“广告业的情况跟很多银行业很像,一个不可避免的事实摆在广告主眼前,那就是不能随便相信广告商提供给你的信息。”White Ops首席执行官Michael Tiffany说。“有时候,两种cookies、用户信息等都是相同的,但是只有一个是真的,其他的是假的。”
当然,Tiffany指的是通过感染实际消费者或用户的计算机来瞄准广告活动的僵尸网络带来的真正的威胁。这是比窃取登录凭证更有效的方法,同时还可以避开异常检测,但它也是一种更加危险的方式。
“这是世界上最复杂的非政府发起的犯罪软件,”Tiffany表示,“抢劫银行的最好办法不是直接进去抢劫,而是攻击其客户的机器。然后在客户登录后开始行动。攻击者采用的是网络感知恶意软件,它们会埋伏在一旁等待,直到有人使用个人资料信息来登陆。”
通过这些类型的僵尸网络,攻击者有两种方法来攻击合法机器。其中一种是后台进程,在机器开启时浏览所有内容,并通过利用用户的cookie来有效地伪装成用户。
第二种方法比较复杂,是通过“浏览器中间人”的做法,这甚至根本不是在后台,而是在你实际的浏览器上;这种恶意软件会注入更多广告到你的合法浏览会话中。
“这种情况,在我看来,我正在流量CNN.com,”Tiffany表示,“但从广告服务器和网络来看,我正在浏览有很多广告的其他网站。”
当然,通过僵尸机器模仿人类访客,并获得数十亿次广告展示,这最终会让广告商花费数百万美元,并完全破坏网络指标的准确性。事实上,不仅这种欺诈活动不会被减少,企业还会花费更多钱来瞄准僵尸机器,而产生更高的开销。Tiffany举例说,僵尸机器不只是带来10美分的每千人成本(CPM),而是10美元的CPM。由于僵尸网络的传播性质,最终将会扭曲互联网上的所有数据。
“很少有人根据广告来采取实际的行动,”Tiffany表示,“在攻击者采取行动之前,你通常会展示数千次广告,你很难判断攻击者将这个数字提高了50%。”
那么,这种类型的僵尸网络已经存在多久了呢?更重要的是,它们是在增加还是减少?
“我希望我能知道!”Tiffany表示,“我们没有纵向的数据,但有趣的是,在过去几年,我觉得情况变得越来越糟糕,因为cookie有点像身份验证机制。”
存在的问题是,使用异常行为来嗅探僵尸网络的传统做法已经行不通,因为僵尸流量来自已知合法的用户。
“cookie正变得越来越受信任,欺诈检测通常面对的是大数据[注],通常是异常检查,”Tiffany表示,“当僵尸网络能够获得每个用户的信息,这是他们的制胜关键。”
不过,我们仍然有希望,虽然对付这种复杂的方法会非常棘手,但并不是不可能。我们可以通过查看网络流量和区分人类网络流量和受远程控制的浏览器来检测浏览器中间人恶意软件。
“浏览器是非常复杂的操作环节(+微信关注网络世界),并且有一个运行时引擎(运行以JavaScript编写的软件)来与硬件交互,”Tiffany说道,“另外,还有DOM(文档对象模型)包含与浏览器硬件环境相关的所有方法和对象。”Tiffany及其团队发现,无论什么时候在指令集和DOM之间构建了可编程连接,他们都会发现事情朝相反方向发展。
“如果你在DOM,我们会发现可编程连接在环境的这个部分,”Tiffany称,“这会使JavaScript运行时环境会不同。”
检测这些差异的技术并不一定要是静态的,因为当受远程控制时,环境可以通过很多微妙的方式被改变。“我们有非常庞大的参数库,我们可以快速替换检测技术。”
并且这是公开进行,但是系统不会泄漏任何成功/失败信息返回给攻击者。无论攻击者的尝试成功还是失败,无论他们有没有得到钱,他们都必须再来一回才知道他们第一回是否成功。
“他们可以看到我们的服务器,他们知道我们参与其中,但他们不知道他们是否成功或者是否欺骗到我们,”Tiffany表示,“大家都知道,浏览器中有很多攻击面,我们可以利用这个特性来对付攻击者:如果我们不能保护它,他们也不能。”
这最终会破坏攻击者的经济业务模式。
“如果你让计算机每天查看广告,任何计算机都会开始耗钱,”Tiffany称,“如果我们切断这个模式中制造的钱,这将会导致黑市生态系统花费很多钱。”
最终,攻击者需要花很多钱才能成功发起攻击,而检测僵尸网络则不会是昂贵的过程。
“如果我们的检测成本低于攻击者的成本,这将让我们赢得这场战斗。”