Клик-боты присутствуют в истории контекстной рекламы с самого ее появления и продолжают досаждать маркетологам и по сей день. Эти надоедливые автоматизированные вредоносные скрипты пожирают бюджеты рекламодателей, совершенствуются и не собираются покидать насиженные места.
Удручающая статистика рынка контекстной рекламы показывает, что ущерб от ботов исчисляется десятками миллиардов долларов в год и к концу 2023 достигнет 100 млрд. Резкий скачок произошел после 2018 года — на тот момент мошенники смогли опустошить карманы рекламодателей на 35 млрд долларов.
В этой статье мы расскажем об истории развития ботов-скликивателей, их роли в скликивании рекламы и как можно защитить свои рекламные кампании от мошенников.
Что такое клик-боты
Клик-бот — это тип программного обеспечения, разработанного для имитации кликов по рекламе или выполнения действий с любым другим типом веб-контента. Они могут находиться в составе ботнетов, разработанных специально для скликивания рекламных кампаний.
Не все боты вредоносные. Есть, конечно же, и полезные программы. К примеру, есть такие, которые сканируют сайты на ошибки, проверяют ссылки в электронных письмах на наличие спама, выполняют другие автоматические задачи.
Но, к сожалению, большинство клик-ботов на данный момент используются в мошеннических целях: от генерации фальшивого трафика до манипулирования рекламными кампаниями. Они не на шутку подрывают всю экосистему интернета.
Самые простые боты могут «нажимать» на кнопки, комментировать статьи на сайтах и записи в социальных сетях (спамить) или посещать сайты (генерировать веб-трафик). За последние годы сменилось несколько поколений клик-ботов.
Мошенники разрабатывают более сложные скрипты для выполнения комплексных действий и даже для имитации поведения реальных пользователей. Такие программы могут просматривать сайты, добавлять товары в корзину интернет-магазина, а также заполнять онлайн-формы и скачивать файлы.
Кроме отдельных клик-ботов существуют еще и ботнеты. Они представляют собой сети из зараженных вредоносами устройств. Каждая такая вредоносная программа создает из устройства новую точку атаки — бота — и использует его для выполнения задач как в самостоятельном режиме, так и в массовых атаках (например, DDoS).
Ботами в составе ботнетов, как правило, управляет оператор через сервер командования и управления. Вредоносы могут «вселяться» как в сервера дата-центров, так и в пользовательские устройства, такие как ноутбуки, смартфоны, чайники и другую компьютерную и бытовую технику с выходом в интернет.
Что они умеют
Основная задача клик-ботов — генерация фальшивых кликов по рекламе, то есть искусственная накрутка трафика. Делают они это так, будто переходы по рекламным объявлениям выполняют люди. Они даже ведут себя так же, как реальные пользователи.
Суть следующая: объявления размещаются на сайте(-ах), который принадлежит мошеннику, который затем «гонит» недействительный трафик при помощи ботов по этим объявлениям и собирает выплаты.
В число задач роботов-скликивателей также входит рассылка и размещение спама, комментирование, генерация трафика в социальных сетях. Помимо этого, бот-трафик может использоваться для вредоносного мошенничества, такого как распространение вирусов, или для выполнения киберпреступных атак, таких как DDoS.
Как они это делают
С технической точки зрения, сами по себе боты — это разновидность вируса или трояна, который заражает устройство с доступом к Интернету. Это может быть персональный компьютер, планшет, сервер, роутер, телефон и т. д.
В дальнейшем эти устройства, находящиеся под управлением оператора, используются как часть ботнета для массового и масштабного скликивания рекламы или же для локального мошенничества с кликами в мобильных приложениях. Например, клик-спам или внедрение кликов.
Каким бы ни был метод злоумышленников, за каждый переход по объявлению платит рекламодатель.
Кликфрод до 2006 года
В истории интернета до 2006 года встречаются упоминания о мошенничестве с кликами, а также практике размещения рекламных объявлений на некачественных сайтах с последующим простым скликиванием. Недобросовестные владельцы ресурсов регистрировали свой некачественный сайт в Google AdSense, а затем сами скликивали размещённую рекламу (или нанимали того, кто делал это вместо них).
Даже в 2003 году уже были упоминания о ботах, которые скликивали объявления, однако большая часть информации основана на предположениях и частичных исследованиях. По этим данным и зарождающейся проблеме мошенничества с кликами Google наняла специальную команду для ее решения.
Скликивание конкурентами также преследует контекстную рекламу с момента появления. Такая практика существует и по сей день. Таким образом, массовый кликфрод как существенная глобальная проблема с многомиллиардным ущербом был всего лишь вопросом времени.
Кликфрод после 2006 года
Clickbot A
Годы активности: 2006 г.
Примерный ущерб: 50 тыс. долларов
Примерное кол-во заражений: 100 тыс. компьютеров
В 2006 году специалисты компании Google обнаружили вредоносное программное обеспечение под названием Clickbot A, которое скрытно проводило кликфрод-атаки в синдицированных поисковых сетях. Бот атаковал результаты поиска на монетизируемых через Google Рекламу сайтах. Для атак использовалось 100 тыс. зараженных компьютеров.
Ботнет Clickbot A стал первым реальным доказательством использования бот-сетей для скликивания рекламы. Он нанес ущерб рекламодателям на сумму порядка 50 000 долларов. Однако такой размах бледнеет на фоне более масштабных ботнетов, которые появились позднее.
Подробнее о Clickbot A можно почитать в этой статье.
DNS Changer
Годы активности: 2007 – 2011 гг.
Примерный ущерб: 14 млн долларов
Примерное кол-во заражений: 4 млн компьютеров (Internet Explorer и Apple)
Ботнет DNS Changer был создан русско-эстонской хакерской группировкой, действующей под названием Rove Digital. Злоумышленники заражали веб-браузеры ботами для выполнения кликфрод-атак. Вредонос подменял web-адреса на зараженных устройствах на домены, принадлежащие группировке, и показывал монетизируемую рекламу.
DNS Changer работал в течение 4 лет и блокировал обновление антивирусных программ. Владимир Цастин, член киберпреступной группировки, был осужден за мошенничество с использованием электронных средств связи и отмывание денег. Это одно из первых судебных дел против владельцев ботнетов по мошенничеству с рекламой.
Miuref
Годы активности: 2013 г. – по настоящее время
Примерный ущерб: Неизвестно
Примерное кол-во заражений: Неизвестно
Miuref, также известен как Boaxxe, гибнет и снова возрождается, словно Терминатор. Это троянский вирус, который доставляется вместе с поддельными файлами и используется для различных бот-атак в сети. В частности, он в свое время был в составе ботнета 3ve.
Miuref может майнить биткоины, красть данные пользователей и использовать уязвимости в системе безопасности. Несмотря на то, что ботнет обнаруживается и удаляется антивирусными программами, он всё равно продолжает распространяться и остается проблемой для интернет-пользователей.
Точно неизвестно, какой ущерб смог нанести Miuref онлайн-сообществу, поскольку он часто использовался совместно с другими ботнетами. Однако, поскольку злоумышленники использовали его для широкого спектра атак, ущерб, который он нанес, будет исчисляться миллиардами.
Stantinko
Годы активности: 2012 г. – по настоящее время
Примерный ущерб: Неизвестно
Примерное кол-во заражений: более 500 тыс. устройств
Другой многоцелевой ботнет — Stantinko — изначально использовался для мошенничества с рекламой, однако недавно переквалифицировался на крипто-майнинг.
Первоначально он представлял собой вредоносный компонент расширений в браузере Chrome, с помощью которого злоумышленники внедряли стороннюю рекламу на просматриваемые пользователем сайты. Кроме того, бот был способен устанавливать рекламное ПО, получать доступ к сайтам на CMS WordPress и Joomla и выполнять поиск в Google.
Группировке, стоящей за этим ботнетом, удавалось поддерживать его работу в течение стольких лет за счет кода, который умело был скрыт за легальным кодом. Stantinko ориентирован в основном на Россию и Украину, но также был обнаружен и за их пределами.
Bamital
Годы активности: 2009 – 2013 гг.
Примерный ущерб: 700 тыс. долларов в год
Примерное кол-во заражений: до 1 млн ПК
Ботнет Bamital был обнаружен Microsoft в 2013 году. Это тип вредоносного ПО, предназначенного для скликивания рекламы, перенаправления пользователей из поисковых систем на рекламу или страницы с вредоносным ПО. Сложность обнаружения данного вредоноса заключалась в том, что он скрывался на страницах сайта и устанавливался на устройство посредством загрузки «drive-by download».
По оценкам экспертов, Bamital приносил своим операторам доход в размере до 1 миллиона долларов в год. От технологии перехвата поиска, используемой ботнетом, пострадали поисковики Google, Bing и Yahoo.
Chameleon
Годы активности: 2013 г.
Примерный ущерб: порядка 6 млн долларов в день
Примерное кол-во заражений: 120 тыс. ПК
Ботнет Chameleon — самая первая сеть, состоящая из клик-ботов, способных имитировать поведение реальных пользователей. Он атаковал исключительно медийную рекламу, что также являлось новшеством.
Несмотря на относительную простоту, он смог увести более 50% доходов от рекламы с 200 целевых сайтов за счет равномерной случайной серии мошеннических кликов.
Kovter
Годы активности: 2014 г. – по настоящее время
Примерный ущерб: Неизвестно
Примерное кол-во заражений: Неизвестно
Еще один ботнет, созданный для мошенничества с кликами. Kovter существует по сей день. Как и другие вредоносные программы длительного действия, он умело мимикрировал под легальный код, включая файлы реестра Windows.
Его фишка — активность, когда система находится в «режиме сна» или «ожидания». Также ботнет Kovter способен отключаться, когда пользователь запускает сканирование системы. Это затрудняет его обнаружение стандартными антивирусами.
Methbot
Годы активности: 2015 – 2017 гг.
Примерный ущерб: 3 млн долларов в день (на пике активности)
Примерное кол-во заражений: 1,9 тыс. выделенных серверов на 852 тыс. фальшивых IP-адресах
Methbot был одним из самых крупных ботнетов в истории кликфрода. Это самый знаменитый вредонос. Он использовал зараженные сервера для подделки идентификационных данных сайта и генерации фальшивых просмотров видеорекламы.
По словам специалистов в области кибербезопасности, хакерская группировка, стоявшая за ботнетом Methbot, зарабатывала до 5 миллионов долларов в день на недействительных просмотрах.
Отличительной особенностью Methbot была способность выдавать свой поддельный инвентарь за премиум. Он серьезно переполошил всю индустрию цифрового маркетинга. На данный момент ботнет остается стандартом для схем, используемых для фрода, хотя его преемник, 3ve, в конечном итоге превзошел его и стал крупнейшей мошеннической бот-сетью.
3ve (Eve)
Годы активности: 2017 – 2018 гг.
Примерный ущерб: не менее 29 млн долларов
Примерное кол-во заражений: 1,7 млн компьютеров
3ve — самый мощный ботнет из мира цифровых технологий, почти как ЕD-209 из «Робокопа». Поскольку Methbot был нейтрализован силами ФБР, вслед за ним появился новый, более масштабный ботнет — 3ve. За ним стояла всё та же команда, что и за Methbot, однако сложность новой схемы кибермошенничества была действительно впечатляющей.
Он был способен к генерации еще большего количества просмотров видеорекламы, а также умудрялся работать даже с учетом ads.txt, фактически используя списки внутри него для подделки инвентаря.
Как оказалось, за этой масштабной мошеннической схемой стояли граждане России и Казахстана. По оценкам экспертов, хакерская группировка смогла заработать с помощью ботнета 3ve порядка 29 млн долларов.
Подробнее о 3ve и Methbot мы писали ранее.
HummingBad
Годы активности: 2016 г.
Примерный ущерб: 300 тыс. долларов в месяц (в 2016 г.)
Примерное кол-во заражений: 10 млн устройств на ОС Android по всему миру
Ботнет HummingBad скликивал рекламу в приложениях Google Play. Это вредоносная программа, разработанная, предположительно, китайской компанией YingMob для генерации кликов по рекламе. Она послужила катализатором изучения проблемы заражения мобильных приложений.
ПО было не только рекламным клик-ботом, но и обладало способностью маскировать источник кликов и устанавливать программное обеспечение на устройства без ведома пользователя. Несмотря на то, что он был ликвидирован в 2016 году, в 2017 году он появился вновь уже под названием HummingWhale и заразил более 20 приложений в Google Play Store.
HyphBot
Годы активности: 2017 г.
Примерный ущерб: До 1,2 млн долларов в день
Примерное кол-во заражений: не менее 500 тыс. компьютеров в США, Великобритании, Нидерландах и Канады
Еще один рекламный скликиватель, который умудрялся обходить ads.txt. Ботнет HyphBot был в 3-4 раза масштабнее, чем Methbot. По файлу ads.txt злоумышленники составляли доменные имена, на которых генерировали поддельные просмотры видеорекламы.
У ботнета HyphBot был непродолжительный период активности, однако этого хватило, чтобы опустошить карманы рекламодателей на миллионы долларов.
DrainerBot
Годы активности: 2018 – 2019 гг.
Примерный ущерб: Неизвестно
Примерное кол-во заражений: не менее 10 млн
Ботнет DrainerBot встраивался как вредонос в комплект SDK на устройствах под управлением ОС Android и избегал сканирования службой безопасности приложений Google Play Protect. Он воспроизводил видеорекламу в фоновом режиме, расходовал при этом большое количество данных и «пожирал» заряд батареи устройства. Неудивительно, почему вредоносная программа получила название DrainerBot. Он мог использовать до 10 ГБ данных.
Все приложения, зараженные вредоносном DrainerBot, были удалены из Play Store, однако не исключено, что этот клик-бот для мошенничества с рекламой все еще существует…
Подробнее о нем мы писали ранее.
404Bot
Годы активности: 2018 – по настоящее время
Примерный ущерб: не менее 15 млн долларов
Примерное кол-во заражений: Неизвестно
Еще один ботнет, использующий уязвимости в ads.txt. С помощью 404Bot злоумышленники подделывали инвентаризацию домена — практически так же, как и у HyphBot. Учитывая ущерб, оцениваемый в 15 миллионов долларов по состоянию на февраль 2020 года, неизвестно, сколько еще миллионов будет выведено ботнетом 404Bot.
Tekya
Годы активности: 2019 – 2020 гг.
Примерный ущерб: Неизвестно
Примерное кол-во заражений: не менее 56 приложений, свыше 1 млн установок
Ботнет Tekya был обнаружен в 56 приложениях для Android, включая игры для детей и служебные приложения. Вредонос работал в фоновом режиме устройства и использовал для этого вредоносного клик-бота под названием Haken. Tekya смог заразить свыше 1 млн устройств, с помощью которых выполнял атаки для скликивания видимых и невидимых рекламных объявлений, имитируя поведение реальных пользователей.
И это еще не всё…
На самом деле, это неполный список бот-сетей, разработанных для скликивания рекламы и других видов мошенничества. Например, экспертам по кибербезопасности и маркетологам известны и другие ботнеты, такие как Judy, IceBucket или SourMint и т. д. Существуют еще десятки других, более мелких, без названий и с коротким периодом активности, из-за чего обнаружить их становится намного сложнее.
Влияние ботов и сетей на рекламные кампании
Клик-боты и ботнеты могут стать настоящей головной болью для всех, кто запускает рекламные кампании на цифровых площадках: начиная от владельцев бизнеса и заканчивая маркетинговыми компаниями.
Мы уже говорили ранее, что недействительные клики влияют на рекламу и ее бюджеты. К сожалению, это также приводит ко многим другим негативным последствиям:
- Излишний расход рекламного бюджета. Это главная проблема, которую несут клик-боты. За каждый недействительный переход по объявлению рекламодатель платит деньги. Бюджет расходуется, трафик растет, но к конверсиям это не приводит.
- Испорченная аналитика. Недействительные данные по трафику подмешиваются в аналитику по РК и приводят к принятию ошибочных решений по эффективности.
- Усложнение процесса оптимизации РК. Корректировка кампании на основе нерелевантных данных не принесет положительного результата, что снова приводит к пустой трате ваших времени и усилий.
- Снижение вовлеченности. Когда клик-боты искусственно увеличивают количество переходов, это может привести к снижению вовлеченности реальных пользователей.
- Неэффективный таргетинг рекламы. Корректировка таргетинга на целевую аудиторию по статистике рекламы, в которой присутствует бот-трафик, приводит в ошибочной оптимизации РК и недействительным показам.
Как мы видим, клик-боты влияют не только на рекламные кампании, но и представляют угрозу для маркетинговых работ, бюджета и развития бизнеса.
Как обнаружить и заблокировать клик-ботов
Обнаружить ботов в рекламной статистике — задача не из легких. Сделать это вручную практически невозможно. Каждую секунду, с каждым кликом по рекламе мошенники наносят ущерб рекламодателям и расходуют их бюджет. Вот несколько практических шагов, которые вы можете предпринять, чтобы обнаруживать деятельность ботнетов или скликивателей и избежать их:
- Следите за посещаемостью вашего сайта.
- Сузьте таргетинг.
- Ограничьте время показа рекламы.
- Внедрение CAPTCHA на сайт.
Эти шаги позволят уменьшить влияние бот-трафика, однако они не могут гарантировать 100%-ную эффективность. Кроме того, ручная проверка и последующие работы отнимают много времени и усилий, а также требуют соответствующих знаний.
BOTFAQTOR — блокирует ботов 24/7
Хотите автоматизировать проверку кликов по рекламе? Подключите сервис киберзащиты от ботов Botfaqtor:
- Защищаем рекламные кампании в Яндекс.Директ и Google Ads, а также сайты паблишеров и вебмастеров, которые участвуют в КМС и РСЯ.
- У нас есть стоп-лист, в который попадают все когда-либо пойманные системой боты. При подключении ваша реклама будет сразу защищена от 33 млн ботов в Яндекс.Директ и 15 млн в Google Ads.
- Алгоритм работает в режиме реального времени 24/7, использует машинное обучение для поиска и определения новых паттернов ботового поведения и анализирует переходы по сотням технических и поведенческих параметров.
- Есть бесплатная пробная версия на 7 дней. Зарегистрируйтесь в сервисе и подключите свою рекламную кампанию. Дальше на вас и ваш бизнес будет работать система киберзащиты Botfaqtor.
Исключите бот-трафик из своих рекламных кампаний — подключите сервис блокировки недействительных кликов Botfaqtor. На тестовом периоде вы можете узнать, какой процент ботов присутствует в вашей статистике и сколько денег вы сливаете в карманы мошенников. Убедитесь, что ваши объявления видит только потенциальная аудитория, а не клик-боты.
