大规模的广告欺诈方案依赖于BGP的劫持

这是一个很有趣的故事一宗以劫持边境网关协议为手段的广告欺诈计划:

3ve(发音为“eve”)的成员利用他们的大量可信IP地址来掩盖一个骗局,否则广告商很容易发现这个骗局。该方案使用了1000台驻留在数据中心的服务器来模拟真人,这些真人据称“观看”了由骗子自己运行的虚假页面上的广告,然后骗子收到广告网络的支票,检查这些数十亿次的虚假广告印象。通常情况下,如此规模的骗局来自如此小的服务器托管的机器人池,将会被用来欺骗广告商。为了掩饰这些骗局,3ve运营商通过数百万个受损IP地址收集服务器的欺诈页面请求。

其中大约100万个IP地址属于计算机,主要以美国和英国为基地,攻击者感染了博阿克斯和科夫特两种僵尸网络软件。但是以3ve的规模,甚至IP地址的数量都不够。这就是BGP劫机事件的来龙去脉。劫机事件使3ve无限的提供高值IP地址。结合僵尸网络,这一诡计让世界上一些最富裕地区的数百万真人都在看广告。

文章中有很多细节。

我在演讲中经常用到的一句格言是:“专业知识的流向是下坡路:今天的绝密的国家安全局项目将成为明天的博士论文和第二天的黑客工具。”这就是一个例子。BGP黑客——被称为“交通影响“在国安局内部——有。一直是一种工具国家情报机构。现在它正被网络罪犯使用。

编辑添加(1/2):分类NSA演示文稿网络整形“我不知道这两个任期在美国国家安全局内部是否存在差异。”

12月28日发布,2018年6点43分•19日评188滚球网站论

188滚球网站评论

悍马12月28日,2018年帕克

@Peter写道,“这是间谍活动民主化的又一个例子,他是斯诺登和阿桑奇的先驱。

与谷歌开创的间谍公司化相反,思科,美国电话电报公司、和英特尔。

不可思议的愚蠢12月28日,2018上午10时28分

虽然网络广告策略让他们很难在这样的骗局中为他们哭泣,它强调的一般安全问题相当严重。最让我恼火的是,有些人很早就收到虐待报告,但确实收到了没有什么纠正他们的程序。不仅失业,在这一点上,似乎整个组织都应该被解散,取而代之的是那些对正确的做法大加指责的组织。

克莱夫·罗宾逊12月28日,2018年因为点

也许应该提到,

    商人和小偷之间没有荣誉可言。

出于本能,我们中的许多人认为网络营销者等同于小偷,甚至比小偷更糟糕。但这个故事的一部分用粗体字证实了这一点。

从已经说过的事实,这些广告是被诈骗的人都知道,从小偷自己,包括代理机构从放置广告的公司的钱。

没有任何动机——事实上是相反的——让那些沿着链条的人报告他们只知道的事情,那是个骗局。

所以当这个故事中的官方罪犯带走了数百万,我们或许应该问问,还有多少人被营销链上那些几乎肯定知道有骗局正在发生,但却什么也没做的人拿走了数百万美元,因此利润不断地走进他们的家门……

瑞秋厄尔12月28日,2018下午3点46分

3 ve(发音“夏娃”)


不。这是明显的“three-ve”。除非你是硅谷初创企业的营销官或首席执行官。因此,在给某物命名时,允许青少年随意使用英语发音和拼写


瑞秋厄尔12月28日,2018年比赛点

尽管如此,向后3变为E。有点像芝麻街。这就是阅读障碍。这不能对某人不利。先通过拼写检查

克莱夫·罗宾逊12月28日,2018年下午4:05

@ El,瑞秋

尽管如此,A 3 B变为[N]E

这是L33t (Leet)语言的一部分,显然,非常小的人认为大的人不会理解它。现在,大约十年后,这些非常小的人现在是大的人,他们明白为什么别人“鄙视”他们,当他们是L33t…

MrC12月29日,2018年4:54我

由于不熟悉手头的题目,我有一个问题。bgp劫持是如何掩盖点击欺诈的?文章明确指出,这两项活动都涉及不法分子,但他们之间的联系是透明的。

不可思议的愚蠢12月29日,2018年11:51我

@MrC

它之所以有效,是因为路由发生在比ad网络(或大多数审计)监控器更低的级别。也许你可以把它想象成有人入侵了GPS,这样它就会错误地报告你的位置。你的天气应用程序(或自动驾驶汽车或其他东西)还不够复杂,无法判断什么地方出了问题,所以它会像往常一样“工作”,但是结果将从混乱到致命。对于广告网络,就像克莱夫说的,对正在“外部”发生的欺诈行为故意视而不见,可以赚大钱。当你能指出其他混淆因素时,你会发现有很多看似合理的否认。

汤姆斯。12月29日,2018年3:49点

@MrC:

谷歌/ White Ops文件用相当容易理解的术语描述了这一点。这篇论文似乎没有针对技术受众或其他研究人员。我发现它在形容词上很长,在网络层面的细节上很短。的农业研究所文章和链接提供了更多的信息。

集团欺骗性地使用了三种IP资源,自治系统编号(ASNs),IP地址范围,和Internet路由注册表项(IRR)。这构成了在三个次级运动之一中使用的BGP组成部分。攻击者还破坏了最终用户系统和数据中心服务器。

广告网络特征的来源点击欺诈检测。考虑一个攻击者在云或主机提供商处破坏了服务器。大量来自数据中心地址范围的广告点击被广告网络标记为欺诈,袭击者得不到报酬。

现在,设置一些欺骗性的IP基础设施。使数据中心的流量通过该欺诈基础设施进行代理(中继)。你得到数据中心的处理能力和带宽,但是网络的外观是人而不是服务器。

再详细一点:
该集团至少拥有两个合法的ASN。他们窃取了ASN的& IP范围,这些范围要么被当前的所有者忽视,要么已经破产。他们把偷来的ASN和偷来的IP范围联系在一起。他们欺骗性地制作IRR条目,使盗窃行为更加有效。他们购买互联网接入,并通过他们拥有的合法资源将欺诈信息传播到全球BGP路由表中。

至少有两个人发现了诈骗犯的盗窃行为,并在一年或几年前发出警报。

总的来说,BGP劫持事件只是3ve保护伞下三次行动中规模较小的一次。

我认为欺诈者努力寻找和利用漏洞:无人看管的资产,IP资源所有者缺乏安全性,陈旧的数据库,区域互联网注册中心之间缺乏协调。

如果我们不愿意比坏人更努力地工作来保存我们的东西,我们失去了。

MrC12月29日,下午2018点22分22分

谢谢你汤姆斯。这就把问题完全弄清楚了。

我还有两个问题:

1。看起来,这些不法分子实际上是建立了一个虚假的ISP,通过它来发送他们的点击。如果他们是真正的ISP呢?如果,例如,康卡斯特将在其合法客户流量的基础上再增加5%的点击欺诈,能检测到吗?

2.我为什么要在乎?我不喜欢广告网络,而且,由于广告拦截浏览器扩展,我看得很清楚,广告很少。所以,在我看来,这个故事就像是别人的淋病病毒落入了圈套。除了广告商和谷歌的股东之外,点击欺诈是否在某种程度上给其他人带来了回报?这种回报一开始并不明显。

汤姆斯。12月30日2018年凌晨12:22

@MrC
我认为你最后一个问题比第一个问题更重要,所以我冒昧地乱答了。

除了广告商和谷歌的股东之外,点击欺诈是否在某种程度上给其他人带来了回报?这种回报一开始并不明显。
我相信答案是肯定的。首先警告一下。除了用一些关键词和价格帮助当地的一些小公司,我对在线广告市场知之甚少。
  1. 欺诈增加了诚实的广告客户为了让他们的信息出现而必须支付的价格。值得注意的是,3ve的部分欺诈行为是虚假网络服务器创建虚假空间来显示广告,这些广告被卖给真正的买家,而这些买家的广告被虚假浏览器点击。这意味着你的广告预算被机器人吃掉了,从未向真正的潜在客户展示过。
  2. 欺诈激励广告提供商采用更具侵入性的浏览器指纹和用户跟踪技术。我并不认为缺乏欺诈会减少这些活动。欺诈行为的减少将消除网络使用的正当性,让打击其他动机变得更容易。
  3. 越来越多的努力与入侵作斗争,并保持一定程度的隐私。肯定的是,你能做到的。你帮助的家人怎么样?青年,你关心的长者?
如果康卡斯特在其合法客户流量的基础上再增加5%的点击欺诈,能检测到吗?
假设康卡斯特和其他“眼球”网络之间的客户分布大致相等,那些带人的,那我想这是可能的。我不知道欺诈检测算法有多敏感。纯粹的猜测。假设一个广告网络在所有印象中看到x%的点击率。通过数据分析,他们可以按收入水平查看,地理,性别,等。现在介绍基于ISP Y的欺诈。如果ISP Y开始显示出x+5%的响应在所有广告印象相对于其他眼球网络,这可能会继续下去。我们能否让它的比例小到足以隐藏在噪音中,但仍能保持盈利?我不会做那个实验。


有一种说法,“猪被宰了,喂猪。”这是一个例子。在网上扑克的辉煌岁月里,有些公司的总部设在中美洲。一个黑客组织入侵了一家大型网站的路由器。他们在短时间内切断了访问,并要求数百万美元。他们拿到钱了。经过一段时间,许多人死亡。之后,另一组攻击了同一路由器。他们要求,收到了,价值较低的定期付款。他们活着,故事是这样的。

瑞秋厄尔12月31日2018上午12:00

汤姆斯

这是一个例子。在网上扑克的辉煌岁月里,有些公司的总部设在中美洲。一个黑客组织入侵了一家大型网站的路由器。T


你有这个故事的链接吗?

汤姆斯。12月31日下午2018点15分

在发布之前,我查了一下档案,找不到链接。多次网络搜索也失败了。也没有“snopes”。我联系了一个朋友,但有一段时间没有回音。

我无法独立证实此事。

吉米1月1日2019点6:07

@MrC,

真正的欺诈是在我们所有人身上……把这一切都看作是一种向目标接受者输送资金的方式。那些不打算接收的人都是骗子。

这就把“责任”从系统设计者身上转移到系统的用户身上,通过对“预期用途”的不确定性解释。

留下你的评论188滚球网站

允许HTML:

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是……的意见IBM有弹性