根據(jù)國(guó)外安全專家的最新報(bào)告，有一群黑客正在對(duì)美國(guó)的知名企業(yè)和媒體機(jī)構(gòu)進(jìn)行廣告欺詐活動(dòng)，而這群黑客每天都可以從中賺取三百萬(wàn)到五百萬(wàn)美金。

是的，你沒(méi)看錯(cuò)，這絕對(duì)是人類歷史上最牛X的惡意廣告欺詐活動(dòng)！不過(guò)，安全研究人員已經(jīng)將關(guān)于該活動(dòng)的詳細(xì)信息提交給了美國(guó)聯(lián)邦調(diào)查局，他們的好日子應(yīng)該要到頭了…吧？

發(fā)生了什么事？

專注于防御網(wǎng)絡(luò)欺詐活動(dòng)的安全公司W(wǎng)hite Ops發(fā)現(xiàn)了這一新型的廣告欺詐活動(dòng)，并將其命名為“Methbot”。因?yàn)樵谶@一欺詐活動(dòng)中，攻擊者可以利用某種工具每天自動(dòng)生成超過(guò)三億個(gè)欺詐廣告視頻。這個(gè)網(wǎng)絡(luò)犯罪組織名為“AFT13”，該組織的黑客開(kāi)發(fā)出了一款名為Methbot的惡意瀏覽器，這個(gè)瀏覽器可以收集目標(biāo)用戶的各種信息，并依據(jù)這些信息來(lái)進(jìn)行有針對(duì)性的惡意廣告欺詐活動(dòng)。White Ops最早是從去年9月份開(kāi)始發(fā)現(xiàn)Methbot的活動(dòng)蹤跡，但是在2016年10月份，Methbot的活動(dòng)范圍又進(jìn)一步擴(kuò)大了。

雖然沒(méi)有足夠的證據(jù)可以證明Methbot是俄羅斯人干的，但是安全研究人員卻堅(jiān)定地相信這群黑客來(lái)自于俄羅斯。安全專家表示，雖然Methbot惡意廣告欺詐活動(dòng)的運(yùn)行總部設(shè)在俄羅斯，但是Methbot的服務(wù)器（數(shù)據(jù)中心）卻托管在美國(guó)德克薩斯和阿姆斯特丹的多個(gè)機(jī)房?jī)?nèi)，而這些服務(wù)器托管著超過(guò)57萬(wàn)個(gè)bot，相應(yīng)掌控57萬(wàn)IP地址，這些地址絕大部分屬于美國(guó)，造成的欺騙效果就是讓廣告網(wǎng)絡(luò)認(rèn)為大量美國(guó)訪客查看了這些廣告。

黑客還注冊(cè)了超過(guò)6000個(gè)不同的域名，并且使用了250267個(gè)不同的URL鏈接來(lái)偽裝成美國(guó)的各大知名企業(yè)和熱門媒體網(wǎng)站，例如ESPN、Vogue、CBS Sport、Fox News以及Huffington Post等等。

　　他們是怎么賺錢的？

這些偽造的網(wǎng)站制作完成之后，他們會(huì)將網(wǎng)站中的視頻廣告位進(jìn)行出售，然后偽造廣告視頻的觀看量——主要就是欺騙廣告市場(chǎng)。他們通過(guò)這樣的方式讓廣告市場(chǎng)認(rèn)為這些內(nèi)容的觀看量很高，并通過(guò)技術(shù)手段讓這些觀看IP像是網(wǎng)站正常訪問(wèn)者的。

不僅如此，他們還使用了IP代理來(lái)使這些IP地址看上去更加真實(shí)，而且還可以掩蓋其數(shù)據(jù)中心的位置。這樣一來(lái)，他們就可以高價(jià)出售這些虛假?gòu)V告位，并以此賺取非法受益。實(shí)際上，運(yùn)籌57萬(wàn)IP地址，還達(dá)到欺騙的效果，還是需要不少技巧的——而且57萬(wàn)是個(gè)什么樣的概念，F(xiàn)acebook也不過(guò)用了這數(shù)目的一半。對(duì)此感興趣的，可以點(diǎn)擊這里查看White Ops的完整報(bào)告。

但實(shí)際上，這些視頻廣告全是由Methbot“機(jī)器人”觀看的。攻擊者使用了一款自動(dòng)化軟件來(lái)模擬用戶觀看廣告的行為。為了讓這些“機(jī)器人”看起來(lái)更真實(shí)一點(diǎn)，他們還使用了類似社交媒體登錄、自動(dòng)點(diǎn)擊和鼠標(biāo)移動(dòng)等模擬方法。

一般會(huì)上網(wǎng)看視頻的人都知道，點(diǎn)擊視頻，播放之前都會(huì)有段短廣告。White Ops在報(bào)告中說(shuō)，這個(gè)前置接口是實(shí)時(shí)自動(dòng)交易結(jié)算的。請(qǐng)求視頻的一次點(diǎn)擊會(huì)進(jìn)行廣告交易的初始化，隨后瀏覽器再?gòu)膹V告商處獲取前置式廣告。

這個(gè)過(guò)程中，瀏覽器會(huì)確認(rèn)用戶瀏覽的是什么網(wǎng)站，以及實(shí)際獲取到的前置式廣告。“瀏覽器確認(rèn)用戶瀏覽的網(wǎng)站，而廣告生態(tài)則會(huì)信任瀏覽器提供的信息。”

而AFT13黑客組織打造了所謂的Methbot機(jī)器人瀏覽器（robo-browser）。以上所有初始化、執(zhí)行和完成廣告交易的過(guò)程都能在這個(gè)瀏覽器中欺騙性地完成。所以過(guò)程是這樣的：比如Methbot聯(lián)系廣告交易平臺(tái)，然后說(shuō)需要某網(wǎng)站視頻的一個(gè)前置式廣告。系統(tǒng)執(zhí)行即時(shí)交易，選擇廣告然后發(fā)往Methbot——整個(gè)過(guò)程可參見(jiàn)完整報(bào)告。

AFK13在攻擊中使用的工具大致如下：

1. 用于管理Methbot瀏覽器活動(dòng)的服務(wù)器；

2. 超過(guò)57萬(wàn)個(gè)IPv4地址（市場(chǎng)價(jià)值約為400萬(wàn)美金）；

3. 對(duì)IP地址進(jìn)行自動(dòng)化注冊(cè)的工具（注冊(cè)之后，美國(guó)的ISP才可以為這些IP地址和域名提供服務(wù)）；

4. Methbot軟件；

自從White Ops發(fā)現(xiàn)了這個(gè)惡意廣告欺詐活動(dòng)以來(lái)，Methbot軟件就一直在不斷地更新。比如說(shuō)，當(dāng)White Ops首次發(fā)現(xiàn)Methbot時(shí)，在該組織所使用的HTTP header中存在一個(gè)小錯(cuò)誤，即Cache-Control的值中含有一個(gè)冒號(hào)，而這明顯不符合規(guī)范。但是這個(gè)問(wèn)題在之后卻得到了解決。

收益高得簡(jiǎn)直不敢想象

安全研究人員發(fā)現(xiàn)，Methbot所生成的這些“機(jī)器人”每天可以觀看超過(guò)三百萬(wàn)個(gè)廣告視頻。對(duì)于單個(gè)視頻，每1000次訪問(wèn)平均可以獲益13.04美元。根據(jù)WhiteOps的研究表明，其數(shù)據(jù)中心中大約有800至1000個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，整個(gè)系統(tǒng)可以24小時(shí)不停地運(yùn)作。因此，這群黑客每天都可以獲益三百萬(wàn)至五百萬(wàn)美金。如果你手上有超過(guò)57萬(wàn)個(gè)不同的IP地址，有此收益也不足為奇。