本月出版的《廣告時代》雜志刊登封面文章，詳細介紹了高度機密的谷歌反廣告欺詐團隊，以及他們為打擊這股互聯網上的陰暗勢力而采取的種種舉措。

以下為文章主要內容：

在倫敦的圣吉爾斯大街上，一位名叫薩沙(Sasha)的俄羅斯工程師啟動了一臺電腦，開始給我下達指令。

“第一步，先訪問個網站。”他下令道，“AdAge.com怎么樣？”隨著頁面在瀏覽器中加載完畢，一連串代碼從左邊的另外一個窗口中跳出。幾秒鐘后，薩沙向我解釋了剛剛發生的事情。“跟我們團隊打交道時，你可不能我們讓你上哪網站你就照做。”他說。那臺全新的電腦已經被感染。“你加入了一個僵尸網絡。”

事實上，被黑的是我的上網線路，不是AdAge.com。無論訪問哪個網站，電腦都會被感染。不過，薩沙似乎很享受我的這種無助，他的工作才剛剛開始。

薩沙是谷歌反欺詐秘密團隊的成員，該團隊總共有100多人，他們每天的工作就是與不計其數的網絡犯罪分子對抗，防止他們從數字廣告行業竊取數十億美元的巨額利潤——這主要源自偽裝成人類的機器人流量。就連很多谷歌內部人士對這個部門也不甚了解，他們更是從未對外界透露過自己追捕僵尸網絡的方式，更不用說讓外人進入辦公室觀察整個流程了。然而，當莎拉打開電腦的那一刻，他們終于打破了沉默。

對于或大或小的互聯網企業來說，數字廣告欺詐都是一個嚴重問題，而且還在不斷惡化。隨著廣告預算從電視和印刷媒體轉向數字媒體，整個流程也越來越自動化，這也為互聯網上的陰暗勢力創造了一片沃土。

根據反欺詐公司WhiteOps和美國廣告主協會的一項研究，2015年因為廣告欺詐造成的損失高達63億美元。而身為全球最大廣告科技公司的谷歌，由于每天要處理海量的廣告交易，而且提供了自動化購買平臺和廣告交易市場，自然首當其沖。倘若廣告主認為谷歌的業務中充滿了欺詐流量，肯定會將預算投向別處，谷歌的前景必將受到威脅。

廣告技術公司Ghostery的主要業務是在互聯網上監控廣告標簽，他們曾經對谷歌在廣告技術行業的主導地位進行過深入分析。該公司的最新測算來自2013年9月，數據顯示，谷歌當月的廣告展示總量高達3160億次，而排名第二的OpenX僅為844億次。如此大的領先優勢表明谷歌必然深受廣告欺詐之苦，也為該公司賦予了更強的動力，必須全力應對這一問題。在此之前，該公司始終沒有公開他們為對抗廣告欺詐采取的行動，但如果繼續保持沉默，就難以推動整個行業取得真正的進展，這也是他們接受《廣告時代》專訪的主要原因。

“分享我們的觀點和立場以及投資水平，是為了給其他業內企業提供幫助。”谷歌視頻和顯示廣告產品副總裁尼爾·莫漢(Neal Mohan)說。

谷歌的這項決定促成了我今年春天的這次跨洋之旅，在此期間，我與薩沙和他的同事們展開了深入交流，他們也對我敞開心扉，向我展示了當今互聯網行業最重要、最機密的部門之一。盡管幾乎所有內容都被記錄下來，但出于安全考慮，薩沙和他在谷歌的同事還是執意要求只使用他們的名字，不能提及姓氏。“因為這都是有組織犯罪，所以對公開打擊此事的人恐怕不利。”一位團隊成員如是說。

感染過程

當薩沙坐在兩臺顯示器前時工作時，陽光透過巨大的玻璃窗灑進辦公室，讓他得以一覽南倫敦的美景。6名反欺詐團隊成員分散在房間的不同角落——整個房間只有一扇門通向外面。

莎拉的口音很重，說話時總是帶著戲謔的口吻，他開始仔細查看AdAge.com的網站代碼（再次聲明，這個問題僅限于上網連接被黑客入侵的那一臺電腦），最后發現了幾行所謂的“漏洞”——它的本質是黑客用來解鎖電腦的一把鑰匙。一旦用漏洞打開了一臺電腦的大門，黑客便可在這臺電腦上安裝惡意程序，從而完全控制電腦。對于廣告欺詐分子而言，這種控制權的價值堪比黃金。通過這種渠道，他們就可以在隱藏的窗口中瀏覽網絡，而電腦的主人則對此一無所知。

通過個人電腦來部署是這類廣告欺詐最顯著的特征。他們將這些遭到入侵的PC稱作“工蜂”，并利用這些電腦組成僵尸網絡，操縱它們步調一致地瀏覽各種網頁，像吸血鬼一樣消耗著廣告主的大量資金。由于是通過PC開展不法活動的，因此僵尸網絡運營者很難被發現。他們會使用變化多端的IP地址和地理位置，還會隱藏其通過互聯網發送的流量。

“漏洞”可以經由多種途徑進入電腦，包括WiFi網絡、包含這種代碼的廣告（惡意廣告）、被劫持的家用路由器、垃圾郵件和被感染的網站。（谷歌團隊通過一個損壞的連接將漏洞植入了我面前那臺電腦的AdAge網站副本。）當你遭遇這種情況時，漏洞便可解在毫無跡象的情況下解鎖你的電腦，之后，罪惡便會慢慢展開。“普通用戶不會注意到異常情況。”薩沙解釋說。他們甚至不必點擊任何東西就會被感染。

盡管薩沙堅稱我使用的電腦被感染，但在他打開一個名叫WinLister的程序之前，根本無法判斷這一情況——該程序可以讓用戶進一步了解一臺PC打開的隱藏窗口。通過該軟件，他發現了一組已經最大化的IE窗口，這些窗口都被隱藏起來，而且都標記為“消息”。當薩沙讓這些窗口現出原形后，屏幕上顯示出一個在頁面上瘋狂移動和點擊的鼠標箭頭。桑薩沙的手離開鼠標后，那個箭頭依然沒有停止。

這樣一次令人意外的“現形”引發了團隊的一陣哄笑，但他們卻并不準備向外人解釋這種令外人目瞪口呆的事情。

發展歷程

對于欺詐分子來說，通過感染電腦來賺錢是個非常簡單的過程。只需要兩個基本步驟即可完成：通過一系列中間人把僵尸流量賣給網站的站長——盡管站長需要為此付出一些成本，但顯然物有所值；他們也可以自建網站，然后向該網站輸送流量，并出售自己的廣告。

這種通過僵尸網絡賺錢的方式或許很直接，但要探測出來卻并非易事。雖然了解背后的原理并不困難，但要真正判斷一次廣告點擊究竟來自人類還是電腦程序，卻絕非易事。

當薩沙查看那段僵尸腳本時，谷歌僵尸網絡追捕業務負責人道格拉斯·德雅格(Douglas deJager)就坐在房間的后面，專心地觀察整個過程。德雅格是個自信滿滿、心直口快的南非人，他去年早些時候將自己的反欺詐公司Spider.io賣給了谷歌，但并未披露具體金額。盡管坐在顯示屏前的是他的手下，但毫無疑問，真正發號施令的還是他本人。

德雅格很早就發現了互聯網的這個陰暗角落。“我們曾經是壞人中的一員。”他開玩笑說。雖然這只是玩笑，但實際上，他的確可以當壞人。他的第一家公司BytePlay開發的抄襲軟件可以模擬人類的行為方式，他們團隊很快意識到這種模式被不法之徒掌握之后可能產生的破壞。在賣掉了BytePlay后，德雅格決定創辦Spider.io，專門對抗這些不法之徒。“我要阻止任何人使用我曾經使用的那些技術來做壞事。”他說。

Spider.ior被谷歌收購時只有9個人，他們借助那筆交易獲得了谷歌的龐大計算能力，大幅加快了業務流程。“以前，我們通常需要花費一天的時間才能針對具體的一部分流量制作出報告，但現在可以實時制作報告。”德雅格解釋說。但他們也面臨一些新的局限。Spider.io必須繞開谷歌銷售團隊，避免發生利益沖突。——倘若某個廣告位從谷歌的系統中移除，銷售團隊便會立刻遭受損失。相反，廣告賣得越多，他們的收入就越高。

Spider.io與谷歌整合得似乎很好。當他們一起前往倫敦的Craft BeerCo酒館時，新老團隊成員之間的密切程度立刻顯露無疑。閑聊了好幾個小時后，一行人又一起吃了晚餐。一位幫助谷歌收購Spider.io的谷歌高級員工表示，他為自己當初的決定感到高興。

自從德雅格“棄暗投明”后，那幫壞分子的技術也大幅提高。他表示，惡意軟件的主要用途原本是銀行欺詐，但兩步驗證措施（例如，除了輸入密碼外，還需要輸入通過手機短信接收的驗證碼才能登錄銀行帳號）大幅壓低了他們的盈利能力。于是，黑客開始轉向信用卡欺詐，但這一領域的安全性也已經大幅提高——盡管只要花幾美元就能買到數千條活躍信用卡記錄，但這些信息幾乎毫無用處。

接下來就是比特幣挖礦，黑客們通過入侵他人電腦來獲取這種加密貨幣。但這種業務的利潤率同樣大不如前，正因如此，廣告欺詐才成了當今網絡犯罪領域最賺錢的業務。“如今，惡意軟件的主要用途已經變成廣告欺詐。”德雅格說。然而，令廣告行業提心吊膽的事情才剛剛開始。

對抗欺詐

第一次親眼見到惡意軟件代碼會令人頗感不安。這種加密程序就像一組難以破譯的天書。剛加入團隊的塞巴斯蒂安(Sebastian)坐在我的身旁，從屏幕上選出了一段代碼，向我解釋那晦澀難懂的含義。其中一行寫著“1568 C8 58 00 10 57 8B”，代表了這個僵尸網絡的DNA。

代碼是僵尸網絡的引擎，指揮著受感染的電腦瀏覽網絡：它告訴它們應該訪問哪家網站，在上面停留多長時間，進行哪些活動，諸如此類。谷歌的反欺詐團隊通過一些來源獲得了這些源代碼，其中包括其2012年收購的惡意軟件掃描公司VirusTotal。他們之后必須通過反向工程破解每個僵尸網絡的屬性。

破解代碼是整個流程中最為關鍵的一步，反欺詐團隊可以借此獲得僵尸網絡的“指紋信息”。“一旦我們了解了它的運作模式，就可以通過某些特征判斷某個網站的某位訪客是否感染了這種惡意軟件。”該團隊產品經理維嘉德·約翰森(VegardJohnsen)說。

在我們面前的電腦屏幕上現出原形的僵尸網絡包含了150個“動作”，每個動作都是為了模仿人類訪問網頁時的行為。例如，該程序會下令受感染的電腦創建一個隱藏的IE窗口，然后將窗口全屏，關閉聲音，將流量瞄準瀏覽記錄可以匹配“LibertyInsurance”等關鍵詞的用戶，然后隨機移動鼠標，而且只有20%的時候會真正做出點擊動作。事實上，這個包含了150個動作的程序相對比較簡單，有些僵尸網絡甚至會包含2000多個動作。

代碼內容非常詳細，當你對它進行研究時，甚至可以感受到代碼編寫者的所思所想。“你知道有人坐在那里，選擇了這些動作，然后寫下了這段代碼。”約翰森說，“我們都很清楚，隱藏在暗處的這些對手賺了很多錢。”

當他們查看僵尸網絡的網絡論壇時，還將更加全面地了解欺詐分子的全貌。谷歌的團隊始終在監視這些論壇，關注著他們買賣受感染的電腦和流量的過程。在我造訪的過程中，該團隊向我展示了一篇中間人的帖子，里面甚至包含了一句“欺詐者勿擾”的警告。當然，這位中間人所謂的“欺詐者”指的是欺騙他的人，而不是廣告欺詐分子——后者正是他想要的。

這個黑市也有它自己的一套規則，不僅建立了信用系統，甚至還有第三方托管服務來保證資金安全。“這至少表明，整個欺詐利益鏈都付出了很多努力。”約翰森說。

但欺詐分子并非刀槍不入。與他們開發的僵尸網絡不同，他們也是人，是人就會犯錯。這些錯誤有時看起來微不足道，但谷歌卻可以借此判斷他們的身份。

隱秘“信號”

長時間討論廣告欺詐問題必然少不了咖啡，谷歌著名的小廚房這時就可以派上用場。每當研究完一部分代碼后（有時候會持續近2小時），整個團隊就會涌到咖啡機旁，借機攝入一些咖啡因，暫時忘掉屏幕上那令人眼花繚亂的像素和數字。對于如此復雜的技術工作而言，這種放松方式十分必要。

當谷歌的反欺詐團隊完成了對某個僵尸網絡代碼的反向工程后，便可繪制出該僵尸網絡行為模式的藍圖。得益于谷歌的龐大規模，這個藍圖會與谷歌的龐大廣告點擊和展示數據進行比對，尋找與之匹配的流量。

在此過程中，谷歌團隊不僅希望在流量中匹配僵尸網絡的特點，還希望匹配他們所謂的“信號”。特征很直接，包含了各種流量行為，包括點擊率、轉化率、使用的瀏覽器甚至點擊行為在頁面上發生的位置。谷歌反欺詐團隊向我展示了一個名叫z00clicker的僵尸網絡，它會指揮自己的“工蜂”在頁面上隨機選取兩個點，然后沿著兩點之間的直線移動，在經過可以點擊的地方時便會觸發點擊行為。之后，該僵尸網絡便會留下一個類似于簽名的獨特點擊形態。如果將z00clicker觸發的廣告點擊繪制成一張地圖，會發現四周的點擊密度很高，中間位置很低。

特征的確很有幫助，但當谷歌將某些流量標記為非人類流量，并拒絕向站長支付相應的廣告費時（他們也不會向廣告主收取費用），還需要出示一些更具說服力的證據。這時，“信號”就會發揮至關重要的作用。

所謂“信號”，指的是一種在正常情況下不會出現的行為，但卻在廣告欺詐分子編寫僵尸程序的過程中無意間創造出來。德雅格表示，他們的工作就是找出這些微不足道的“信號”，確定這些流量的確來自于被感染的電腦。

谷歌的反欺詐團隊處理這些信號時顯得格外小心，因為很多信號仍在使用，一旦走漏風聲，就引起被欺詐分子的警覺。德雅格在我剛剛造訪時說過：“我們做的很多事情都是如履薄冰。”這便是其中的一件。

但他們還是給我舉了幾個例子，向我展示了一些ZeroAccess的獨特信號——在微軟的協助下，那個僵尸網絡已于2013年被搗毀，但后來卻自己復活了。例如：在正常情況下，重置瀏覽器cookie會在其cookie域中產生一個“0”，但出于種種原因，ZeroAccess卻會在那里插入一個空白字符。該僵尸網絡會在每次瀏覽會話前重置cookie，所以會定期出現這樣的空格。這個信號足以判斷流量是由ZeroAccess產生的，但谷歌通常會利用多個信號同時證明某個流量是否來自僵尸網絡。

獨門武器

與邪惡勢力斗爭的正義化身必然擁有標志性的武器。例如，蝙蝠俠有蝙蝠車，佛羅多有魔戒，絕地武士有光劍。而谷歌團隊的標志性武器則是“Powerdrill”。

Powerdrill是一套強大的計算系統，它能在5秒鐘內處理5000億單元的數據——總之就是速度極快。它可以將這些數據制作成圖表和其他圖形化元素，方便技術人員尋找僵尸流量的不法行為。

在給我演示該工具中的一個會話時，德雅格直接標記了“龍來了”的標簽。另外一位名叫菲爾(Phil)的團隊成員打開了Powerdrill的顯示屏，向我展示了大批來自4個IP地址和1個網絡服務器的流量。這些流量顯然都服務于同一個實體，它們在短短10天內就在一個谷歌網絡中產生了1億次廣告點擊。“這是真實的流量。”菲爾解釋道，“這是3天前的使用數據。”

這些流量十分龐大，有可能徹底破壞過去10天不計其數的廣告數據，而且至今仍在運行。“這有可能人為虛增廣告點擊率。”菲爾指出。

但令人為難的是，這些流量并非來自僵尸網絡。“這其實來自一家廣告驗證公司。”菲爾拒絕透露該公司的名字，但他表示，該公司會通過互聯網搜集盡可能多的樣本，甚至會實際點擊廣告，了解這些廣告的最終著陸頁。盡管該驗證服務完全可以在瀏覽器中給自己貼上“非人類”的標簽，但他們卻沒有這么做，導致很多尚未識別其身份的廣告科技公司，都將該公司的流量視作人類用戶產生的自然流量。

與其他公司分享這類數據對打擊整個行業的欺詐問題大有幫助，谷歌似乎也準備這樣做。德雅格表示，他的團隊即將首次公布詳細的惡意流量信息，不僅包括其發現的僵尸網絡數據，還包括這類廣告驗證公司產生的流量。

德雅格希望谷歌此舉能夠促使其他公司也披露類似的信息，聯合起來對抗廣告欺詐分子。“我們的工作就是增加他們的成本，使之降低到他們認為不值得繼續作惡的程度。”他說。

谷歌的反欺詐團隊能否真正實現這個目標還很難說，不過，我此次采訪過程中的確看到他們在努力打擊這種行為，我也見證了他們為此部署的周密計劃。不過，這畢竟是一場硬仗，所以，倘若我一味吹噓他們的成就，就會顯然太過虛偽。

不過，假如勝利的那一天果真到來，德雅格已經計劃好了慶祝的方式。他開玩笑說，自己有可能去休假，“前往某些廣告欺詐分子可能也會去的某個海灘，”他說，“我們沒準會一起喝一杯？誰知道呢。”