Bot（僵尸程序）：網(wǎng)絡犯罪領域最大的玩家

Taylor+Armerding

雖然勒索軟件和DDoS攻擊最受人矚目，但bot欺騙造成的損失讓他們二者相形見絀。包括受害者在內(nèi)，大家對此似乎都束手無策。

在網(wǎng)絡犯罪領域，勒索軟件和DDoS攻擊過去一年最受人矚目。在舊金山最近舉行的RSA會議上，專門有一整天分給勒索軟件“峰會”。但是，當涉及到受害者損失的金錢以及犯罪分子勒索的金錢時，bot欺詐才是老大——非常多。

2016年，美國勒索軟件造成的損失估計在10億美元左右。而White Ops和國家廣告商協(xié)會（ANA）于2016年1月發(fā)表了題為“Bot基本調(diào)查：數(shù)字廣告欺詐”的研究，估計2016年全球損失為72億美元。

營銷科學咨詢集團最近的一份報告估計，僅美國2016年的損失就高達310億美元。

按照營銷科學集團的網(wǎng)絡安全和廣告欺詐研究員，同時也是報告“數(shù)字廣告欺詐狀況分析”的作者Augustine Fou的說法，相比之下，勒索軟件造成的損失都是“小錢”。

Fou把他自己描述成“bot獵人”，他說，這類網(wǎng)絡犯罪非常多，因為它是如此容易、有利可圖而且安全。

他說：“這非常有利可圖，而且很容易擴散，犯罪分子對此也不用冒生命危險。他們舒服地坐在自己的椅子上就能夠進行廣告欺詐犯罪活動?！?/p>

事實上，Resilient Systems公司的首席技術官Bruce Schneier在最近的一篇博文中寫道，“點擊欺詐”的增長——旨在欺騙廣告客戶認為真實用戶已經(jīng)看過并點擊了他們廣告的bot，有可能導致“互聯(lián)網(wǎng)的整個廣告模式崩潰”。

關于bot欺詐是怎樣工作的，在業(yè)界并不神秘。在線廣告模式的基礎是，廣告客戶根據(jù)在網(wǎng)站上瀏覽他們的廣告以及點擊廣告的人數(shù)來付費。

公司根據(jù)每次點擊費用CPC（Cost per Click）或者每千次瀏覽費用CPM來付費。

對于廣告客戶，所有這一切一開始時被認為比報紙更好，因為報紙這種方式除非給零售商發(fā)放優(yōu)惠券，否則沒有辦法知道讀者是否真正看了廣告或者回應了廣告。

互聯(lián)網(wǎng)模式確保廣告客戶只為實際瀏覽或者回應（點擊）廣告的用戶付費。

但是，bot的出現(xiàn)改變了這一切，它使用數(shù)千臺甚至數(shù)百萬臺“僵尸”計算機或者僵尸網(wǎng)絡中連接的設備，創(chuàng)建虛假的網(wǎng)站流量和欺騙性的廣告“點擊”。

White Ops首席執(zhí)行官Michael Tiffany說：“復雜bot流量的現(xiàn)行費率大約是每次訪問1美分。如果一個僵尸網(wǎng)絡操控者可以控制100，000臺不同的計算機訪問某一網(wǎng)站，而且他可以讓這些訪問看起來是真實的，那就意味著價值1000美元?！?/p>

而且，很多報道都提到，bot制造者已經(jīng)非常擅長使它們表現(xiàn)得像真正的人類訪客。

Farsight Security的科學家Joe St. Sauver說，bot制造者利用被感染的設備，在多個IP地址之間傳播“流量”，使得一些點擊是來自俄勒岡州，其他的來自俄亥俄州，還有的則來自俄克拉荷馬州等。

他說：“該軟件還可以包括一些例程，這些例程設計為模仿自然暫停，頁面正在‘被閱讀，隨之被點擊——可能是在思考某些特性，查找本地經(jīng)銷商或者其他看起來像正常人類訪客要做的事情。”

但Tiffany說很多安全專業(yè)人士仍然“錯誤地認為bot流量看起來像機器行為。”相反，它來自住宅IP地址，使用真正的瀏覽器，做出機器干不了的行為，例如，“運行JavaScript，運行Flash，使用受害者的cookie使其看起來像真正的人類，并像真人那樣與頁面進行交互，這一般是通過模仿?lián)碛斜桓腥居嬎銠C的真人的行為來實現(xiàn)?！?/p>

他補充說，在某些情況下，他們甚至不必那么復雜。他說：“如果每次訪問的付費只是一分錢的十分之一，那么流量看起來不會是真實的，因此這欺騙不了使用復雜分析的廣告買家，但這足以讓您的網(wǎng)站看起來很流行。”

這就是為什么bot欺騙是如此受歡迎的原因。他說：“想象一下，每次讓受感染的一臺計算機加載一個網(wǎng)頁，就能掙到一分錢？沒有什么比這更掙錢了?！?/p>

Fou對此表示同意?！捌墼p網(wǎng)站所有者通過購買流量來產(chǎn)生廣告瀏覽次數(shù)，他們以每千次瀏覽1美元的價格購買流量，并以每千次瀏覽10美元的價格出售廣告瀏覽次數(shù)，他們的純利潤是9美元?！?/p>

所有這些都提出了一個明顯的問題：考慮到廣告客戶驚人的損失，為什么沒有更積極、更成功的措施來遏制它呢？

在某些情況下，有。

inAuth首席戰(zhàn)略官Mike Lynch說，使用一種名為“速度檢測”的工具，可以發(fā)現(xiàn)某些設備的很多行為是異常的。但他說，如果該工具使用IP地址或者cookie，bot可以輕松地打敗它，因為他們會修改IP地址，禁用cookie。

他說：“因此，設備智能和一種稱為設備指紋識別的方法是關鍵的防御措施。設備指紋越可靠，速度檢測的能力就會越好，就會發(fā)現(xiàn)bot的蛛絲馬跡。”

Lynch說，打敗bot的其他技術包括：

● 靜態(tài)——檢測某些已知的惡意軟件

● 行為——檢測大量嘗試、大量失敗、異常流量模式、異常訪問速度和訪問嘗試

● 蜜罐——創(chuàng)建蜜罐，誘騙攻擊者去訪問看起來是真的網(wǎng)站，收集攻擊者的有關信息，并阻止攻擊者

St Sauver說，使虛假流量或者點擊產(chǎn)生不了價值的一種方法是，“在線零售商轉而采用收入分享模式，只有在購買后才付費，而且不會由于使用被盜信用卡而被推翻?！?/p>

但他承認這樣的模式有其復雜性。他說：“假設您在A網(wǎng)站看到廣告后去訪問一個跑車網(wǎng)站。第二天，您在B網(wǎng)站看到另一個廣告。一個星期后，你去經(jīng)銷商那里買車。那么此次購買行為應鏈接給A網(wǎng)站還是B網(wǎng)站？”