маскировка IP и прокси для мошенничества

Игра в прятки: маскировка IP, резидентные прокси-серверы и боты

Давайте честно: чаще всего сервисы и инструменты анонимизации в киберпространстве используются для сокрытия каких-либо противоправных или безнравственных поступков, а также доступа к заблокированным ресурсам. Маскировка IP и резидентные прокси-серверы — это именно те инструменты, которые позволяют скрывать свою активность в сети.

Считается, что пользуются ими в основном разного рода интернет-мошенники, среди которых и злоумышленники, промышляющие на мошенничестве с рекламой. На самом деле, данные инструменты используют все: как начинающие, так и продвинутые пользователи. И у каждого из них свои цели.

Что такое IP-маскировка

IP-адрес – это уникальный адрес, идентифицирующий устройство в интернете. Маскировка позволяет скрыть его или подменить на другой. Это дает возможность пользователям сохранять за собой анонимность в сети, скрывать настоящее местоположение и не записывать просмотры и действия в интернете за своим устройством.

Зачем это пользователям

Есть множество убедительных доводов в пользу маскировки адресов, в первую очередь — сохранение конфиденциальности и анонимности. Она позволяет:

  • скрывать свой физический адрес;
  • защищать от сбора персональных данных;
  • блокировать попытки провайдеров на отслеживание онлайн-активности пользователей;
  • хранить в безопасности историю поиска;
  • блокировать вредоносную и назойливую рекламу;
  • обходить цензуру и геоблокировку для доступа к контенту, доступ к которому ограничен или защищен авторским правом в ряде стран.

У каждого найдется своя причина для сокрытия своей деятельности в интернете. 

Например, российская аудитория социальной сети Instagram* (принадлежит компании Meta, которая запрещена на территории РФ) на момент блокировки в стране 14 марта 2022 года составляла 39 млн пользователей ежедневно. После блокировки это число снизилось незначительно — до 34 млн. Учитывая, что доступ к ресурсу ограничен, нетрудно догадаться, что для входа в соцсеть они используют специальные анонимайзеры и другие подобные программы.

Зачем ботам и злоумышленникам маскировать IP

Мошенники злоупотребляют маскировкой IP-адресов, чтобы скрыть свои незаконные действия. Например, при мошенничестве с рекламой, взломе онлайн-форм и сканировании веб-страниц. Они используют ботов, которые умеют имитировать человеческое поведение, подменяют им адреса и избегают проверок безопасности.

Клик-фермы и ботнеты являются основными источниками трафика, поэтому, чтобы скрыть переходы из одного источника, злоумышленники подключают маскировку. Кроме того, киберпреступники могут использовать эту технологию для обхода блокировки по IP или фильтров безопасности для совершения DDoS-атак на сайты и серверы.

Как боты и мошенники маскируют IP-адреса

Злоумышленники могут применять различные техники для маскировки IP. Ниже мы приводим самые распространенные:

Резидентные прокси-серверы

Данные прокси расположены на реальном IP-адресе интернет-провайдера с вполне реальным местоположением. Мошенники направляют свой трафик через данные серверы, чтобы скрыть визиты и клики, выполняемые ботами, и выдать трафик за действительный.

VPN (виртуальные частные сети)

Задача таких сетей — создавать виртуальное местоположение с новым, уникальным IP-адресом. Причем, создается оно при каждом подключении. Например, сегодня вашим местоположением может быть Голландия, а завтра — Франция. Достигается это за счет глобальной серверной сети.

Злоумышленники нередко устанавливают VPN на клик-фермы или ботнеты для массового скликивания рекламы. Сервис кибербезопасности BotFAQtor анализирует тысячи кликов и, согласно собранной статистике, примерно в четверти переходов используется обфускация местоположения. 

Ботнеты

Мошенники могут контролировать случайные устройства, расположенные в разных уголках мира, заражая их вредоносными программами, а затем использовать их для генерации трафика с целью сокрытия своего местоположения и деперсонализации. Поскольку трафик исходит с частных IP-адресов, то и под подозрение они не подпадают.

Именно поэтому такую мошенническую активность достаточно сложно обнаружить и заблокировать. Кроме того, даже если вы и заблокируете один из таких IP-адресов, злоумышленники просто сменят его на один из тысяч других в своем запасе.

TOR и браузеры для анонимизации

TOR — это бесплатная сеть для обеспечения анонимной связи. Она скрывает реальный IP-адрес пользователя посредством узлов ретрансляции. На каждом узле будут известны только те адреса, которые идут перед и после него, то есть узла передачи и приема. Даже если трафик будет перехвачен, анализ данных не поможет определить исходный IP-адрес.

Почему маскировка IP до сих пор существует

Почему интернет-провайдеры и крупнейшие рекламные площадки не могут справиться самостоятельно с мошенническим трафиком? Всё просто: они не смогут полностью расследовать такую активность. Реальность такова, что в некоторых частях мира анонимность в интернете — это роскошь, но в других она может быть необходимостью.

Почему люди ищут анонимности в сети

Вспомните о протестах против «белой книги» в Китае, которые произошли в ноябре 2022 года. Центральное правительство в Пекине запретило студенческим демонстрантам распространять свое послание в интернете. Поэтому, чтобы донести свою информацию до более широкой аудитории, студенты поступили хитрее — применили сервисы анонимизации в сети, в том числе маскировку IP-адресов и прокси-серверы. 

Или вспомните недавние события в Иране, когда местные жители вышли на улицы в знак протеста против смерти молодой женщины от рук религиозных властей. Правительство Ирана жестко контролирует информацию, поступающую в страну или выходящую за ее пределы. Новости об этом противостоянии были бы сокрыты, если бы не возможность сохранять анонимность в интернете и делиться происходящим со всем остальным миром.

Взять ту же Украину, где с марта этого года заработала система, которая собирает личные данные посетителей запрещенных сайтов. Сведения о посетителях таких ресурсов — время визита, IP-адрес и т. д. — тут же передаются в правоохранительные органы в автоматическом режиме.

О блокировке социальных сетей Instagram и Facebook в России и ее аудитории мы писали выше.

Вот видите. Хоть эти технологии и можно использовать для мошеннических действий, у них есть вполне бескорыстные цели (если не брать в расчет политические интриги). Вот почему эта технология распространена повсеместно и почему крупные интернет-провайдеры ограничены в своих возможностях.

Важно. Прокси-серверы — дорогостоящая вещь. Нет бесплатных сервисов анонимизации и маскировки. Любой пользователь, который «бесплатно» скачивает и использует VPN-клиент, при его запуске открывает доступ к своей сети и своему IP другому такому же анониму или и вовсе — злоумышленнику, который направляет трафик для кликфрод-атак.

Локальные прокси-серверы — это всего лишь один из способов, с помощью которого пользователи могут скрывать свою личность в сети. Даже при содействии интернет-провайдеров в решении этого вопроса все равно будут существовать другие значительные уязвимости, на которые они не смогут повлиять. Единственный более эффективный способ — личный мониторинг трафика и использование специальных сервисов киберзащиты, таких как Botfaqtor.

Sneaker-прокси

Не так давно в обиход среди любителей сникерсов (кроссовок) вошли Sneaker-прокси. Это специализированные прокси-серверы, которые используются почитателями кроссовок от популярных брендов, таких как Nike или Adidas.

Во время запуска продаж лимитированных коллекций бренды установили правило: не более одной пары в одни руки (один IP). Так они пытаются предотвратить массовую скупку товаров одним пользователем.

О том, как мошенники используют гринч-ботов для скупки таких товаров и дальнейшей спекуляции, мы писали ранее.

Приобретение эксклюзивных товаров, пользующихся высоким спросом, привело к появлению ряда сложных и креативных решений. К сожалению, такая изобретательность превратила обычных пользователей интернета в мастеров анонимности. И эти методы теперь могут быть использованы во вредоносных целях.

Как определить трафик с маскировкой IP

Маскировка IP-адресов в целях мошенничества с рекламой доставляет головную боль маркетологам, поскольку с помощью этой технологии злоумышленники скрывают недействительные клики со стороны клик-ферм и ботнетов. Доходит даже до того, что мошенники намеренно генерируют трафик из регионов с более высокой стоимостью клика, чтобы увеличить себе выплаты.

Вот несколько советов, как определить замаскированный IP-трафик:

Анализируйте источники

Первый шаг к борьбе с мошенническими переходами через IP-маскировку — проверка доменов у источников трафика. Если в статистике переходов по сайту или рекламной кампании вы видите широкую географию визитов, вполне вероятно, что вы стали жертвой мошенников. Можете проанализировать логи своего сервера, чтобы узнать и заблокировать подозрительные IP-адреса. 

Учитывайте различные маркеры

При блокировке пользователей не стоит учитывать лишь IP. Так вы можете случайно или ошибочно заблокировать действительный трафик. Ведь злоумышленники могут использовать ботнеты или метод частой смены IP-адресов при выполнении атак. Чтобы выявить мошеннические визиты, необходимо анализировать и другие маркеры, среди которых ID устройства, тип браузера и поведенческие паттерны.

Исследуйте заголовки IP-пакетов

На предмет подозрительных данных желательно изучать заголовки пакетов, которые содержат информацию о содержимом, происхождении и назначении. Это позволит тщательнее рассмотреть технический аспект и обнаружить подтверждающую информацию, к примеру тип браузера или его версию, операционную систему устройства и т. д.

Например, если в статистике по рекламе вы видите множество визитов с одного  и того же IP-адреса, но с различных устройств и браузеров, то, вероятнее всего, атака идет с прокси-сервера. В дальнейшем вы сможете проанализировать визиты всех пользователей с этого «айпишника» и собрать явные признаки недействительного трафика.

Обращайте внимание на искаженные данные

Проанализируйте, насколько глубоко пользователи, которые посещают ваш сайт, деперсонализируют себя. Злоумышленники, помимо изменения IP, фальсифицируют и другие данные. Эта информация позволит вам отличить их от тех пользователей, которые всего лишь используют VPN для обхода блокировок.

К примеру, если вы видите, что визит выполнен с мобильного устройства, однако в заголовке пакета отображается наличие расширений для браузера (а на мобилках их не должно быть), то можно сделать законный вывод, что данный переход — мошеннический.

Используйте комплексную систему киберзащиты для рекламы или сайта

Если советы выше вам не подходят, у вас нет знаний, опыта и времени, обратитесь за помощью к специальным сервисам блокировки вредоносного и мошеннического трафика. Для компаний, которые серьезно относятся к безопасности своих рекламных кампаний и ресурсов, комплексная платформа киберзащиты поможет автоматически обнаруживать и блокировать недопустимый трафик и обеспечит дополнительную информацию о маркетинговой аналитике.

Не блокировкой по IP единой

Время покажет, как эти навыки будут адаптированы за пределами среды sneaker-proxy. Новое поколение интернет-пользователей уже начало менять то, как мы смотрим на наш физический ландшафт, используя новые перспективы. 

Могут ли представители поколения Z и миллениалы помочь нам найти новые и креативные способы применения прокси-технологий? В этом нет сомнений.

А пока рекламодателям и владельцам ресурсов нужно искать эффективные способы и средства борьбы с мошенническим трафиком. Технологии и креативность создают взаимосвязь инноваций, которые могут быть использованы как в полезных, так и во вредоносных целях.

Если мы будем полагаться на усредненные и старые решения, которые не могут точно отличить реальный трафик от ботового, блокируют пользователей только по одному IP-адресу, то рискуем потерять потенциальных пользователей и возможную выгоду. Требуются более тонкие решения, которые позволят исключить поддельный трафик.

Botfaqtor — защита вашей рекламы и сайтов от ботов

Наш сервис киберзащиты работает на базе алгоритма, который выявляет недействительный трафик и визиты по более чем 100 техническим и поведенческим параметрам. К ним относится анализ IP-адресов, версия и модель устройства, браузера, ОС, время визита, поведение на сайте и многие другие параметры.

Алгоритм обучается в режиме реального времени и адаптируется под различные паттерны поведения и характеристики ботов и скликивателей.

С Botfaqtor вы сможете бороться с недействительными кликами, даже если злоумышленники используют для этого маскировку IP-адресов. Достигайте целей вместе сервисом киберзащиты Botfaqtor, не позволяйте мошенникам расходовать ваш рекламный бюджет на ботов.

Запишитесь на демонстрацию, и мы покажем вам, как работает сервис блокировки бот-трафика Botfaqtor. Или подключите его и бесплатно проверяйте трафик по своим рекламным кампаниям в Яндекс.Директ или Google Ads в течение 7 дней.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий