Melkkoe voor cybercrime
Zo schrapen criminelen miljarden bij elkaar met botnets
Het gezegde 'misdaad loont niet' gaat dan misschien wel op voor bankovervallen, inbraken en afpersing, maar niet voor ad fraud. Een vermoedelijk Russische cyberbende met de makkelijke naam AFT13 heeft dit overduidelijk aangetoond. Volgens onderzoekers van beveiligingsbedrijf White Ops heeft AFT13 met het botnet Methbot circa drie tot vijf miljoen dollar per dag verdiend. Dat is ongeveer een miljard per jaar. De totale schade door advertentiefraude was in 2016 meer dan 7 miljard dollar.
Miljoenen bots klikken volautomatisch op advertenties en genereren zo miljarden aan inkomsten. Om dit goed te laten werken, gaan de oplichters erg geraffineerd te werken en laten ze hun bots zo veel mogelijk te werk gaan als mensen.
De werkwijze van de oplichters is kinderlijk eenvoudig. Ze maken websites waarop ze ruimte aanbieden voor reclame. Vervolgens halen ze adverteerders over om daar reclame op te zetten. Van die adverteerders krijgen ze een paar eurocent als er op de reclame wordt geklikt of een spotje bekeken wordt.
Zoals eerlijke uitbaters van dat soort sites weten, is dit geen vetpot. Zonder naamsbekendheid en veel inspanningen lukt het niet om voortdurend grote aantallen bezoekers op je site te krijgen. Alleen
dan zorgen al die minieme bedragen voor bekeken reclame samen voor redelijke inkomsten.
Daarom vertrouwen AFT13 en andere oplichters ook niet op menselijke bezoekers. In plaats daarvan commanderen ze hun bots om de reclamesites te bezoeken en de advertenties te 'bekijken'. Met honderdduizenden reclame kijkende bots, zorgen die paar centen per klik al snel voor miljoenen aan inkomsten. Zo eenvoudig als het klinkt is het natuurlijk niet. De oplichters moeten er eerst het nodige werk in steken om te zorgen dat de geldmachine goed blijft draaien.
We beschrijven aan de hand van een fictieve cyberbende hoe de oplichters over het algemeen te werk gaan. Laten we ze maar AdFraudsters noemen. Het gaat om een clubje kleine criminelen met doorsnee IT-kennis dat op zoek is naar een vrij ongevaarlijk maar toch lucratief bijbaantje en op het idee komt om het eens met ad fraud te proberen.
Stap 1: ghost-sites maken
Om te beginnen is er een site nodig die met reclame gevuld kan worden. De luie leden van AdFraudsters draaien die in elkaar met een gratis Content Management Systeem zoals Wordpress. Omdat ze in schrijven ook al weinig zin hebben, jatten ze links en rechts inhoud van andere websites, soms met wat minimale aanpassingen. De inhoud boeit ze eigenlijk niet. Belangrijk is alleen dat de site is toegespitst op een bepaalde doelgroep, want dat 'verkoopt' beter.
Ook aan het design wordt geen tijd verspild. Echte bezoekers verwachten ze toch niet en voor de bots zijn levenloze ghost-sites goed genoeg. Zo worden zo snel mogelijk sites voor allerlei thema's in elkaar gezet. Vakantiewebsites doen het goed, heeft bendeleider Tomcat ergens gehoord. Met een beetje googlen blijkt dat de concurrentie ook succes heeft met ghost-sites over zaken, familie, financiën en auto's. Dus maken de AdFraudsters ook daar passende ghost-sites voor.
Omdat duidelijk is dat met deze sites geen eerlijke boterham te verdienen valt, worden ze daar ook niet op ingericht. Om zo veel mogelijk te verdienen per page view, wordt er zo veel mogelijk reclame op een enkele pagina gepropt. Met 1x1 pixel per advertentie ('pixel stuffing') en meerdere reclames op elkaar gestapeld ('ad stacking') kun je er nog meer kwijt. Dat werkt vooral goed bij reclames die alleen getoond hoeven te worden ('display ads'). Voor reclames waar daadwerkelijk op geklikt moet worden, wordt de trukendoos geopend.
Video's moeten er sowieso op kunnen. De zogeheten pre-roll ads zijn nu 'helemaal hot' in de reclamebusiness. Dat zijn korte reclamefilmpjes die vooraf aan een video worden getoond en die je na een paar seconden kunt overslaan. Net zo lucratief zijn interactieve reclamefimpjes, die je bijvoorbeeld verleiden om mee te doen aan een prijsvraag. Voor video's krijg je tegenwoordig meer betaald omdat ze aantoonbaar beter werken dan statische reclame-banners. Natuurlijk moeten de video's (en reclamefimpjes) passen bij het onderwerp van de site. Dus plaatsen de AdFraudsters op hun bij elkaar gejatte autowebsite willekeurige bij elkaar geraapte tuning-video's met generieke tekst en passende keywords.
Stap 2: Bezoekers regelen
Nu moet de bende natuurlijk nog traffic naar de ghost-sites zien te trekken. De aan het begin genoemde AFT13 had het makkelijk met hun eigen Methbot-botnet. Bij gebrek aan geduld en programmeerkennis is een eigen botnet opzetten geen optie voor de AdFraudsters. Maar Tomcat heeft een briljant idee: de in de scene bekende Poweliks-bende heeft een kant-en-klaar botnet met meer dan 200.000 zombies te huur. Ze kunnen ook traffic regelen, oftewel page views genereren voor specifieke sites. Laat dat nou precies zijn wat de AdFraudsters nodig hebben. Maar natuurlijk laten de Poweliks zich niet in met groentjes zoals de AdFraudsters. Die boffen maar met een bendeleider als Tomcat. Hij kent iemand die contact kan leggen met een van de traffic-brokers uit het wereldwijde, wijdvertakte resellernetwerk van de Poweliks.
De reseller probeert eerst zijn premium-product te slijten: bijna maagdelijke bots, oftewel pas geïnfecteerde pc's die nog niets verkeerd gedaan hebben. Maar na korte onderhandelingen wordt duidelijk dat de AdFraudsters toch maar liever voor de instapper kiezen. Voor niet meer dan een paar tientjes krijgen ze een maand lang enkele duizenden bots per dag op bezoek op zelf gekozen websites. Die komen van 'oude vertrouwde' bots. Tomcat weet eigenlijk best dat dit waarschijnlijk geïnfecteerde systemen zijn die al compleet zijn uitgemolken en op elke mogelijke blacklist voorkomen.
De reclamebusiness is namelijk goed op de hoogte van de werkwijze van AdFraudsters, Poweliks en AFT13 en probeert zich daartegen te wapenen. Gespecialiseerde bedrijven bekijken en analyseren
verkeer naar reclamenetwerken en proberen de zwarte schapen er zo goed mogelijk tussenuit te filteren.
Daarbij vallen de cijfers van het Bot Baseline Report op (zie link aan het einde van het artikel). Daarin geven de Amerikaanse Association of National Advertisers (ANA) en White Ops aan dat in 2015 circa 65 procent van het botnetverkeer afkomstig was van particulieren. Dat zijn dus allemaal pc's die bijvoorbeeld door Poweliks zijn besmet. Eenmaal geïdentificeerde bots belanden op zwarte lijsten en brengen niets meer op.
Voor het probleem dat de voorraad vers geïnfecteerde systemen op raakt, hebben de cybercriminelen van AFT13 een creatieve oplossing gevonden. Ze maken volgens White Ops gebruik van een bescheiden aantal van 800 tot 1200 servers in Amsterdam en de VS die als back-end dienen voor het botnet-verkeer. Om die niet op te gebruiken, schaffen ze op grote schaal ip-adressen aan als een in de VS gevestigde internetprovider. Die gebruiken ze als tussenstation. Het reclamenetwerk en de opsporingsbureaus zien alleen die proxy-ip-adressen, die ze gerust mogen blokkeren. Dan koopt AFT13 gewoon nieuwe.
De bijna 572.000 ip-adressen die volgens White Ops zijn aangeschaft door AFT13 vertegenwoordigen een waarde van meer dan 4 miljoen dollar. Maar ja, dat is de opbrengst van een enkele dag. En in tegenstelling tot het aantal nieuw geïnfecteerde pc's, zit hier niet zo snel een limiet aan (al helemaal niet met IPv6, maar dat is een ander verhaal).
Zie ik daar een muis?
De bots roepen volautomatisch de ghostsites op van de AdFraudsters. Daarbij moet het ingebedde JavaScript worden uitgevoerd, zodat de reclame geladen wordt. Alleen als de dynamisch in de site ingebedde reclame opgeroepen wordt van de server van de adverteerder, komt er geld in het laatje. Typische commandlinetools zoals wget werken dus niet, het moet gaan om een echte browser. Tegelijkertijd moet de eigenaar van de besmette pc er niets van merken. Als die doorheeft dat zijn pc besmet is, is het vaak snel afgelopen met de pret.
Powelikes heeft daarvoor een relatief simpele oplossing gevonden. De malware past de beveiligingsinstellingen van Internet Explorer aan om veiligheidswaarschuwingen te onderdrukken en volledige controle te krijgen over de browser. Daarna starten ze Internet Explorer als onderliggend proces. Als de gebruikelijke ShowWindow()-functie achterwege gelaten wordt, creëert dit onzichtbare browservensters. Die ontvangen van Poweliks via het WindowsEvent-systeem gesimuleerde toetsinvoer, muisbewegingen en -kliks om de browser aan te sturen. Daarmee simuleert de bot zo goed mogelijk echte gebruikersinvoer.
Andere bots gaan nog een stap verder. De click-fraud malware Kovter brengt zijn eigen browser mee. Die klikt zich een slag in de rondte op internet in tot wel 30 parallelle threads. Om te voorkomen dat de gebruiker iets doorheeft, gebeurt dit alleen als de pc langere tijd niets te doen heeft. Zodra de gebruiker actief wordt, neemt de malware pauze.
Om doelgerichte acties zoals klikken en bekijken uit te voeren, doorzoeken de bots de HTML-code van de opgevraagde site. Ze zoeken bijvoorbeeld naar <img>tags voor ingesloten afbeeldingen. De simpele bot-logica om reclame te herkennen zoekt hierbij naar Link-tags die leiden naar een externe webpagina. Natuurlijk moeten advertentiefilmpjes voor video's worden afgespeeld om te profiteren van die lucratieve inkomstenbron. Een bende zoals AdFraudsters past de HTML-code van de site aan zodat de video meteen start ('autoplay').
Methbot van ATF13 is een stuk slimmer en kan zelf de video starten. Bovendien kan hij die op willekeurige momenten pauzeren of afbreken om menselijk gedrag te imiteren en zo niet op te vallen.
Waarom bots naar bed gaan
Botnet-beheerders proberen hun bots sowieso steeds meer op echte bezoekers te laten lijken, om de dreigende fraudedetectie te ontwijken. Aanvankelijk produceerden ze de hele dag door idioot hoge clickrates en waren ze daaraan gemakkelijk te herkennen. De mensen achter de Bot Baseline Study zagen bijvoorbeeld dat de clickrates bij botnets steeds verder afgeknepen worden en het verkeer 's nachts en in het weekend wordt beperkt.
Ook op de bezochte websites simuleren nieuwere bots zo goed mogelijk het gedrag van mensen. Ze bladeren, verplaatsen de muiswijzer, klikken hier en daar een keer en openen koppelingen soms op een nieuw tabblad. Alles wordt uit de kast gehaald om detectie te vermijden.
De bots nemen zelfs een 'persoonlijkheid' aan met bijbehorende interesses. Adverteerders tonen hun reclame het liefst aan specifieke doelgroepen. "Wat moeten we met huisvrouwen en gepensioneerden? We willen mannen tussen de 20 en 35, alleenstaand, liefst uit de financiële sector en woonachtig in de Randstad – dat willen we."
"Prima, dan krijg je dat ook", denken de botnetbeheerders en ze geven hun bot een bijbehorend ip-adres, laten hem regelmatig beurskoersen oproepen, het
Financieele Dagblad lezen en naar 'grachtenpand Amsterdam' googlen. Daarbij verzamelt hij vlijtig cookies die hem typeren als bankier uit Amsterdam. Als er een 'volg mij wél'-optie was, zou hij die ook meteen aanvinken. Ze laten de bot zelfs klikken op gepersonaliseerde reclame waaraan ze niets verdienen. Alles om de reclamebusiness te overtuigen van de echtheid van hun bankier-bot. Vervolgens kunnen de bijbehorende clicks op de eigen ghost-site des te duurder verkocht worden.
Stap 3: realtime fraude
De laatste stap voor de toekomstige miljonairs van AdFraudsters is natuurlijk om reclame op hun prachtig in elkaar gestoken ghost-sites te krijgen. Dat was een paar jaar geleden nog niet zo makkelijk. De online reclamebusiness leek toen nog veel op die voor drukwerk. Adverteerders of door hen ingeschakelde mediabureaus kochten advertentieruimte in bij websites die ze vonden passen bij hun doelgroep: bijvoorbeeld voor IT-gebied op de site van c't magazine of voor bankiers bij Het Financieele Dagblad. De AdFraudsters van vroeger maakten geen kans met hun goedkope sites zonder echte inhoud.
Maar de AdFraudsters van nu profiteren van twee trends die op dit moment de reclamebusiness revolutioneren: programmatic buying en real time bidding. Tegenwoordig gaat het mediabureau voor gerichte vertoning van zijn advertenties naar de Doubleclick Ad Exchange van Google. Dat is de marktleider voor realtime veilingen van advertentieruimte.
Het bureau geeft daar bijvoorbeeld aan: "Ik wil mannelijke bankiers tussen 20 en 35 jaar met een jaarinkomen boven 100.000 euro. Ik bied maximaal 5 cent per vertoning. En als bezoekers in de voorafgaande 2 weken op reclame van de concurrentie geklikt hebben, bied ik zelfs 10 cent." Dit noemen we programmatic buying en werkt net zoals veilingbots op Ebay. Je kiest het gewenste soort internetverkeer en krijgt automatisch bijpassende aanbiedingen. Op welke website de potentiële klant een advertentie bekijkt, speelt hierbij geen rol.
De AdFraudsters-bende zet op hun ghost-sites gewoon reclameruimte met DoubleClick-code voor realtime-veilingen. De formaliteiten om jezelf te registreren op de reclamebeurs vormen geen serieuze hindernis. Vervolgens worden de bankier-bots naar de sites gestuurd waardoor automatisch een veiling start: "Bankiers te koop". Welke reclame moet aan deze bankiers worden getoond? Het mediabureau biedt mee en wint de veiling voor 4 cent, waardoor hun reclamevideo op de ghost-site wordt ingebed. Dat gebeurt allemaal in een fractie van een seconde, terwijl de browser de site laadt.
De AdFraudsters-club krijgt 3 cent, 1 cent gaat als provisie naar Google. Het platform profiteert dus mee van de oplichterij – en niet alleen Google. Concurrenten zoals Yieldlab en Rubicon werken op dezelfde manier. Helaas verslechtert de omvang van deze zwendel de geloofwaardigheid bij adverteerders, waardoor het hele concept in gevaar komt. Daarom zijn de uitbaters van advertentieplatformen er doorgaans op gebrand om ad fraud tegen te gaan. Maar de geschatte 7 miljard schade spreekt boekdelen over hoe goed ze hier in slagen.
In het vervolg van hun glansrijke carrière testen de AdFraudsters nog allerlei andere oplichterspraktijken met wisselend succes. Bij click-jacking krijgen gebruikers bijvoorbeeld een onzichtbaar iFrame met reclame voorgeschoteld. Als ze daarop klikken, wordt er een onzichtbare vertoning gestart. De gebruiker denkt misschien dat hij verkeerd heeft geklikt, probeert het nog een keer en alles werkt schijnbaar normaal.
Domain spoofing is er in twee smaken. Aan de kant van de client kan de bot reclame inpassen in een door de browser getoonde legitieme website en voor die reclame inkomsten genereren. Aan de kant van servers lukt het oplichters telkens weer om getoonde reclame zodanig te vervalsen dat adverteerders denken dat die zich niet op een ghost-site bevindt maar op een premium website. Ondertussen heeft niet de premium website inkomsten, maar de AdFraudsters. White Ops publiceerde eind december een lijst met meer dan 6000 domeinen van premium publishers. Die waren tussen september en oktober 2016 door de Methbot-bende gespooft in het kader van programmatic advertising.
Deze lijst van oplichterstrucs met reclame is bijna eindeloos aan te vullen. Zo houdt reclame niet alleen het internet, maar ook de bedreigingen daarop in stand.
Slechte verliezers …
Als je nu denkt dat het toch maar de reclamebusiness is die er last van heeft, heb je het dubbel mis. DoubleClick en Co. verdienen eraan mee. De genoemde 7 miljard verlies komt op rekening van de eigenlijke opdrachtgevers van de reclame. Bijvoorbeeld die leuke webshop met innovatieve producten die is aangewezen op online reclame.
Bendes zoals AFT13, Poweliks en onze fictieve AdFraudsters zijn geen cyber Robin Hoods. Het gaat deze smiechten er alleen om zichzelf te verrijken en daarbij hebben ze geen scrupules. Ze gebruiken hun botnets voor alle mogelijke smeerlapperij waar wat aan te verdienen valt: DDoS-aanvallen, zwendel met internetbankieren of spammen, het maakt niet uit. Of ze proberen nog een laatste keer te verdienen aan oude zombie-pc's door er ransomware zoals WannaCry op te installeren en rechtstreeks de gebruikers af te persen.