史上最大型广告欺诈活动Methbot：黑客是如何每天赚到500万美元的

根据国外安全专家的最新报告，有一群黑客正在对美国的知名企业和媒体机构进行广告欺诈活动，而这群黑客每天都可以从中赚取三百万到五百万美金。

是的，你没看错，这绝对是人类历史上最牛X的恶意广告欺诈活动！不过，安全研究人员已经将关于该活动的详细信息提交给了美国联邦调查局，他们的好日子应该要到头了…吧？

发生了什么事？

专注于防御网络欺诈活动的安全公司White Ops发现了这一新型的广告欺诈活动，并将其命名为“Methbot”。因为在这一欺诈活动中，攻击者可以利用某种工具每天自动生成超过三亿个欺诈广告视频。这个网络犯罪组织名为“AFT13”，该组织的黑客开发出了一款名为Methbot的恶意浏览器，这个浏览器可以收集目标用户的各种信息，并依据这些信息来进行有针对性的恶意广告欺诈活动。White Ops最早是从去年9月份开始发现Methbot的活动踪迹，但是在2016年10月份，Methbot的活动范围又进一步扩大了。

虽然没有足够的证据可以证明Methbot是俄罗斯人干的，但是安全研究人员却坚定地相信这群黑客来自于俄罗斯。安全专家表示，虽然Methbot恶意广告欺诈活动的运行总部设在俄罗斯，但是Methbot的服务器（数据中心）却托管在美国德克萨斯和阿姆斯特丹的多个机房内，而这些服务器托管着超过57万个bot，相应掌控57万IP地址，这些地址绝大部分属于美国，造成的欺骗效果就是让广告网络认为大量美国访客查看了这些广告。

黑客还注册了超过6000个不同的域名，并且使用了250267个不同的URL链接来伪装成美国的各大知名企业和热门媒体网站，例如ESPN、Vogue、CBS Sport、Fox News以及Huffington Post等等。

他们是怎么赚钱的？

这些伪造的网站制作完成之后，他们会将网站中的视频广告位进行出售，然后伪造广告视频的观看量——主要就是欺骗广告市场。他们通过这样的方式让广告市场认为这些内容的观看量很高，并通过技术手段让这些观看IP像是网站正常访问者的。

不仅如此，他们还使用了IP代理来使这些IP地址看上去更加真实，而且还可以掩盖其数据中心的位置。这样一来，他们就可以高价出售这些虚假广告位，并以此赚取非法受益。实际上，运筹57万IP地址，还达到欺骗的效果，还是需要不少技巧的——而且57万是个什么样的概念，Facebook也不过用了这数目的一半。

但实际上，这些视频广告全是由Methbot“机器人”观看的。攻击者使用了一款自动化软件来模拟用户观看广告的行为。为了让这些“机器人”看起来更真实一点，他们还使用了类似社交媒体登录、自动点击和鼠标移动等模拟方法。

一般会上网看视频的人都知道，点击视频，播放之前都会有段短广告。White Ops在报告中说，这个前置接口是实时自动交易结算的。请求视频的一次点击会进行广告交易的初始化，随后浏览器再从广告商处获取前置式广告。

这个过程中，浏览器会确认用户浏览的是什么网站，以及实际获取到的前置式广告。“浏览器确认用户浏览的网站，而广告生态则会信任浏览器提供的信息。”

而AFT13黑客组织打造了所谓的Methbot机器人浏览器（robo-browser）。以上所有初始化、执行和完成广告交易的过程都能在这个浏览器中欺骗性地完成。所以过程是这样的：比如Methbot联系广告交易平台，然后说需要某网站视频的一个前置式广告。系统执行即时交易，选择广告然后发往Methbot——整个过程可参见完整报告。

AFK13在攻击中使用的工具大致如下：

1.    用于管理Methbot浏览器活动的服务器；

2.    超过57万个IPv4地址（市场价值约为400万美金）；

3.    对IP地址进行自动化注册的工具（注册之后，美国的ISP才可以为这些IP地址和域名提供服务）；

4.    Methbot软件；

自从White Ops发现了这个恶意广告欺诈活动以来，Methbot软件就一直在不断地更新。比如说，当White Ops首次发现Methbot时，在该组织所使用的HTTP header中存在一个小错误，即Cache-Control的值中含有一个冒号，而这明显不符合规范。但是这个问题在之后却得到了解决。

收益高得简直不敢想象

安全研究人员发现，Methbot所生成的这些“机器人”每天可以观看超过三百万个广告视频。对于单个视频，每1000次访问平均可以获益13.04美元。根据WhiteOps的研究表明，其数据中心中大约有800至1000个网络节点，整个系统可以24小时不停地运作。因此，这群黑客每天都可以获益三百万至五百万美金。如果你手上有超过57万个不同的IP地址，有此收益也不足为奇。