Poprzeczka w click fraud idzie wyżej. Ale czy to jeszcze click fraud?
Jestem ciekaw ilu czytelników Magicznego zwraca uwagę na komputerowe bezpieczeństwo w stopniu większym, niż zainstalowanie antywirusa i firewalla na swoim PC :). Powiem Wam w sekrecie, że dla mnie IT security pozostaje cały czas obszarem pewnego mistycyzmu i źródłem niebywałej frajdy. Oczywiście żaden ze mnie ekspert, ale to nie przeszkadza czerpać rozrywki z publikacji super speców. Dlatego z wielkim zainteresowaniem przeczytałem studium, do którego link pojawił się dziś na blipie.
FFSearcher Click Fraud Trojan
Joe Stewart z SecureWorks opisuje konia trojańskiego, który, po zainstalowaniu się na komputerze, atakuje przeglądarki Internet Explorer i Firefox. Zostawimy techniczne szczegóły samego procesu infekcji i ukrywania się trojana w systemie. Z punktu widzenia search marketerów interesuje nas najbardziej interakcja trojana z wyszukiwarkami. Warto jednak wspomnieć o jego stopniu wykrywalności: exec z instalką wykrywa 4 na 39 antywirusów, a po zainstalowaniu się 15 na 41.
Cel FFSearchera jest prosty – podmienić silnik wyszukiwarki z oryginalnego Google na Google Customized Search Engine (CSE). Google CSE to narzędzie pozwalające tworzyć własne, spersonalizowane wyszukiwarki. Świetnie nadaje się jako silnik przeszukujący zasoby konkretnej witryny – wyszukiwarka w prawym górnym rogu Magicznego działa właśnie w oparciu o Google CSE.
Po co podmieniać Google na… Google?
Naturalnie dla pieniędzy. Google CSE, oprócz podstawowej funkcjonalności, oferuje także (domyślnie wyłączoną) możliwość integracji z AdSense. Mając konto AdSense możemy w CSE podać swój identyfikator. Dzięki temu będziemy zarabiać na linkach sponsorowanych, jakie kliknięte zostaną przez korzystających z naszej spersonalizowanej wyszukiwarki.
Oczywiście o wiele więcej wyszukiwań zachodzi na oryginalnych domenach Google (czy to Google.pl czy Google.com). Twórca (bądź twórcy) trojana wpadli więc na pomysł przekierowania wszystkich zapytań pochodzących z zainfekowanej maszyny przez swoją własną, spersonalizowaną wyszukiwarkę. Jedna z jej kopii działała pod adresem my-web-way.com. Z pozoru była to całkiem normalna witryna:
Witryna my-web-way.com (źródło: SecureWorks.com)
Posiadająca równie niepozornie wyglądającą wyszukiwarkę (zwróćcie uwagę na występujący w adresie strony parametr cx=partner-pub-… – to jest właśnie identyfikator z AdSense):
Wyszukiwarka na my-web-way.com (źródło: SecureWorks.com)
Po zainfekowaniu komputera zaczyna się Matrix :). Dla porównania, najpierw zrzut ekranu przedstawiający zdrowy system, z normalnie działającą funkcją kompletowania URLi w Internet Explorerze:
Normalnie działające autokompletowanie URL w IE (źródło: SecureWorks.com)
Działający FFSearcher maskuje domenę, zastępując ją URLem Google:
FFSearcher maskuje prawdziwą domenę, nakładając na nią Google.com (źródło: SecureWorks.com)
Dokonując wyszukiwania na Google.com przy użyciu normalnie działającej maszyny, użytkownik otrzymuje następującą stronę:
Normalne wyniki wyszukiwania Google (źródło: SecureWorks.com)
A tutaj widzimy to samo zapytanie z komputera zainfekowanego FFSearcherem. Dane w rzeczywistości pochodzą z my-web-way.com, ale przeciętny użytkownik praktycznie nie ma szans na dostrzeżenie różnicy:
Wyniki na komputerze zainfekowanym FFSearcherem (źródło: SecureWorks.com)
Przestępstwo doskonałe?
Jako aplikacja, ten konkretny trojan charakteryzuje się możliwością pełnej, zdalnej konfiguracji. Od witryn, z których pobierać spreparowane wyniki, po samo źródło konfiguracji. Atakuje zarówno Internet Explorera jak i Firefoksa, będąc jednocześnie absolutnie minimalnym obciążeniem dla systemu operacyjnego. Autorzy nie atakują jedynie Google – analiza kodu trojana ujawniła ich zainteresowanie także siecią Yahoo.
Z punktu widzenia wyszukiwarek będzie nie lada orzechem do zgryzienia, ponieważ nie powoduje żadnych automatycznych zapytań ani kliknięć. Nie zmienia także wyników wyszukiwania. Rola trojana sprowadza się przecież jedynie do zamiany źródła z Google na Google :). Z powodu braku automatycznych requestów nie będą pojawiać się charakterystyczne dla automatów wzorce.
Jedyny sposób identyfikacji, jaki przychodzi mi do głowy na tą chwilę, to identyfikacja poprzez nagły zanik zapytań do oryginalnego Google i lawinowy wzrost użycia jednej bądź kilku spersonalizowanych wyszukiwarek. Niemniej jednak nawet to można rozwiązać: przekierowywać niewielki procent z całości zapytań użytkownika zainfekowanego komputera oraz solidnie przygotować konta-słupy w AdSense.
Kto traci pieniądze i jak dużo
Krótko dla tych, którzy nie wiedzą: system reklamowy Google AdWords pozwala na emisję reklam w trzech obszarach:
- Wyszukiwarka Google
- Sieć wyszukiwania, czyli wyszukiwarki partnerskie, używające silnika Google
- Sieć witryn z treścią (zwana też siecią kontekstową)
Reklamodawcy mają możliwość ustawienia osobnej stawki za kliknięcie dla pierwszych dwóch pozycji i osobnej dla sieci kontekstowej. Reklamy wyświetlane przez Google Custom Search Engine zaliczają się do drugiej grupy. Rozliczane są więc podobnie jak sama wyszukiwarka.
Dotychczas występujące zjawiska click fraud działają na zasadzie automatycznych kliknięć. Sieci botów dokonują sztucznych zapytań i sztucznych kliknięć. W przypadku FFSearchera sprawa ma się inaczej. Trojan tylko podmienia źródło wyników wyszukiwania. Sam proces zadania zapytania i następujące ewentualnie kliknięcia, są wynikiem działania użytkownika.
Jeśli użytkownik zainteresuje się reklamą i zdecyduje się kliknąć – reklamodawca dostaje takiego samego potencjalnego klienta jak gdyby komputer nie był zarażony trojanem. Jedyną poszkodowaną stroną w tym procesie jest samo Google. Bez trojana reklamodawca płaci, z trojanem również. Różnica polega na tym, że w tym drugim przypadku Google musi się dzielić wpływem za klik z autorem (autorami) trojana.
Z tego właśnie powodu wydaje mi się, że wraz z tą „nową technologią” potrzeba jakiegoś nowego terminu na określenie tego procederu. Tak generowane kliknięcia otrzymywane przez reklamodawców AdWords nie są frauderskie. Co więcej, mają taki sam potencjał konwersji jak w przypadku normalnych zapytań.
Autorem fotografii konia trojańskiego jest GoGap.
Bardzo fajny artykuł, faktycznie Google jest w tej sytuacji trochę pod ścianą…
Może w tej metodzie jest też sposób na legalne zarabianie pieniędzy np. przez akcje typu Pajacyk – instalujemy soft który zmienia domyślną wyszukiwarkę na wyszukiwarkę z ID Adsense i każdy klik w reklamę generuje też wpływy do kasy Pajacyka.
@Cezary
Nie sądzę aby tam był potencjał na cokolwiek legalnego. Myślę, że miałbyś diametralnie inny pogląd będąc właścicielem Google ;).
Nawet Seth Godin zebrał po uszach za próbę zachęcania do obdarowywania innych z nie swojej kiesy.
Mysle ze pomineliscie w tych dywagacjach kolejny fragment tortu – jak sprawa bedzie wygladac wtedy gdy trojan zacznie podmieniac odwolania nie do ‘czystego’ Google ale do wiekszych witryn. Zakladam ze srednio inteligentna malpa dokonfiguruje je odpowiednio pod dana witryne. Wtedy bedzie widac ze okradani sa po prostu wydawcy (IMO Google jest ‘wydawca’ wynikow szukania). Ale to nic nowego – AFAIR gator strzelal reklamy na cudzych stronach .
BTW:Trojan, ktory podmieni na witrynach kod banerowy ma podobny potencjal ;)
Uważam, że trojan jest w swojej prostocie i skuteczności bardzo ciekawy.
Niestety nie mam wiem co Krzysztofie miałeś na myśli przy:
Z mojego punktu widzenia reklamodawcy nie są pokrzywdzeni. Jedyną ofiarą jest samo Google, które musi się dzielić zyskiem z .
Kasiu chodzi o scenariusz gdzie podmieniany jest w locie nie czysty Google ale coop’owy ‘czyjs. Wtedy nie traci ani reklamodawca ani Google (i tak mial sie z kims podzielic prowizja), tylko trzecia strona (jakas w miare popularna witryna)…