В начале этого года в Бруклине, штат Нью-Йорк, предстал перед судом, как он сам себя называет, «король цифрового мошенничества» Александр Жуков. Ему вменялись в вину мошеннические операции на рынке интернет-рекламы на сумму более 7 млн долларов, которые получили статус самых крупных и изощренных киберпреступных кампаний на данный момент.
И хотя Жуков не признал своей вины, в отличие от его соучастников, в итоге присяжные вынесли ему обвинительный вердикт по четырем эпизодам, связанным с банковским мошенничеством и отмыванием денег.
В компании по кибербезопасности Human, которая сыграла ключевую роль в том, чтобы Жуков предстал перед судом, считают, что данный вердикт становится прецедентным. Он может существенным образом повлиять и на все остальные решения в отношении экономических преступлений в области цифрового мошенничества.
Но интерес представляет не столько сам вердикт, сколько техники мошенничества, изобретенные Жуковым и его командой, которые они применяли для обмана рекламодателей. Если вкратце, то он через взломанную инфраструктуру дата-центров заражал пользовательские устройства и создавал из них армию ботов, способных на генерацию миллиардов псевдопросмотров рекламных объявлений в день.
«Интернет в целом — это одни сплошные просмотры и переходы», — говорит Тэмер Хассан, исполнительный директор компании Human. «И, что самое невообразимое, так это то, что он кишит фальшивыми просмотрами и кликами, которые меняют всю цифровую экономику. Существуют такие ботнеты, которые созданы специально для взаимодействия с рекламными объявлениями, прослушивания музыки, просмотра TV и манипуляции общественным мнением. И вот мы подходим к главному вопросу: а что бы делал ты, если бы смог имитировать действия миллионов реальных пользователей?».
Имя этой армии — миллион
Ботнеты бывают разных видов и масштабов. Их по максимуму используют в мошеннических киберпреступлениях — от DDoS-атак, спама и кражи персональных данных до быстрого выкупа лимитированных коллекций товаров на сайтах интернет-магазинов.
Начиная с 2016 года Жуков создал два ботнета преимущественно с целью обмана участников экосистемы онлайн-рекламы: Methbot и 3ve (произносится как «Eve» — [ив]).
Для первого ботнета он и его команда создали более 250 000 URL-адресов примерно на 6000 поддельных доменах. Так они имитировали крупные вебмастерские ресурсы и обманывали алгоритмы верификации на рекламных площадках.
Используя инфраструктуру дата-центров и IP-адреса, приобретенные с использованием поддельных регистрационных данных, киберпреступники запустили лавину фальшивого трафика на PPC-рекламу (с оплатой за клик). На вершине своей деятельности Methbot был способен имитировать 300 млн просмотров видеорекламы в день.
Ботнет 3ve по функционалу был более сложным и обширным. У него был доступ к дата-центрам и 1.7 млн устройств на ОС Windows, зараженных вредоносом.
Ботнет мог генерировать 12 млрд псевдопереходов по рекламе в день на 10 000 поддельных сайтах. Систему защиты он легко избегал — боты имитировали поведение реальных пользователей, например, якобы двигали мышкой или кликали по странице.
Господин Хассан признал, что данные операции и в первом, и во втором случае выполнялись весьма высококачественно, подобно какому-нибудь стартапу в Силиконовой долине.
«Речь идет не о каких-то там детских шалостях», — говорит он. «Они обновляли код вредоноса каждые две недели в один и тот же день и применяли методы гибкой разработки программного обеспечения, пользуясь инструментом Jira и другими современными тикет-системами».
«Как и в любой IT-компании, которая занимается разработкой программного обеспечения, операторы проводили A/B-тестирование и искали всевозможные подходы, а также проверяли ботов на работоспособность в случае непредвиденных ситуаций».
Одна из причин, по которой Жуков и другие члены его команды так нагло совершали свои масштабные мошеннические операции, заключалась в том, что потенциальная выгода была несопоставима с возможными рисками, считает господин Хассан. До недавнего времени наихудшим сценарием для киберпреступников было то, что их деятельность будет раскрыта и просто заблокирована, об экстрадиции и судебном преследовании, вероятно, они даже не задумывались.
Кто же ответственен за всё это
Схема организации цифровой рекламы чрезвычайно сложна и может посоперничать по сложности со сферой финансовой торговли. Между рекламодателем, который продвигает свои товары, и интернет-пользователем как конечным потребителем рекламного объявления находятся десятки различных IT-компаний, благодаря которым вся эта сеть функционирует.
Реклама в интернете преимущественно покупается и продается на автоматизированных платформах. Вебмастера соглашаются размещать рекламу на страницах своих ресурсов и продают под нее места на аукционе посредством SSP-технологии (Supply-Side Platform).
Рекламодатели выбирают и выкупают на аукционе доступные места у вебмастеров посредством DSP-технологии (Demand-Side Platform), ориентируясь на качество ссылки, ее посещаемость и другие показатели.
Сделки по таким аукционам проводятся миллиарды раз за день, в результате которых за доли секунды загрузки страницы в вашем браузере отображается персонализированная реклама.
Жуков и его команда поставили себя по обе стороны этой рекламной воронки, имитируя вебмастеров с премиум-площадками для обмана рекламодателей и создавая фальшивый трафик для генерации доходов с PPC-рекламы на подставных доменах.
В результате таких операций — в 3ve и Methbot — стоимость конверсии для рекламодателей взлетала до небес, но количество реальных пользователей, просматривающих рекламу, было в разы ниже. Таким образом, компании даже не подозревали, что непреднамеренно финансируют мошенничество и другие незаконные операции, к примеру, разработку вредоносных программ или вымогательство банковских средств.
По другую сторону находятся случайные пользователи, которые также становятся жертвами этой деятельности, поскольку их устройства заражаются вредоносном и используются в качестве «зомби» в армии ботнетов. Помимо того, что этими устройствами злоупотребляют для выполнения преступных операций, заражение также подвергает владельцев риску кражи данных и вторичных атак.
С таким количеством заинтересованных сторон в экосистеме цифровой рекламы очень сложно определить, кто же должен нести ответственность за прекращение мошеннических атак. По словам господина Хассана, ответственность лежит на всех сторонах.
В какой-то мере рекламодатель несет ответственность за то, чтобы его деньги не шли на недобросовестные цели. Тем более, что для этого есть целая рекламная экосистема; вебмастера и платформы также должны быть уверены, что открыты только для реального человеческого трафика. У каждого участника свои обязанности.
Играть в нападении, а не в обороне
Какими бы схемы Жукова ни были изощренными, его рекламные кампании, созданные для мошенничества, в конечном итоге были раскрыты благодаря сотрудничеству IT-компаний со спецслужбами. Первые сигналы о наличии киберпреступлений были выявлены исследователями компании Human. Открытия и исследования были переданы партнерам в сфере безопасности и рекламы, а также в правоохранительные органы.
На протяжении двух лет более 30 частных компаний и шести международных агентств следили за группой. Им удалось остановить деятельность ботнета и добиться экстрадиции четырех из восьми российских киберпреступников, представших перед судом.
Целью всей этой слаженной работы было изменение экономики киберпреступности, чтобы с технической стороны мошенникам было сложнее реализовывать своих схемы, а сама деятельность была менее прибыльной. Господин Хассан считает, что такое крупное сотрудничество, или “коллективный отпор”, является единственным путем к достижению этой цели.
«Частью нашего тезиса было то, что не стоит играть только в обороне. Мы должны играть в нападении, и делать это нужно сообща. Именно так должна развиваться борьба с кликфродом», — подытожил он.
«Любая компания, которая в одиночку попытается раскрыть деятельность ботнета, обнаружит, что не так-то просто увидеть полную картину. Но если компании работают вместе, то это усложняет деятельность мошенников. Все остальное — просто игра в «Кошки-мышки».
Обвинительный приговор для Жукова, по словам господина Хассана, весьма значим, поскольку меняет риски и цену для всего рекламного мошенничества, ведь он может повлечь за собой тюремное заключение. Иной раз еще один такой «жуков» подумает, а стоит ли вообще идти на такое преступление.
