Taylor+Armerding

雖然勒索軟件和DDoS攻擊最受人矚目，但bot欺騙造成的損失讓他們二者相形見(jiàn)絀。包括受害者在內(nèi)，大家對(duì)此似乎都束手無(wú)策。

在網(wǎng)絡(luò)犯罪領(lǐng)域，勒索軟件和DDoS攻擊過(guò)去一年最受人矚目。在舊金山最近舉行的RSA會(huì)議上，專門有一整天分給勒索軟件“峰會(huì)”。但是，當(dāng)涉及到受害者損失的金錢以及犯罪分子勒索的金錢時(shí)，bot欺詐才是老大——非常多。

2016年，美國(guó)勒索軟件造成的損失估計(jì)在10億美元左右。而White Ops和國(guó)家廣告商協(xié)會(huì)（ANA）于2016年1月發(fā)表了題為“Bot基本調(diào)查：數(shù)字廣告欺詐”的研究，估計(jì)2016年全球損失為72億美元。

營(yíng)銷科學(xué)咨詢集團(tuán)最近的一份報(bào)告估計(jì)，僅美國(guó)2016年的損失就高達(dá)310億美元。

按照營(yíng)銷科學(xué)集團(tuán)的網(wǎng)絡(luò)安全和廣告欺詐研究員，同時(shí)也是報(bào)告“數(shù)字廣告欺詐狀況分析”的作者Augustine Fou的說(shuō)法，相比之下，勒索軟件造成的損失都是“小錢”。

Fou把他自己描述成“bot獵人”，他說(shuō)，這類網(wǎng)絡(luò)犯罪非常多，因?yàn)樗侨绱巳菀?、有利可圖而且安全。

他說(shuō)：“這非常有利可圖，而且很容易擴(kuò)散，犯罪分子對(duì)此也不用冒生命危險(xiǎn)。他們舒服地坐在自己的椅子上就能夠進(jìn)行廣告欺詐犯罪活動(dòng)?！?/p>

事實(shí)上，Resilient Systems公司的首席技術(shù)官Bruce Schneier在最近的一篇博文中寫道，“點(diǎn)擊欺詐”的增長(zhǎng)——旨在欺騙廣告客戶認(rèn)為真實(shí)用戶已經(jīng)看過(guò)并點(diǎn)擊了他們廣告的bot，有可能導(dǎo)致“互聯(lián)網(wǎng)的整個(gè)廣告模式崩潰”。

關(guān)于bot欺詐是怎樣工作的，在業(yè)界并不神秘。在線廣告模式的基礎(chǔ)是，廣告客戶根據(jù)在網(wǎng)站上瀏覽他們的廣告以及點(diǎn)擊廣告的人數(shù)來(lái)付費(fèi)。

公司根據(jù)每次點(diǎn)擊費(fèi)用CPC（Cost per Click）或者每千次瀏覽費(fèi)用CPM來(lái)付費(fèi)。

對(duì)于廣告客戶，所有這一切一開(kāi)始時(shí)被認(rèn)為比報(bào)紙更好，因?yàn)閳?bào)紙這種方式除非給零售商發(fā)放優(yōu)惠券，否則沒(méi)有辦法知道讀者是否真正看了廣告或者回應(yīng)了廣告。

互聯(lián)網(wǎng)模式確保廣告客戶只為實(shí)際瀏覽或者回應(yīng)（點(diǎn)擊）廣告的用戶付費(fèi)。

但是，bot的出現(xiàn)改變了這一切，它使用數(shù)千臺(tái)甚至數(shù)百萬(wàn)臺(tái)“僵尸”計(jì)算機(jī)或者僵尸網(wǎng)絡(luò)中連接的設(shè)備，創(chuàng)建虛假的網(wǎng)站流量和欺騙性的廣告“點(diǎn)擊”。

White Ops首席執(zhí)行官M(fèi)ichael Tiffany說(shuō)：“復(fù)雜bot流量的現(xiàn)行費(fèi)率大約是每次訪問(wèn)1美分。如果一個(gè)僵尸網(wǎng)絡(luò)操控者可以控制100，000臺(tái)不同的計(jì)算機(jī)訪問(wèn)某一網(wǎng)站，而且他可以讓這些訪問(wèn)看起來(lái)是真實(shí)的，那就意味著價(jià)值1000美元?！?/p>

而且，很多報(bào)道都提到，bot制造者已經(jīng)非常擅長(zhǎng)使它們表現(xiàn)得像真正的人類訪客。

Farsight Security的科學(xué)家Joe St. Sauver說(shuō)，bot制造者利用被感染的設(shè)備，在多個(gè)IP地址之間傳播“流量”，使得一些點(diǎn)擊是來(lái)自俄勒岡州，其他的來(lái)自俄亥俄州，還有的則來(lái)自俄克拉荷馬州等。

他說(shuō)：“該軟件還可以包括一些例程，這些例程設(shè)計(jì)為模仿自然暫停，頁(yè)面正在‘被閱讀，隨之被點(diǎn)擊——可能是在思考某些特性，查找本地經(jīng)銷商或者其他看起來(lái)像正常人類訪客要做的事情?！?/p>

但Tiffany說(shuō)很多安全專業(yè)人士仍然“錯(cuò)誤地認(rèn)為bot流量看起來(lái)像機(jī)器行為。”相反，它來(lái)自住宅IP地址，使用真正的瀏覽器，做出機(jī)器干不了的行為，例如，“運(yùn)行JavaScript，運(yùn)行Flash，使用受害者的cookie使其看起來(lái)像真正的人類，并像真人那樣與頁(yè)面進(jìn)行交互，這一般是通過(guò)模仿?lián)碛斜桓腥居?jì)算機(jī)的真人的行為來(lái)實(shí)現(xiàn)。”

他補(bǔ)充說(shuō)，在某些情況下，他們甚至不必那么復(fù)雜。他說(shuō)：“如果每次訪問(wèn)的付費(fèi)只是一分錢的十分之一，那么流量看起來(lái)不會(huì)是真實(shí)的，因此這欺騙不了使用復(fù)雜分析的廣告買家，但這足以讓您的網(wǎng)站看起來(lái)很流行?！?/p>

這就是為什么bot欺騙是如此受歡迎的原因。他說(shuō)：“想象一下，每次讓受感染的一臺(tái)計(jì)算機(jī)加載一個(gè)網(wǎng)頁(yè)，就能掙到一分錢？沒(méi)有什么比這更掙錢了?！?/p>

Fou對(duì)此表示同意。“欺詐網(wǎng)站所有者通過(guò)購(gòu)買流量來(lái)產(chǎn)生廣告瀏覽次數(shù)，他們以每千次瀏覽1美元的價(jià)格購(gòu)買流量，并以每千次瀏覽10美元的價(jià)格出售廣告瀏覽次數(shù)，他們的純利潤(rùn)是9美元。”

所有這些都提出了一個(gè)明顯的問(wèn)題：考慮到廣告客戶驚人的損失，為什么沒(méi)有更積極、更成功的措施來(lái)遏制它呢？

在某些情況下，有。

inAuth首席戰(zhàn)略官M(fèi)ike Lynch說(shuō)，使用一種名為“速度檢測(cè)”的工具，可以發(fā)現(xiàn)某些設(shè)備的很多行為是異常的。但他說(shuō)，如果該工具使用IP地址或者cookie，bot可以輕松地打敗它，因?yàn)樗麄儠?huì)修改IP地址，禁用cookie。

他說(shuō)：“因此，設(shè)備智能和一種稱為設(shè)備指紋識(shí)別的方法是關(guān)鍵的防御措施。設(shè)備指紋越可靠，速度檢測(cè)的能力就會(huì)越好，就會(huì)發(fā)現(xiàn)bot的蛛絲馬跡?！?/p>

Lynch說(shuō)，打敗bot的其他技術(shù)包括：

● 靜態(tài)——檢測(cè)某些已知的惡意軟件

● 行為——檢測(cè)大量嘗試、大量失敗、異常流量模式、異常訪問(wèn)速度和訪問(wèn)嘗試

● 蜜罐——?jiǎng)?chuàng)建蜜罐，誘騙攻擊者去訪問(wèn)看起來(lái)是真的網(wǎng)站，收集攻擊者的有關(guān)信息，并阻止攻擊者

St Sauver說(shuō)，使虛假流量或者點(diǎn)擊產(chǎn)生不了價(jià)值的一種方法是，“在線零售商轉(zhuǎn)而采用收入分享模式，只有在購(gòu)買后才付費(fèi)，而且不會(huì)由于使用被盜信用卡而被推翻?！?/p>

但他承認(rèn)這樣的模式有其復(fù)雜性。他說(shuō)：“假設(shè)您在A網(wǎng)站看到廣告后去訪問(wèn)一個(gè)跑車網(wǎng)站。第二天，您在B網(wǎng)站看到另一個(gè)廣告。一個(gè)星期后，你去經(jīng)銷商那里買車。那么此次購(gòu)買行為應(yīng)鏈接給A網(wǎng)站還是B網(wǎng)站？”