Tutto quello che c'è da sapere sulla botnet 3ve
Pubblicato: 2021-07-08Gli inserzionisti moderni devono affrontare molto di più della semplice conversione di potenziali clienti, poiché l'aumento delle botnet e delle frodi sui clic continua a influenzare il successo delle campagne pubblicitarie.
Le botnet sono ora responsabili di una grande quantità di questi clic fraudolenti. E negli ultimi anni, la botnet 3ve è stata una delle operazioni botnet più sofisticate mai viste.
Ha funzionato dal 2013 al 2018 e ha infettato oltre 1,7 milioni di PC in tutto il mondo, causando scompiglio e costando milioni agli inserzionisti.
Ma come è diventato un dilemma così globale? Siamo qui per dettagliare la sua ascesa e la sua caduta, oltre a evidenziare i problemi creati dalle botnet, con suggerimenti su come proteggere la tua attività.
Come è stato scoperto il 3ve
Pronunciata come vigilia, la botnet è stata operativa dal 2013 al 2018, ma è stata scoperta solo nel 2016 da HUMAN (ex White Ops), lo specialista della sicurezza informatica.
L'azienda ha collaborato con Google e l'FBI per abbattere il giro delle frodi, con il contributo di organizzazioni tra cui Adobe, McAfee e Amazon.
3ve ha utilizzato i pacchetti malware Boaxxe/Miuref e Kovter per infettare i PC con e-mail di spam e allegati e-mail infetti.
È stato rilevato per la prima volta da HUMAN quando la rete Methbot era sotto indagine. Inizialmente, 3ve sembrava essere una bot farm standard senza nulla di unico.
Ma nel 2017 la sua attività è cresciuta e ha generato miliardi di richieste di offerte di annunci giornaliere. Questo era ovunque tra 3 e 12 miliardi ogni giorno.
Il malware scoperto utilizzava l'anti-forense, una tattica di evasione in cui il malware esegue una scansione dei processi, dell'hardware, del nome utente e dell'indirizzo IP di un PC. Tutto ciò che lo renderà identificabile.
Una volta aggirato il problema, Google e HUMAN hanno scoperto gradualmente l'intera scala dell'operazione 3ve. Come ha spiegato Google nel suo whitepaper The Hunt for 3ve :
“Un modo per bloccare le operazioni dei bot è inserire nella lista nera tutti i loro indirizzi IP noti. Tuttavia, a causa dell'aggressività dell'operazione, nonché della sua capacità di acquisire rapidamente nuovi indirizzi IP, ci siamo resi conto che una blacklist avrebbe interrotto solo temporaneamente l'attività di 3ve. Per eliminarlo definitivamente, dovevamo capire come era strutturato e organizzato 3ve, dovevamo assicurarci che gli operatori pensassero di passare inosservati per osservarli e applicare le nostre conoscenze ai futuri sforzi di sicurezza e dovevamo espandere il nostro sforzo al di là di Google e [HUMAN]."
Google ha iniziato a creare un'infrastruttura di partner per porre fine a 3ve. Ma mentre lo faceva, il gigante della ricerca doveva assicurarsi che la botnet credesse che non fosse ancora rilevata.
Ciò che seguì fu un'impresa mastodontica che coinvolse le principali organizzazioni, tutte al lavoro in tandem per abbattere probabilmente la botnet più sofisticata della storia.
L'operazione 3ve
3ve ha operato in modo interessante, ha utilizzato siti web fasulli e di bassa qualità che facevano parte di Google AdSense. Ha quindi venduto traffico premium falso agli inserzionisti.
Potrebbe falsificare con successo i domini di editori di alto rango e prestigiosi, senza lasciare agli inserzionisti la saggezza di essere stati ingannati.
La capacità di 3ve di infettare decine di migliaia di PC gli ha permesso di creare una massa di clic illegittimi sugli annunci, che è il modo in cui l'operazione ha fatto i suoi soldi.
Come ha notato Google nel whitepaper di The Hunt for 3vE:
“Gli operatori di 3ve sono stati molto attenti nel cercare di impedire alle reti pubblicitarie di notare la loro attività illecita. Questo è il motivo per cui, ad esempio, il malware di 3ve viene eseguito completamente solo nei paesi in cui è probabile che gli utenti di Internet organici stiano navigando negli stessi siti premium che 3ve sta contraffando, inclusi Stati Uniti, Canada e Regno Unito. La popolazione delle vittime di 3ve è mostrata nella figura sottostante.”
Più successo si è dimostrato, più l'operazione è diventata scalabile.
I suoi operatori sono stati anche in grado di eludere costantemente il rilevamento camuffando i robot di 3ve. Quindi, anche dopo che parti del suo traffico sono state inserite nella lista nera, potrebbero rimaterializzarsi da qualche altra parte.
Gli operatori di 3ve hanno utilizzato varie tattiche per non essere scoperti. Compreso l'evasione dei tag, l'imitazione dei comportamenti umani prima di fare clic sugli annunci e la rapida rigenerazione degli indirizzi IP residenziali.
Al suo apice, la botnet 3ve:
- Ha generato oltre 3 miliardi di richieste di offerta giornaliere
- Compromesso 1 milione di IP
- Ha infettato oltre 700.000 PC
- Più di 10.000 siti Web falsi
Come è stato abbattuto 3ve
Google, HUMAN e l'FBI si sono resi conto che l'operazione doveva essere chiusa definitivamente in modo che non continuasse più ad evolversi.
In totale, 15 importanti parti del settore hanno collaborato con Google, Human e l'Internet Crime Complaint Center dell'FBI per far fallire l'operazione.
L'elenco delle organizzazioni che hanno contribuito a eliminare 3ve include:
- Adobe
- Ufficio commerciale
- Amazon
- Giuramento
- Malwarebytes
- ESET
- punto di prova
- Symantec
- F-Secure
- McAfee
- Trend Micro
- Dipartimento di Sicurezza Nazionale
Con un sistema di intelligenza collaborativa, il gruppo di lavoro ha trascorso mesi osservando 3ve in azione per determinare come funzionava.
Le organizzazioni combinate sono state in grado di approfondire la ricerca 3ve per mappare la sua infrastruttura, le strategie di monetizzazione e i componenti principali.
Ad esempio, McAfee e altri specialisti di antivirus hanno lavorato per comprendere il malware con cui 3ve stava infettando i PC.
Ciò ha portato a una rimozione tecnica coordinata dell'infrastruttura, impedendo agli operatori di ricostruire 3ve.
Entro 18 ore, Google ha riportato il traffico delle richieste di offerta di 3ve vicino allo 0%.
Al termine delle indagini, il Dipartimento di Giustizia degli Stati Uniti ha emesso 13 atti d'accusa contro 8 persone. 6 di questi truffatori provengono dalla Russia, con gli altri 2 dal Kazakistan.
Il comunicato stampa del Dipartimento di Giustizia del novembre 2018 otto imputati incriminati , ha rivelato i nomi delle persone e ha dichiarato:
"Anche oggi sono stati aperti alla corte federale di Brooklyn mandati di sequestro che autorizzavano l'FBI a prendere il controllo di 31 domini Internet e mandati di perquisizione che autorizzavano l'FBI a prendere informazioni da 89 server di computer, che facevano tutti parte dell'infrastruttura per le botnet impegnate nella pubblicità digitale. attività fraudolenta. L'FBI, in collaborazione con partner del settore privato, ha reindirizzato il traffico Internet verso i domini (un'azione nota come "sinkholing") per interrompere e smantellare queste botnet".
Le accuse erano per la perdita di decine di milioni di dollari in frode pubblicitaria digitale.
I risultati dell'interruzione di 3ve hanno sicuramente fornito un campanello d'allarme per le industrie pubblicitarie e tecnologiche, evidenziando perché è importante rimanere proattivi nella battaglia contro i truffatori online.
Proteggi i tuoi annunci dal prossimo 3ve
Sfortunatamente, sebbene 3ve possa essere stato rimosso, ci sono ancora molte altre botnet attive là fuori.
E ogni inserzionista che esegue annunci di ricerca, display o video a pagamento è a rischio di perdere denaro da questi schemi di frode pubblicitaria.
Nel 2019, Spamhaus (un'organizzazione di intelligence sulle minacce) ha pubblicato il suo Botnet Threat Report. I suoi risultati hanno mostrato un drammatico aumento dei nomi di dominio registrati per ospitare botnet. L'aumento è stato del 100% rispetto alle statistiche del 2017.
E come ha rivelato il nostro Global Click Fraud Report 2021 , le botnet rimangono la forma più dannosa di click fraud.
È molto un gioco del gatto col topo. Nuove botnet vengono scoperte continuamente. Ad esempio, nel marzo 2021, è stata dissotterrata una botnet specifica per Windows e si è riscontrata una dimensione enorme.
Chiamato il malware Purple Fox , utilizza e-mail di phishing e kit di sfruttamento per infettare le macchine e si diffonde rapidamente da un PC all'altro. Il malware prende di mira i computer Windows con connessione a Internet che utilizzano password deboli.
Più annunci pubblichi sulla Rete Display di Google, più siti web su cui fai pubblicità e più soldi spendi, maggiori sono le probabilità di essere vittima di frode.
Gli operatori di botnet stanno lavorando duramente per rendere i loro bot il più indistinguibili possibile dal comportamento umano.
Ciò rende molto difficile persino individuare attività illegittime nelle tue campagne pubblicitarie, figuriamoci impedirne il verificarsi.
È importante essere vigili. E per proteggere le tue campagne pubblicitarie e la tua attività con gli ultimi dati disponibili. Questo può darti un enorme vantaggio nel bloccare i truffatori.
Lezioni apprese da 3ve
Purtroppo, le botnet sono qui per restare, proprio come 3ve ha dimostrato quanto siano sofisticate le operazioni per eludere il rilevamento.
Ci è voluta un'intera forza lavoro di migliaia di persone provenienti dai principali attori globali per smantellare la rete. La forza combinata di Google, HUMAN, l'FBI e molti altri, per fermare le azioni di diffusione del malware dei bot non umani.
Le lezioni apprese da 3ve hanno aiutato nella lotta contro i truffatori e sicuramente aiuteranno nelle indagini future.
Ma puoi anche proteggere le tue campagne pubblicitarie adottando misure proattive. Abbiamo un elenco di oltre 60.000 esclusioni gratuito per app, canali e siti Web che impediscono la pubblicazione degli annunci su siti Web sospetti e a basso rendimento.
Aggiungilo al tuo account Google Ads e escluderai immediatamente i truffatori e migliorerai la qualità del tuo traffico.
Ciò aiuta a proteggere l'immagine del tuo marchio, evitare siti Web irrilevanti, bloccare i clic illegittimi e migliorare il ROI.
Scarica l'elenco completo delle esclusioni di seguito.