Taylor+Armerding

雖然勒索軟件和DDoS攻擊最受人矚目，但bot欺騙造成的損失讓他們二者相形見絀。包括受害者在內(nèi)，大家對(duì)此似乎都束手無策。

在網(wǎng)絡(luò)犯罪領(lǐng)域，勒索軟件和DDoS攻擊過去一年最受人矚目。在舊金山最近舉行的RSA會(huì)議上，專門有一整天分給勒索軟件“峰會(huì)”。但是，當(dāng)涉及到受害者損失的金錢以及犯罪分子勒索的金錢時(shí)，bot欺詐才是老大——非常多。

2016年，美國勒索軟件造成的損失估計(jì)在10億美元左右。而White Ops和國家廣告商協(xié)會(huì)（ANA）于2016年1月發(fā)表了題為“Bot基本調(diào)查：數(shù)字廣告欺詐”的研究，估計(jì)2016年全球損失為72億美元。

營銷科學(xué)咨詢集團(tuán)最近的一份報(bào)告估計(jì)，僅美國2016年的損失就高達(dá)310億美元。

按照營銷科學(xué)集團(tuán)的網(wǎng)絡(luò)安全和廣告欺詐研究員，同時(shí)也是報(bào)告“數(shù)字廣告欺詐狀況分析”的作者Augustine Fou的說法，相比之下，勒索軟件造成的損失都是“小錢”。

Fou把他自己描述成“bot獵人”，他說，這類網(wǎng)絡(luò)犯罪非常多，因?yàn)樗侨绱巳菀住⒂欣蓤D而且安全。

他說：“這非常有利可圖，而且很容易擴(kuò)散，犯罪分子對(duì)此也不用冒生命危險(xiǎn)。他們舒服地坐在自己的椅子上就能夠進(jìn)行廣告欺詐犯罪活動(dòng)?！?/p>

事實(shí)上，Resilient Systems公司的首席技術(shù)官Bruce Schneier在最近的一篇博文中寫道，“點(diǎn)擊欺詐”的增長——旨在欺騙廣告客戶認(rèn)為真實(shí)用戶已經(jīng)看過并點(diǎn)擊了他們廣告的bot，有可能導(dǎo)致“互聯(lián)網(wǎng)的整個(gè)廣告模式崩潰”。

關(guān)于bot欺詐是怎樣工作的，在業(yè)界并不神秘。在線廣告模式的基礎(chǔ)是，廣告客戶根據(jù)在網(wǎng)站上瀏覽他們的廣告以及點(diǎn)擊廣告的人數(shù)來付費(fèi)。

公司根據(jù)每次點(diǎn)擊費(fèi)用CPC（Cost per Click）或者每千次瀏覽費(fèi)用CPM來付費(fèi)。

對(duì)于廣告客戶，所有這一切一開始時(shí)被認(rèn)為比報(bào)紙更好，因?yàn)閳?bào)紙這種方式除非給零售商發(fā)放優(yōu)惠券，否則沒有辦法知道讀者是否真正看了廣告或者回應(yīng)了廣告。

互聯(lián)網(wǎng)模式確保廣告客戶只為實(shí)際瀏覽或者回應(yīng)（點(diǎn)擊）廣告的用戶付費(fèi)。

但是，bot的出現(xiàn)改變了這一切，它使用數(shù)千臺(tái)甚至數(shù)百萬臺(tái)“僵尸”計(jì)算機(jī)或者僵尸網(wǎng)絡(luò)中連接的設(shè)備，創(chuàng)建虛假的網(wǎng)站流量和欺騙性的廣告“點(diǎn)擊”。

White Ops首席執(zhí)行官M(fèi)ichael Tiffany說：“復(fù)雜bot流量的現(xiàn)行費(fèi)率大約是每次訪問1美分。如果一個(gè)僵尸網(wǎng)絡(luò)操控者可以控制100，000臺(tái)不同的計(jì)算機(jī)訪問某一網(wǎng)站，而且他可以讓這些訪問看起來是真實(shí)的，那就意味著價(jià)值1000美元?！?/p>

而且，很多報(bào)道都提到，bot制造者已經(jīng)非常擅長使它們表現(xiàn)得像真正的人類訪客。

Farsight Security的科學(xué)家Joe St. Sauver說，bot制造者利用被感染的設(shè)備，在多個(gè)IP地址之間傳播“流量”，使得一些點(diǎn)擊是來自俄勒岡州，其他的來自俄亥俄州，還有的則來自俄克拉荷馬州等。

他說：“該軟件還可以包括一些例程，這些例程設(shè)計(jì)為模仿自然暫停，頁面正在‘被閱讀，隨之被點(diǎn)擊——可能是在思考某些特性，查找本地經(jīng)銷商或者其他看起來像正常人類訪客要做的事情?！?/p>

但Tiffany說很多安全專業(yè)人士仍然“錯(cuò)誤地認(rèn)為bot流量看起來像機(jī)器行為。”相反，它來自住宅IP地址，使用真正的瀏覽器，做出機(jī)器干不了的行為，例如，“運(yùn)行JavaScript，運(yùn)行Flash，使用受害者的cookie使其看起來像真正的人類，并像真人那樣與頁面進(jìn)行交互，這一般是通過模仿?lián)碛斜桓腥居?jì)算機(jī)的真人的行為來實(shí)現(xiàn)?！?/p>

他補(bǔ)充說，在某些情況下，他們甚至不必那么復(fù)雜。他說：“如果每次訪問的付費(fèi)只是一分錢的十分之一，那么流量看起來不會(huì)是真實(shí)的，因此這欺騙不了使用復(fù)雜分析的廣告買家，但這足以讓您的網(wǎng)站看起來很流行?！?/p>

這就是為什么bot欺騙是如此受歡迎的原因。他說：“想象一下，每次讓受感染的一臺(tái)計(jì)算機(jī)加載一個(gè)網(wǎng)頁，就能掙到一分錢？沒有什么比這更掙錢了。”

Fou對(duì)此表示同意?！捌墼p網(wǎng)站所有者通過購買流量來產(chǎn)生廣告瀏覽次數(shù)，他們以每千次瀏覽1美元的價(jià)格購買流量，并以每千次瀏覽10美元的價(jià)格出售廣告瀏覽次數(shù)，他們的純利潤是9美元?！?/p>

所有這些都提出了一個(gè)明顯的問題：考慮到廣告客戶驚人的損失，為什么沒有更積極、更成功的措施來遏制它呢？

在某些情況下，有。

inAuth首席戰(zhàn)略官M(fèi)ike Lynch說，使用一種名為“速度檢測”的工具，可以發(fā)現(xiàn)某些設(shè)備的很多行為是異常的。但他說，如果該工具使用IP地址或者cookie，bot可以輕松地打敗它，因?yàn)樗麄儠?huì)修改IP地址，禁用cookie。

他說：“因此，設(shè)備智能和一種稱為設(shè)備指紋識(shí)別的方法是關(guān)鍵的防御措施。設(shè)備指紋越可靠，速度檢測的能力就會(huì)越好，就會(huì)發(fā)現(xiàn)bot的蛛絲馬跡?！?/p>

Lynch說，打敗bot的其他技術(shù)包括：

● 靜態(tài)——檢測某些已知的惡意軟件

● 行為——檢測大量嘗試、大量失敗、異常流量模式、異常訪問速度和訪問嘗試

● 蜜罐——?jiǎng)?chuàng)建蜜罐，誘騙攻擊者去訪問看起來是真的網(wǎng)站，收集攻擊者的有關(guān)信息，并阻止攻擊者

St Sauver說，使虛假流量或者點(diǎn)擊產(chǎn)生不了價(jià)值的一種方法是，“在線零售商轉(zhuǎn)而采用收入分享模式，只有在購買后才付費(fèi)，而且不會(huì)由于使用被盜信用卡而被推翻?！?/p>

但他承認(rèn)這樣的模式有其復(fù)雜性。他說：“假設(shè)您在A網(wǎng)站看到廣告后去訪問一個(gè)跑車網(wǎng)站。第二天，您在B網(wǎng)站看到另一個(gè)廣告。一個(gè)星期后，你去經(jīng)銷商那里買車。那么此次購買行為應(yīng)鏈接給A網(wǎng)站還是B網(wǎng)站？”