今年早些时候,一个盗版网络每天欺诈性地提供超过 20 亿个在线广告。
“Camu”(葡萄牙语中“camuflagen”的缩写)总部位于巴西,大规模贩卖广告欺诈。在今年早些时候的高峰期,它每天处理 132 个域的约 25 亿个出价请求。正如 HUMAN Security 研究人员在一份新报告中所描述的那样,这大约相当于整个佐治亚州亚特兰大市产生的广告流量。
自 2023 年 12 月发现卡姆以来,人类研究人员一直在卡姆身上盖上一条湿毯子。尽管它仍然处于活动状态,但它每天处理的出价请求只有区区 1 亿个。
该方案的工作原理要归功于一个完全简单的基于 cookie 的重定向机制,该机制向用户发送他们正在寻找的电影和电视节目,但讨厌的调查人员会诱骗网站。
卡姆的两张面孔
Camu 的盗版网站提供与任何其他标准盗版或色情网站类似的用户体验。当访问者到达网站并点击他们想要查看的内容时,他们会被重定向到托管该网站的第二个域(所谓的“提现网站”)。
这些广告中有许多来自完全诚实的公司,如果他们知道的话,肯定不想与非法内容联系在一起。为了让他们蒙在鼓里,Camu 采用了一种基本的机制来确保只有他们的目标受众最终会进入他们的提现网站。
“这次行动中的行为者滥用了互联网的一个非常重要的部分,其中域能够根据不同的参数进行不同的加载,”HUMAN 的欺诈运营总监 Will Herbig 解释说。“如果我在电脑上访问域,而不是在手机上访问域,它可能会以不同的方式加载页面,这没关系。然而,卡姆正在利用这一点,他们以一种很难被发现的方式滥用它。
当盗版网站的访问者被重定向到提现网站时,他们会被分配一个令牌。该令牌在他们的浏览器上安装一个 cookie,从某种意义上说,这 “允许” 他们进入带有内容和广告的提现网站。
如果任何不受欢迎的人(例如,安全研究人员或广告商的员工)通过任何其他方式到达提现域,他们将不会拥有该 cookie,因此不会被允许进入该网站。相反,他们会被重定向到一个不同的、平淡无奇但最终无害的这样或那样的网站。
为了掩盖其恶意域与为其提供服务的盗版网站之间的关系,Camu 操纵了在重定向过程中传输的信息。它不仅会 “清除 ”任何暗示引用网站的信息,还会将虚假的引用信息添加到登陆域的 URL 中,从而给人一种访问者从信誉良好的网站或搜索引擎登陆那里的感觉。
广告交易平台如何助长欺诈
正如 Herbig 很快指出的那样,“除了 Camu 和 Merry-Go-Round,我们正在跟踪其他 7 个规模较小但规模相似的运营,它们正在做这类事情。
在线广告购买的自动化程度一直使这项业务变得容易,中间商交换以程序化方式在合法广告商之间贩卖库存,有时不如合法买家。
“许多公司只与与他们有直接关系的公司投放广告。这并非完全万无一失,但这往往是一种更安全的方法。Herbig 解释道。然而,他补充说,“程序化生态系统是巨大的。那里有数以万计的出版商网络。他们中的许多人都信誉良好,[但是] 有一些威胁行为者正试图利用这一点。
为了解决中间商广告交易平台带来的问题,一些广告商转向中间商验证服务。不幸的是,其中一些服务已被证明充其量是无效的。
“广告欺诈年复一年地保持’有史以来最高’,无论是金额还是广告展示量的百分比,”独立广告欺诈研究员 Augustine Fou 博士感叹道。“我们有一些像这样的案例,偶尔会揭露一个微小但具有代表性的例子,即广告费流向了错误的地方,比如盗版网站。但与广告展示的其他可怕地方相比,盗版网站显得苍白无力。