Methbot и 3ve: описание, технологии кликфрода, ущерб

10 ноября 2021 года Александр Жуков, «король цифрового мошенничества», как он сам себя называет, был приговорён к 10 годам заключения и возмещению ущерба в размере 3,8 млн долларов. Об этом мы писали ранее.

В Министерстве юстиции США заявили, что в период с сентября 2014 по декабрь 2016 года Александр Жуков и несколько сообщников осуществили мошенничество с цифровой рекламой через предполагаемую рекламную сеть Media Methan.

НазваниеMethbot и 3ve (Eve)
СтатусУстранены
ОписаниеДва самых крупных ботнета, направленные на мошенничество с цифровой рекламой. Использовались для генерации фальшивых просмотров видеорекламы. По примерной оценке, с их помощью мошенники смогли заработать свыше 36 млн долларов в период с 2014 по 2018 гг. 

Что такое Methbot

Methbot — это самая крупная сеть ботов, созданная для мошенничества с цифровой рекламой. Данный ботнет использовался для просмотра видеокрекламы роботами в автоматизированном режиме на подставных сайтах. Операторы «Метбота», очевидно, вложили много денег, времени и сил в разработку своей технологии, поскольку она была обманчиво простой, но убийственно эффективной.

Принцип работы

Ботами были зараженные вредоносом компьютеры сторонних пользователей, но большая часть активности контролировалась с централизованных серверов в США и Нидерландах. Выделенные прокси-серверы маскировали настоящее местоположение зараженных устройств с использованием полученных реальных IP-адресов.

Считается, что на пике своей активности Methbot суммарно генерировал через всю свою цифровую инфраструктуру до 400 000 ложных просмотров рекламы в день.

Кто стал жертвой

Бренды

Для этого использовалось невероятное количество поддельных доменов – 250 тыс. Всё это были клоны реальных популярных сайтов. Среди ресурсов были дубли таких известных и высоко посещаемых сайтов, как:

The Wall Street Journal

The Mail Online

Accuweather

ESPN

AOL

BBC.com

Business Insider

CNN

Другими словами, если вас попросить назвать какой-нибудь самый популярный сайт, то, вероятнее всего, он тоже был в списке команды Methbot. 

Рекламодатели и маркетологи

Рекламодатели со своей стороны видели это так: видеореклама показывалась на вышеперечисленных известных сайтах с большим количеством просмотров. Все они оплачивались. Кроме просмотров реклама должна была вести к увеличению кликов и повышению продаж. Однако этого не последовало.

Что такое 3ve

Операторы, стоявшие за Methbot, участвовали и в разработке ботнета 3ve. По мере расширения этой сети, становилось ясно, что «Метбот» был всего лишь тренировочным вариантом более сложного и масштабного киберпреступного бизнеса.

И действительно, ботнет 3ve был чрезвычайно сложным, со множеством вспомогательных схем, ботов и вредоносных программ из семейства троянов для распространения кода на большем количестве устройств. В режиме нон-стоп владельцы 3ve генерировали выручку за просмотры видеорекламы больше, чем на том же «Метботе», который до сих пор был самым крупным ботнетом.

Несмотря на то, что обе сети имеют много общего, 3ve была гораздо более продвинутой, она стала основой для современных методов кликфрода. Ее ключевым отличием от Methbot было то, что 3ve в основном базировалась на удаленных зараженных компьютерах. Обе использовали скомпрометированные IP-адреса для маскировки своей активности и направляли трафик через огромный список поддельных сайтов.

Принцип работы

3ve была основана на сложной инфраструктуре из трех отдельных, но взаимосвязанных ботнетов, все из которых совершали примерно одни и те же операции. Как и в случае с Methbot, у операторов был доступ к огромному количеству зараженных устройств, которыми они могли управлять удаленно. Через устройства-«зомби» они открывали на них браузеры и заходили на собственные поддельные сайты, а затем направляли ботов для выполнения скликивания и фальшивых просмотров.

Данный способ уже не новинка, его успешно вычисляют и блокируют системы защиты от кликфрода, однако на тот момент о нем еще никто не знал.

Практика скликивания рекламных объявлений на сегодняшний день не нова. Но в то время это был ультрасовременный подход — его было невероятно сложно определить и заблокировать.

Фактически, 3ve эксплуатировал другие ботнеты, действовавшие в то время, включая Kovter и Boaxxe (он же Miuref). Их использовали для получения ценных IP-адресов для маскировки своей мошеннической активности или для ведения крупных бот-атак.

Кто создал 3ve и Methbot

Создателями этих крупных и сложных систем была команда киберпреступников, состоявшая преимущественно из выходцев из России и Казахстана. Александр Жуков, Евгений Тимченко, Сергей Денисов и Сергей Овсянников были арестованы и обвинены в сговоре с целью совершения мошенничества с использованием электронных средств, отмывании денежных средств, краже личных данных при отягчающих обстоятельствах и сговоре с целью совершения компьютерного вторжения.

По меньшей мере еще пять членов этой преступной сети все еще находятся на свободе. Методы и процессы, используемые хакерами для кликфрода, служат источником вдохновения для многих современных кибермошенников.

Способы кликфрода через Methbot и 3ve

Распределенные сервера

Ботнет Methbot использовал более 2000 физических серверов, расположенных в центрах обработки данных в Далласе, штат Техас, и Амстердаме, Нидерланды. Каждый сервер запускал несколько экземпляров браузера Methbot и прокси-сервер для обмана с IP-адресами.

Прокси-сеть с большим количеством резидентных IP-адресов

Мошенничество с рекламой, где атаки идут с центров обработки данных, как правило, можно легко обнаружить по разным признакам, один из них — IP-адрес. Для совершения большинства мошеннических операций киберпреступники заражают частные ПК при помощи вредоносных программ.

После заражения ботнет использует IP-адрес зараженного устройства и запускает поддельные сеансы браузера в фоновом режиме без ведома пострадавшего пользователя. Такая схема мошенничества предполагает непрерывную работу, поскольку эксплуатируемые устройства чистятся антивирусными программами, а мошенникам постоянно нужны новые боты.

Операторы Methbot использовали другой подход: они арендовали более 650 тыс. резидентных IP-адресов по поддельным регистрационным данным и заставили ботов имитировать настоящих интернет-пользователей, визиты которых шли через легальных интернет-провайдеров.

Продвинутый технологический стек с открытым исходным кодом

Пользовательское ПО, на котором работал Methbot, использовало несколько библиотек с открытым исходным кодом для добавления необходимых функций.

  • js как базовая среда JavaScript (JS) для выполнения кода JS.
  • /tough-cookie файл для фальшивых сеансов и сохранения постоянных идентификаторов, к примеру, логин на Facebook (*принадлежит Meta, запрещенной на территории РФ организации). В первую очередь мошенники использовали данную технологию для достижения более высоких показателей эффективности, поскольку информация, принадлежащая какому-то конкретному пользователю, а не абстрактный показатель, более ценна для рекламодателя и модели таргетинга.
  • Библиотека cheerio для разбора HTML-разметки и обхода / манипулирования результирующей структурой данных.
  • JWPlayer для запроса видеорекламы и программного взаимодействия с видеоплеером.

Симуляция реального браузера

Помимо отправки бот-трафика через прокси при помощи резидентных IP-адресов, Methbot также мог имитировать реальные браузеры следующими способами:

  • User-agent. «Метбот» мог подделывать строку агента пользователя, выдавая себя за разные браузеры, такие как Chrome, Firefox, Internet Explorer 11 и даже Safari.
  • Операционная система. Даже операционная система подделывалась, чтобы создавать имитацию запросов от Windows и разных версий macOS.
  • Характеристики экрана. Информация о разрешении, ширине и высоте экрана, настройке цвета, глубине пикселей — все эти характеристики подделывались.
  • Расширения браузера. Создатели ботнета даже подумали о добавлении информации, поступающей из разных расширений браузера.
  • Имитация человеческого взаимодействия. Methbot внедрил случайный таймер, который имитировал клики на веб-сайте, а также был способен случайным образом имитировать клики в самом видеоплеере, чтобы добиться реалистичного поведения бота и перехитрить любую логику проверки кликов.

Подделка доменов премиальных сайтов для более высокого CPM

Чтобы достичь более высоких показателей, Methbot подделывал URL-адреса, выдавая себя за сайт премиум-паблишера. Мошенники делали это в три этапа:

  1. Поддельный веб-сайт. Из списка премиум-паблишеров (например vogue.com , espn.com , foxnews.com) выбирался URL-адрес. Затем система клонировала сайт и размещала ровно такой контент, который был необходим для запуска видеорекламы.
  2. Предложение. Methbot запрашивал размещение видеорекламы на сайте через рекламную сеть, используя шаблон показа видеорекламы (VAST) со своим собственным уникальным идентификатором, чтобы показ рекламы был засчитан.
  3. Создание просмотров и кликов с помощью бот-трафика. Видеорекламу просматривают боты, посещающие сайт-клон, созданный на первом этапе. Делали они это через резидентные прокси, поэтому всё выглядело так, словно видеорекламу смотрят реальные пользователя. Более того, Methbot загружал любой код, поступающий из рекламной сети для борьбы с мошенничеством или проверки видимости, и внедрял туда ложные сведения.

Подводя итог, можно сказать, что создатели «Метбота» не пожалели средств и усилий, чтобы создать наилучший из возможных ботнетов. Разработчики пошли дальше и перестроили логику наиболее широко используемых сервисов обнаружения кликфрода и блокировки ботов, чтобы обмануть их системы и скрыть подозрительный трафик.

Ущерб

В самом разгаре своей мошеннической активности киберпреступники с помощью Methbot могли подделывать от 200 до 400 млн просмотров видеорекламы в день с использованием более 2000 различных серверов с более чем 650 тыс. резидентных IP-адресов. При относительно дорогой стоимости одного показа видеорекламы (от 3 до 36 долларов), по оценкам экспертов, эта схема приносила своим операторам от 3 до 5 млн долларов дохода в день!

Methbot смог подделать более 6000 доменов с более чем 250 тыс. URL-адресов, скомпрометировал премиум- и популярные ресурсы, включая частные торговые площадки (PMP).

В двух словах, Methbot показывал настоящую рекламу от реальных рекламодателей и рекламных сетей несуществующим пользователям (ботам) через поддельные сайты. Это были продвинутые и «обученные» скрипты, которые могли выдавать себя за реальных пользователей. Они посещали сайты-клоны через ненастоящий браузер, имитируя движения мыши, прокручивая страницу, запуская и останавливая видеоплеер. Боты даже могли притворяться пользователями социальных сетей.

Разоблачение «Метбота»

Когда White Ops раскрыли весь масштаб этого кибермошенничества, то сообщили о своих выводах в ФБР, что положило начало конца Methbot. Но, на самом деле, это был еще не конец всей этой масштабной и сложной операции.

Пока этот ботнет снижал свою активность, другое его продолжение, наоборот, ее наращивало. 3ve (произносится как Eve) рассматривался как довольно ничем не примечательный ботнет, выполняющий низкоуровневое мошенничество с рекламой на ПК.

Однако в 2017 году 3ve стал обрабатывать все больше и больше запросов на рекламу, по оценкам экспертов, от 3 до 12 млрд просмотров в день. Но в итоге виновники всей этой мошеннической операции длиной в несколько лет и с ущербом в миллиарды долларов были пойманы. Их технологии обмана рекламодателей были переняты уже новыми киберпреступниками. Встает один вопрос: можно ли этому как-то противостоять?

Защита от кликфрода и ботнетов

Масштабы и изощренность ботнетов Methbot и 3ve по-прежнему впечатляют, и, возможно, они до сих пор являются самыми прибыльными сетями, когда-либо участвующими в мошенничестве с рекламой. Атаки ботов, подобные вышеописанным, являются частью общей проблемы кликфрода, которая ежегодно обходится рекламодателям в 23 млрд долларов.

Это яркий пример того, что любой программист, обладающий навыками программирования и создания автоматизированных скриптов для реализации ботнета, может зарабатывать такие баснословные суммы.

Конечно, рекламные сети, такие как Google Ads, Яндекс.Директ, ВКонтакте, Facebook и др., хорошо осведомлены об этой практике. Они уже внедрили соответствующие фильтры и механизмы для защиты от подобного мошенничества. Но на самом деле, мошенники всегда идут на шаг впереди и легко могут обходить их.

Многие действия, которые маркетолог сам может предпринять вручную для защиты от мошенничества с PPC-рекламой, как правило, имеют эффект, но он будет недолговечным, малоэффективным и требует невероятного количества времени. 


СЕРВИС BOTFAQTOR

Использование автоматизированных и самообучаемых алгоритмов Botfaqtor — один из надежных способов блокировки ботов и снижения мошенничества с кликами в вашей рекламной кампании. Благодаря отслеживанию устройств, сотне паттернов поведения пользователей, стоп-листу ботов и внесению IP-адресов в черный список Botfaqtor помогает рекламодателям быть на шаг впереди мошенников и экономить бюджет.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий