Inicio / Blog / Click Fraud - Un negocio muy lucrativo

Click Fraud - Un negocio muy lucrativo

Publicado el 28/07/2015, por INCIBE
Acompanamiento

Diferentes estudios indican que los bots suponen en la actualidad más de la mitad de todo el tráfico generado en Internet a nivel mundial. Algunos informes como «The 2015 Bad Bot Landscape Report» de Distil Networks, Inc. incluso diferencian el tráfico entre aquellos que son legítimos y aquellos que son maliciosos, dando como resultado que estos últimos están creciendo a un ritmo alarmante:

Gráfico

El auge que ha sufrido el Cloud Computing en los últimos tiempos ha sido uno de los factores más determinantes en este aspecto, provocando un aumento considerable en la utilización de bots maliciosos ya que por un coste muy reducido cualquier usuario puede tener acceso a un sistema de estas características. Al hilo de esto, uno de los proveedores de servicios de estas características que mayor tráfico de red de bots maliciosos ha generado es Amazon.

Pero, ¿cuál es el motivo principal por el que se utilizan estos bots maliciosos? La respuesta es clara, se trata de una motivación primordialmente económica y tiene una relación directa con la publicidad.

Para hacerse una idea de la cantidad de dinero que se mueve a nivel mundial por inversión en publicidad podemos fijarnos en los datos referentes a Estados Unidos, donde se calcula que en 2014 se invirtieron más de 180 mil millones de dólares, siendo una parte importante la destinada a la difusión a través de Internet. Es por ello que existen multitud de bots diseñados expresamente para simular el tráfico humano y así obtener beneficio económico, lo que se conoce como «click fraud», estimando algunos informes en 6.300 millones de dólares anuales el beneficio reportado por estas prácticas fraudulentas. Una parte importante de este tráfico se genera a partir de bots instalados en sistemas comprometidos previamente o bien por ataques de fuerza bruta, por la explotación de vulnerabilidades en los mismos, por ataques de ingeniería social, etc. El esquema es el siguiente:

Diagrama

  • En primer lugar, los cibercriminales utilizan diferentes métodos como watering hole attacks, spear phishing, brute force attacks, etc. para comprometer los dispositivos de los usuarios.
  • Una vez que tienen acceso a los dispositivos establecen multitud de conexiones periódicas con servicios de publicidad que ofrecen métodos de compensación como «Pay-Per-Click» o Pago por clic (PPC), «Pay-Per-Action» o Pago por acción (PPA) o «Pay-per-impression» o Pago por impresión (PPI).
  • Todo este tráfico generado deriva en cuantiosos beneficios económicos para diferentes agentes como empresas especializadas en llevar tráfico a diversos sitios web, empresas que alojan publicidad en sus páginas web, etc.

La mayoría de botnets incluyen este tipo de funcionalidades, siendo algunas de las más conocidas: Zeus, ZeroAccess, Chameleon, etc.

En INCIBE nos tomamos muy en serio la lucha contra las botnets y los problemas derivados de las mismas por lo que destinamos una parte importante de nuestros recursos a combatirlas, mitigar sus efectos, etc. Una muestra de ello es el Servicio AntiBotnet, el cual pone a disposición de los usuarios mecanismos para poder identificar si desde su conexión a Internet se ha detectado algún incidente de seguridad relacionado con botnets, ofreciéndole información y enlaces a herramientas que le pueden ayudar en la desinfección de sus dispositivos.

Así mismo, tenemos desplegados una serie de sistemas de prevención e identificación de amenazas por lo que diariamente detectamos con nuestros sensores múltiples ataques que nos permiten descubrir, entre otros, fraudes referentes a «click fraud».

Recientemente hemos detectado un ataque de este tipo que afecta a 6 proveedores distintos como son Amazon, Google, Microsoft, Softlayer, VolumeDrive y Pakistan Telecom Company Limited

Diagrama ciberamenazas

Diagrama ciberamenazas

En este caso, la página de destino está ubicada en un servidor de Estados Unidos y presenta únicamente un banner en el centro de la misma. El ataque consiste en acceder mediante fuerza bruta a equipos con credenciales débiles y utilizarlos como intermediario para acceder periódicamente al banner. De este modo, es posible eludir algunas de las protecciones que se implementan para prevenir este tipo de estafas y que se comentarán más adelante.

En el último mes hemos identificado con nuestros sistemas 352 ataques relacionados con esta práctica desde 209 IPs distintas, pertenecientes a los 6 proveedores indicados anteriormente y a los cuales les hemos notificado la información para que tomen las medidas que estimen oportunas.

Gráfico

En general, estos bots poseen un alto grado de sofisticación y se comportan de forma similar a como lo hace un usuario real incluyendo, entre otras, diferentes capacidades como la de resolver captchas, crear perfiles y publicar contenidos en redes sociales, evitar controles de seguridad, etc. lo que provoca que cada vez sea más complicado identificarlos y bloquearlos.

Lejos de estancarse, esta práctica está en constante evolución y también ha llegado a los dispositivos móviles; de modo que cada vez aparecen en los markets más aplicaciones maliciosas desarrolladas expresamente con este objetivo. Un ejemplo de ello es el siguiente código, parte de un malware catalogado por BitDefender como Android.Trojan.Clicker.H:

Código

Respecto a las estimaciones mundiales, uno de los últimos gráficos lo elaboró la empresa Acquisio referente a datos del 2013, y en él se puede visualizar el porcentaje de tráfico fraudulento por cada país, siendo el de España un 4%.

Mapa mundi

Con el paso de los años el problema ha alcanzado tal magnitud que gigantes de Internet como Google han tenido que tomar medidas al respecto. Por ejemplo, Google Analytics estableció filtros para poder excluir de sus estadísticas el tráfico generado por bots o spiders.

Así mismo, existen una serie de medidas adicionales que pueden servir para hacer frente a los ataques de «click fraud».

  • Límite de clicks por IP, establecer un número máximo de clicks en un período de tiempo concreto, establecer un tiempo mínimo de visita de una web para que sea válida la conexión, etc.
  • Bloquear el tráfico originado en países que no sean público objetivo de nuestra campaña de publicidad.
  • Utilizar listas de reputación que identifiquen IPs envueltas en este tipo de prácticas maliciosas y bloquearlas.
  • Monitorizar la campaña de publicidad.
  • Establecer mecanismos de alerta en el caso de una campaña supere cierto umbral por ejemplo del número de clics que recibe su anuncio dividido entre la cantidad de veces que se muestra (CTR).
  • Utilizar herramientas específicas para la identificación de este tipo de ataques.