惡意廣告，顧名思義，黑客在合法網站上購買一塊空間，上傳能夠感染網站訪問者電腦的廣告。

新聞頁面看上去很無辜。除了名人八卦和雜志板面，英國新聞網站每日郵報（The Daily Mail）似乎沒有包含什么特別惡意的東西。然而，如果你在今年十月訪問該網站，就可能在不知不覺中落入黑客的復雜圈套。

在每日郵報的后臺中，第三方廣告暗中將讀者重定向到強大的漏洞利用工具包，并利用這些工具包在用戶電腦上安裝惡意軟件。

惡意廣告正在蓬勃發展：網絡罪犯在互聯網不起眼的角落或流行網站處租用廣告位置，并感染盡可能多的電腦。

大量熱門網站成為目標

惡意廣告至少可以追溯到2009年，當時，一些訪問紐約時報的用戶遇到了彈出式的殺毒掃描器。每日郵報的攻擊只是最近發生在主流網站上的例子之一。

流行色情網站 YouPron 和 Pornhub 在今年九月也傳播了惡意軟件。霍芬頓郵報每月都有1億用戶訪問量，也在分發惡意軟件。事實上，霍芬頓郵報已經不是第一次中招了。同樣的事情在2014年12月也發生過，并一直持續到今年一月份。

這些情景聽上去熟悉么？那是因為它就是這樣。來自惡意軟件安全公司 Cyphort 的研究人員報告稱，2014年一月到2015年二月間，惡意廣告攻擊數量增長了325%。

惡意廣告的工作原理

盡管每次攻擊都有所不同，惡意廣告基本都有著同樣的流程。首先，攻擊者在廣告網絡上注冊。廣告網絡就是在你瀏覽的網站上投放廣告的公司，并將廣告空間賣給需要宣傳產品的公司。

它們充當了希望出售空閑空間的網站和希望做廣告的公司之間的中間人。廣告作者向廣告網絡的中央服務器上傳內容，這些廣告代碼在必要時會被發送到網站。

Malwarebytes 公司的高級安全研究員杰羅姆·賽魯哈（Jér me Segura）稱，接下來，黑客會利用這種交換過程，假冒成知名企業并上傳它們自己的廣告。這些廣告很有可能是基于 Flash的內容，或者包含惡意的 Javascript代碼。

當你訪問網站，所看到的廣告是通過實時競價確定的：訪問在之前就留下了一定的印象，外加用戶畫像。然后，當某人訪問網站時，對每一類用戶畫像而言，出價最高的公司將獲勝， 并將廣告顯示在網站上。

如果是惡意廣告，一旦你加載了相應廣告頁面，出現的廣告及其代碼就會將你重定向到托管了漏洞利用包的某網頁，而你甚至不需要點擊該廣告。這很有可能發生在后臺，過程利用了 iFrame ，它是一種對裸眼而言不可見的網頁內容，因此也不需要和你進行交互。事實上，發生的整個過程你都很難注意到。

Segura說：“著陸頁（Landing Page）的作用是確定計算機上是否存在有漏洞的插件，它會查看瀏覽器使用的東西，然后查詢 Flash，或者其它存在漏洞的軟件。”

最后，頁面會推送漏洞包，并將攻擊者使用的惡意軟件下載到你的電腦。惡意廣告有時候會推送勒索軟件，這種軟件會鎖定你計算機上的文檔，然后索取贖金；另一些惡意廣告會發送銀行木馬，竊取財務信息。

需要注意的是，并不是每個訪問受影響網站的用戶都一定會被黑，由于使用了實時競價機制，有些廣告只會對特定國家或特定用戶畫像的群體加載。如果配置了恰當的保護措施，你的計算機可能完全不會受到惡意廣告攻擊的影響。

這就是說，很多惡意廣告活動使用了流行的釣魚工具包。思科最近發布的一份報告稱，漏洞包在全球范圍內的成功滲透率能夠達到40%。此外，最近發生的一連串攻擊中使用了零日漏洞，這意味著即使是完全打好補丁的軟件也可能遭到入侵。不過惡意廣告中使用零日漏洞的情況并不多。

最近，黑客已經開始使用 HTTPS ，這讓他們更難追蹤到。

如何阻止惡意廣告？

能否緩解惡意廣告問題，取決于用戶、網站開發者和廣告網絡本身。

由于漫不經心，谷歌的廣告平臺已經被惡意廣告活動利用。谷歌的代表阿倫那·巴赫（Hélène Barrot）對媒體表示，谷歌已經采取了多種措施，與產業合作伙伴協同發表惡意廣告研究報告，并使用惡意軟件檢測工具。“2014年，我們禁止了超過5億惡意廣告，封殺了超過21萬名投放惡意廣告的個人。”

Segura 并不認為配備更好的掃描工具能夠解決問題：有太多需要關注的東西了。相反，他認為應當提高準入門檻，提升注冊廣告網絡的最低傭金，以增加攻擊者的財務風險。

目前，惡意廣告對于網絡罪犯的成本極其低廉。對于一些廣告網絡，黑客能夠以30美分的成本向一千人推送廣告，甚至還能更便宜。

Segura 建議稱，如果出版商不想讓讀者遭受惡意廣告風險，也許可以考慮其它形式的支持，比如原生廣告或者贊助內容。但這對于主流 Web 出版商不是一個可行的選擇，因為它們依賴于數億美元的廣告收入保持運轉。

當然，另一個比較暴力的方法是廣告攔截。有人認為這只是治標不治本，但廣告攔截的確可以有效的控制用戶暴露到網上的信息。這也是現實中，大多數瀏覽者的選擇。