физических характеристик грабителей (рост, телосложение, вес и т.д.), манера и голос, чтобы попытаться идентифицировать мошенника, рекламодателю необходимо иметь доступ к большому количеству данных о посетителях своего сайта.
Делать это вручную, собирать и анализировать каждый параметр — долго и не всегда можно быть уверенным в правильности оценки. Именно здесь может помочь решение для остановки мошенничества с рекламой от сервиса Botfaqtor.
Сервис собирает сотни данных о каждом посетителе вашего сайта, чтобы точно идентифицировать мошеннический трафик. С Botfaqtor вы можете остановить мошенников, даже если они маскируют свой IP-адрес!
Когда Botfaqtor обнаруживает, что на ваши рекламные объявления идет бот-атака, вы получаете не просто уведомление, а развернутый отчет со всей информацией, необходимой для защиты от мошенничества.
Botfaqtor сэкономил миллионы рублей для бизнеса. Мы помогли десяткам рекламодателей и составили самые интересные кейсы.
Не становитесь жертвой мошенников. Начните защищать свои рекламные кампании от скликивания прямо сейчас!
