Как выглядит вредоносная активность на сайтах и в рекламе

Боты и фальшивые пользователи генерируют, согласно отчёту Imperva, 51% трафика в интернете, что на 2% больше, чем реальных людей (49%). Но как это связано с вредоносными и мошенническими действиями в рекламе?

В этой статье мы расскажем, что это такое, как это влияет на сайты и рекламные кампании, какие утилиты и методы используют злоумышленники для атак на бизнес и рекламные кампании и что делать, чтобы от них защититься.

Что это такое 

Вредоносная активность — это действия, направленные на компрометацию безопасности компьютерных систем или нарушение работы устройств. Для этого злоумышленники используют специальное ПО (вирусы, черви, трояны) и другие методы.

Например, это может быть:

• DDoS-атака,
• взлом аккаунтов пользователей,
• кража бонусных баллов с карты лояльности и другие вредоносные действия.

Если говорить о цифровой рекламе, то в этом случае мошенники могут:

• подделывать клики по объявлениям,
• генерировать фальшивые заявки,
• накручивать просмотры видео и установки приложений.

Для этого используются боты, скликиватели, специальные программы (например, автокликеры), зараженные устройства рядовых пользователей и т. д.

Эти действия наносят ущерб бизнесу и угрожают безопасности компьютерных систем и сетей и могут привести к отключению всей инфраструктуры компании.

Как мошенники скрывают активность вредоносных программ

Мошенники используют целый комплекс инструментов, например руткиты, автоматизированные ИИ-скрипты и программы-маскировщики, которые помогают скрывать присутствие вредоносного ПО в системе или мошеннические действия с рекламой. Таким образом они пытаются избежать обнаружения антивирусами, системами антифрода и другими средствами безопасности.

Утилиты

Утилита (англ. utility) — вспомогательная программа в составе общего ПО для выполнения определенных типовых задач. Для сокрытия вредоносной активности мошенники могут использовать следующие утилиты:

• Руткиты (англ. rootkit) — позволяют злоумышленникам скрывать файлы и процессы.
• Легитимные утилиты — используются для выполнения вредоносного кода, маскируясь под обычные программы.
• Трояны — маскируются под легитимные приложения и активируются только после запуска пользователем, что затрудняет их обнаружение.
• Зомби — программы, которые остаются в памяти устройства до активации, часто используются для рассылки спама или выполнения других вредоносных действий по команде злоумышленника. Ими также называются компьютеры, смартфоны, IoT-устройства пользователей, зараженные вредоносным ПО и объединенные в единую сеть (ботнет) для выполнения направленных атак.

Они помогают злоумышленникам скрывать свои действия и избегать обнаружения, что делает их особенно опасными для пользователей и организаций. Однако, как правило, утилиты используются в комплексе с другими методами и тактиками для достижения максимальной эффективности и снижения рисков обнаружения.

---

---

Методы сокрытия вредоносного трафика в рекламе

Чтобы злоумышленники могли эффективнее скрывать свою вредоносную активность, одних утилит будет недостаточно. Для этого они могут использовать следующие методы:

• Прокси-трафик — трафик, который проходит через прокси-сервер. Он выполняет роль промежуточного звена между пользователем и интернетом. Злоумышленники могут заражать пользовательские устройства вредоносным ПО, превращать их в прокси и направлять мошеннический трафик.

Например, ранее мы рассказывали в нашем блоге про ботнет Ngioweb, который превращает умные пылесосы в прокси и перепродает через них трафик другим мошенникам.

• Спуфинг устройств, доменов, IP, цифрового следа, cookie-файлов — подмена технических характеристик, местоположения и т. д.
• Мотивированный трафик — все взаимодействия с сайтом, приложениями или рекламой выполняются реальными людьми за вознаграждение.

Подробнее о мотивированных действиях, в том числе вредоносных, можно узнать в нашей статье.

Тактики заражения устройств для вредоносных атак

Цифровая гигиена — это важная составляющая нашей второй жизни в сети, тем не менее, от мошенников не застрахован никто. Они каждый раз придумывают новые способы атак и обмана пользователей.

• Фишинг — рассылка Email-писем с начинкой в виде троянов, перенаправление на мошеннические и вредоносные сайты, вредоносная реклама (malvertising), спам в соцсетях и мессенджерах и др.
• Социальная инженерия — используется для манипуляции жертвами и обхода систем безопасности. Например, звонок из службы безопасности банка или от мобильного оператора с требованием продлить договор и т. д.
• Обфускация кода — техника, используемая для усложнения анализа вредоносного ПО, что затрудняет его идентификацию антивирусами.
• Распространение вредоносных мобильных приложений под видом безобидных программ и инструментов. Нередко специалисты по кибербезопасности обнаруживают такие приложения в Google Play Store.

Ранее мы рассказывали о мошеннической операции Vapor, когда злоумышленники маскировали приложения под считыватели QR-кода, инструменты для мониторинга здоровья и распространяли вредонос, который скрытно просматривал рекламу на зараженном устройстве.

• Поставка роутеров и других устройств с уже встроенным вредоносом. Например, как это было с ботнетом BadBox и приставками из Китая.

Это лишь некоторые варианты путей заражения пользовательских устройств. Кибермошенники могут применять целые комбинации различных методов и тактик для снижения риска обнаружения.

Это то же самое, что и бот-активность?

Не всегда, но в том числе. Боты могут выполнять вредоносные действия, но не они одни за них в ответе.

Выше мы привели пример мотивированного трафика, где для выполнения мошеннических задач, например скликивания рекламы, привлекаются исполнители с букс для обмана рекламодателей.

Инструменты автоматизации, такие как скрипты (боты), сами по себе не являются «хорошими» или «плохими», поскольку могут использоваться как для анализа данных и тестирования сайтов или устройств, так и для атак на них. Зависит от того, в чьих руках они находятся.

Если такой инструмент специально разработан для выполнения вредоносных задач, то выполняемые им действия могут быть квалифицированы как вредоносные.

Аналогично не все действия, выполненные реальным человеком, совершаются со злым умыслом. Например, владельцы монетизируемых через рекламные платформы площадок могут использовать технологию кликджекинга для накрутки кликов по рекламе.

Они добавляют на кнопку «Пропустить» или «Х» (закрыть) не действие, которое закрывает рекламное объявление, а переход по рекламной ссылке на рекламируемую посадочную страницу. Таким образом, реальный пользователь, не заинтересованный в рекламном оффере, скликивает объявление.

Виды вредоносных действий в маркетинге, SEO и рекламе

Ниже мы приводим варианты вредоносных атак на сайты и рекламу, к чему они могут привести и как им противостоять.

На сайте

Владельцы сайтов могут столкнуться с генерацией вредоносного бот-трафика из поиска, прямыми заходами, переходами с других ресурсов и др. Это может приводить к потере позиций и конкурентного преимущества, падению ресурса, наложению банов и перманентных фильтров и т. д.

Накрутка ПФ с помощью ботов

Накрутка поведенческих факторов — один из основных видов вредоносных действий, которые встречаются на сайтах. В этом случае конкуренты по определенным ключевым запросам пытаются выйти в ТОП поисковой выдачи за счет создания искусственного трафика из поиска с помощью ботов и улучшение поведенческих факторов.

Цель: 1) поднять позиции продвигаемого сайта, 2) понизить позиции конкурента.

Как происходит атака:

Чтобы накрутка выглядела максимально естественной, владельцы бот-сервисов накручивают им профили нужной историей поиска и cookie-файлами.

1. Боты «вбивают» в поиск нужные ключевые фразы и переходят по всем результатам из выдачи, включая рекламу, на любые сайты до определенной глубины, кроме продвигаемого.
2. Они переходят на сайт, якобы не находят там нужную информацию, возвращаются в поиск и переходят на следующий.
3. После нагуливания профилей они переходят к накрутке ПФ на целевом ресурсе: вбивают запрос, находят нужный сайт (до 50 страницы выдачи), переходят на него, проводят заданное время и выполняют дополнительные действия, например, переходят по внутренним страницам для увеличения показателя глубины просмотра.

На какие метрики влияет атака с накруткой ПФ: увеличение показателя отказов, возврат в поиск, снижение глубины просмотров, резкий всплеск CTR из поиска.

Результат: пессимизация и длительный период восстановления позиций, дополнительные затраты на SEO-работы

Как защитить: подключите систему антифрода, которая будет блокировать ботов из поиска. Например, Антибот для сайта от Botfaqtor — можно бесплатно потестировать в течение 7 дней. Подробнее об инструменте

Кража контента

Парсинг используется для быстрого сбора статей, анонсов, новостей, описаний товаров и другого контента. В дальнейшем он размещается (иногда несколько видоизменяется для слабой уникализации) на других ресурсах.

Парсинг ускоряет сбор и копирование данных в том числе и для мошенников. Они могут использовать эту технологию для создания клонов сайтов с целью фишинговых атак и кражи персональных и других чувствительных данных, мошенничества с рекламой (сопровождается манипуляцией ads.txt), распространения вредоносного ПО и т. д.

Цель: незаконно заполучить чужой авторский контент.

Как происходит атака:

1. Пишется парсер. Они, как правило, разрабатываются для каждого сайта отдельно — с учётом его структурных и технических особенностей.
2. Далее происходит извлечение данных. Парсер отправляет HTTP-запросы к целевому сайту, получает HTML-страницы и извлекает нужные данные: текст, изображения, цены, контактную информацию и т. д.
3. Извлеченные данные обрабатываются и сохраняются в удобном формате, например, в базе данных или CSV-файле, для дальнейшего использования.

Результат: 1) пессимизация за плагиат, если клон создан для злоупотребления контентом, 2) обвинения со стороны пользователей, которые подверглись фишинговой атаке, 3) технические проблемы, например, недоступность ресурса.

Как защитить: 1) подключите систему киберзащиты, которая будет блокировать доступ автоматизированным парсерам, 2) установите лимит по количеству запросов с одного IP-адреса, 3) подключите капчу, 4) используйте динамический контент или ловушки для ботов.

Скрейпинг цен

Используется конкурентами для коммерческой разведки. В этом случае автоматизированные скрипты собирают данные о ценах в интернет-магазинах, чтобы изменять свою политику ценообразования.

Цель: заполучить преимущество для своих товаров на рынке.

Как происходит атака:

1. Создается скрипт под конкретный сайт, который будет извлекать данные.
2. Скрейпер обходит страницы, содержащие информацию о товарах, ценах, акциях и скидках.
3. Извлекает данные о ценах, используя HTML-теги, классы и идентификаторы, определенные на этапе анализа структуры.
4. Извлеченные данные очищаются и форматируются для удобства использования.

Результат: 1) потеря конкурентного преимущества, 2) снижение производительности сайта, 3) испорченная аналитика, 4) потеря клиентов и продаж.

Как защитить: 1) подключите систему киберзащиты, которая будет блокировать доступ ботам-скрейперам доступ к интернет-магазину, 2) установите лимит по количеству запросов с одного IP-адреса, 3) подключите капчу и др.

В рекламе

Маркетологи и рекламодатели, которые плотно занимаются настройкой рекламных кампаний и отслеживают их эффективность, регулярно жалуются на некачественный трафик и фальшивые заявки. Вот основные типы вредоносных действий, с которым можно столкнуться в рекламе:

Скликивание

Это искусственная накрутка кликов по рекламным объявлениям. К ней прибегают конкуренты, владельцы площадок, которые монетизируют свои сайты и приложения, маркетинговые партнеры и исполнители.

Цель: 1) расход рекламного бюджета конкурента, 2) увеличение выплат в пользу владельца ресурса.

Как происходит атака:

• Если это конкурент, то он самостоятельно или с помощью специальных сервисов скликивает рекламу на поиске.
• Если владелец площадки, то он использует для этого ботов и мотивированный трафик.
• Если маркетинговый партнер, который работает на объем трафика, то может использовать для этого автоматизированную и мотивированную накрутку.

Результат: 1) быстрый расход бюджета, 2) снижение продаж, 3) увеличение затрат на рекламу, 4) потеря целевой аудитории, 5) ретаргетинг на ботов и скликивателей, 6) испорченные метрики и т. д.

Как защитить: 1) размещать рекламу только на проверенных платформах, 2) чистить площадки в РСЯ и КМС, которые приводят недействительный трафик, 3) не таргетировать рекламные объявления на поиске на постоянных клиентов — они тоже могут скликивать, 4) подключить систему антифрода для защиты рекламы от скликивания. Например, Защита Яндекс Директ или Защита Google Ads

Фальшивые заявки

Если вы создаете рекламные кампании с оплатой за конверсии, то будьте осторожны. Владельцы мошеннических площадок могут пойти дальше и генерировать не просто клики по рекламе, а отправлять заявки с сайтов и выполнять другие целевые действия.

Для этого используются обученные усовершенствованные и ИИ-боты, способные имитировать поведение реальных пользователей и заполнять формы заявок.

Кроме того, нечестные маркетинговые партнеры, которые работают на привлечение определенного количества лидов, могут приводить фейковых клиентов.

Цель: 1) увеличение выплат в пользу владельца площадки, 2) увеличение выплат в пользу арбитражника или агента.

Признаки: увеличение количества заявок с фальшивыми данными, негативный отклик пользователей, чьи телефонные номера были оставлены ботами в заявке и т. д.

Результат: 1) быстрый расход рекламного бюджета, 2) снижение количества квалифицированных лидов, 3) увеличение стоимости одной заявки, 4) потеря целевой аудитории и т. д.

Как защитить: 1) анализировать рекламный трафик, 2) отключать площадки, которые приводят нецелевой трафик и фальшивые заказы, 3) подключить систему коллтрекинга, 4) подключить Умную капчу на сайт. Подробнее

Негативные последствия вредоносной активности для бизнеса 

Если на сайте была обнаружена вредоносная активность, есть риск потери контента, пользовательских данных, репутации и продаж. Вот какие негативные последствия для бизнеса могут быть:

• утечка данных или информации о клиентах;
• истощение рекламных бюджетов,
• таргетинг на аудиторию, которая преимущественно была создана ботами, 
• увеличение количества фальшивых заявок,
• снижение конкурентного преимущества,
• нарушение каналов продаж и коммуникации с клиентами,
• искажение показателей и многое другое.

В целом, это приводит к неустойчивости компании на рынке и снижению реальной прибыли.

Как определить вредоносную активность на сайте и в рекламе

Выше мы описали способы обнаружения вредоносных действий на сайте, в зависимости от типов атаки. Некоторые из них могут быть универсальными для разной мошеннической активности.

С помощью автоматизированных методов защитить сайт и рекламу будет намного проще, поскольку такие системы работают в режиме реального времени и используют искусственный интеллект и машинное обучение для борьбы с современными атаками.

Помните, что в рекламных кампаниях, которые не защищены от фрода, уровень скликивания в 15 раз выше — отчет IAS.

Если вы хотите проверить уровень бот-трафика в своих рекламных кампаниях, не хотите терять позиции из-за накрутки ПФ конкурентами или хотите избавиться от фальшивых заявок, подключайте инструменты Botfaqtor.

Защитим ваши рекламные кампании от 99,9% ботов, поможем снизить фрод и стоимость заявки. Попробуйте бесплатно на 7 дней.

---

---

Возможно, вам будет интересно:

• 

  Мошенничество с рекламой: как с ним бороться в 2024 году

• 

  А маркетологи боятся мошенничества с рекламой? Исследование VAB

• 

  Защита рекламы от фрода и современные технологии мошенников