Plus tôt cette année, le «roi de la fraude» autoproclamé a été jugé devant un tribunal fédéral de Brooklyn, New York. Aleksandr Zhukov aurait fraudé l’industrie de la publicité de plus de 7 millions de dollars, dans ce qui a été décrit comme l’une des campagnes de fraude publicitaire les plus sophistiquées à ce jour.
Bien qu’il ait plaidé non coupable, contrairement à ses co-conspirateurs, Joukov a finalement été reconnu coupable de quatre chefs d’accusation liés à la fraude électronique et au blanchiment d’argent, et attend maintenant sa condamnation.
Selon la société de sécurité Human, qui a joué un rôle central dans la traduction de Joukov en justice, le verdict établit un précédent important qui changera l’économie de la fraude et découragera dans une certaine mesure les futures campagnes.
Plus intéressantes que le verdict, cependant, sont les techniques dont Zhukov et son équipe ont abusé pour jouer avec le système de publicité numérique. En bref, il a réquisitionné l’infrastructure du centre de données et infecté les appareils grand public pour créer des armées de robots capables de générer des milliards de fausses vues d’annonces par jour.
« Cet Internet que nous aimons est alimenté par des tranches d’attention humaine », a déclaré Tamer Hassan, PDG de Human. TechRadar Pro. « Ce qui est fou, c’est que le marché est inondé de fausses attentions humaines et cela a changé l’économie du Web. »
« Nous voyons des botnets conçus pour interagir avec des publicités, écouter de la musique, regarder la télévision et manipuler l’opinion publique. Tout se résume à une seule question : si vous pouvez ressembler à un million d’humains, que pouvez-vous faire ? »
Sommaire
Une armée de millions
Les botnets sont de toutes formes et tailles et peuvent être utilisés pour divers types de cybercriminalité, de DDoS attaques, spam et vol de données au sniping stock limité sur commerce électronique sites Internet.
Depuis 2016, Zhukov a assemblé deux botnets différents, principalement dans le but d’escroquer les membres de l’écosystème de la publicité en ligne : Methbot et 3ve (prononcé « Ève »).
Pour construire le premier, son groupe a établi plus de 250 000 URL sous environ 6 000 domaines falsifiés, imitant les sites Web des principaux éditeurs pour tromper les algorithmes qui déterminent quelles annonces sont les mieux placées où.
À l’aide de l’infrastructure du centre de données et des adresses IP acquises avec des données d’enregistrement falsifiées, les cybercriminels ont ensuite lancé d’énormes volumes de faux trafic sur les publicités, générant des revenus de paiement par clic. À son apogée, Methbot était capable de simuler 300 millions de vues d’annonces vidéo par jour.
3ve était encore plus tentaculaire et complexe, alimenté à la fois par l’infrastructure du centre de données et par 1,7 million d’appareils Windows infectés par la publicité malveillante. Ce deuxième botnet était capable de générer 12 milliards de fausses demandes d’annonces par jour sur 10 000 domaines falsifiés et échappait à la détection en imitant les comportements humains tels que les mouvements de souris et les clics.
Selon Hassan, ces opérations ont toutes deux été menées de manière très professionnelle, à la manière d’une startup de la Silicon Valley.
« Nous ne parlons pas ici d’enfants qui essaient de gagner un peu d’argent supplémentaire pour la bière », a-t-il déclaré. « Ils publiaient du code toutes les deux semaines un mercredi, ils exécutaient des pratiques de développement de logiciels agiles en utilisant Jira et autres modernes systèmes de billetterie. «
«Comme une entreprise de logiciels entièrement professionnelle, les opérateurs avaient la possibilité de tester différentes approches A/B, ainsi que différentes parties du fonctionnement du bot, afin de s’isoler des retombées si une partie était en quelque sorte coupée ou arrêtée. «
L’une des raisons pour lesquelles Joukov et d’autres comme lui se sentent enhardis à étendre les opérations de fraude à ces sommets, a expliqué Hassan, est que le potentiel de profit est élevé et le risque relativement faible. Jusqu’à récemment, le pire des scénarios pour les cybercriminels était que leur opération soit découverte et fermée, mais l’extradition et les poursuites n’ont probablement jamais traversé leur esprit.
A qui revient la responsabilité ?
La chaîne d’approvisionnement de la publicité numérique est extrêmement complexe, rivalisant avec la complexité du commerce financier. Entre l’entreprise qui souhaite promouvoir son produit et l’internaute qui reçoit l’annonce, il y a des dizaines d’entreprises technologiques différentes qui fournissent les « canalisations » qui permettent au système de fonctionner.
« La publicité numérique est principalement achetée et vendue via des plateformes « programmatiques ». Les éditeurs acceptent de présenter des publicités à côté de leur contenu et d’utiliser des plates-formes côté offre (SSP) pour mettre aux enchères leur espace publicitaire disponible aux annonceurs. Les annonceurs utilisent des plates-formes côté demande (DSP) pour enchérir sur cet espace publicitaire disponible en fonction de leur capacité à susciter l’intérêt des visiteurs », explique un papier blanc co-écrit par Human et Google.
« Ces enchères ont lieu des milliards de fois par jour, quelques millisecondes avant qu’une page ne se charge sur votre le navigateur, et l’inventaire peut être transmis entre de nombreuses enchères avant d’être mis en correspondance avec un annonceur qui souhaite placer son annonce sur votre écran. »
Zhukov et son équipe se sont insérés aux deux extrémités de cet entonnoir, imitant les éditeurs premium pour tromper les annonceurs et créant un faux trafic pour générer des revenus au paiement par clic à partir des domaines usurpés.
À la suite d’opérations telles que 3ve et Methbot, le coût par conversion explose pour les annonceurs, car le nombre de vrais humains qui visionnent leurs annonces est bien inférieur à ce qu’il devrait être. Ces entreprises finissent également par financer par inadvertance d’autres activités illégales, telles que malware développement et ransomware opérations.
À l’autre extrémité du spectre, les consommateurs sont également victimes, leurs appareils étant utilisés comme soldats dans l’armée des botnets. Au-delà du fait que ces appareils sont utilisés de manière abusive pour exécuter des opérations criminelles, l’infection expose également les propriétaires à un risque de vol de données et d’attaques secondaires.
Avec autant de parties prenantes dans l’écosystème de la publicité numérique, il peut être difficile de déterminer qui devrait être responsable de l’arrêt des campagnes de fraude. Lorsqu’on lui a demandé où devrait se situer la responsabilité, Hassan a déclaré que la prévention et l’atténuation nécessitent une approche collaborative.
« À certains égards, l’annonceur est responsable de s’assurer que son argent ne va pas vers des organisations néfastes. Ensuite, il y a tout un côté vendeur de l’écosystème; les créateurs de contenu et les plateformes qui les représentent doivent s’assurer qu’ils ne s’ouvrent également qu’au trafic humain. Les responsabilités sont différentes pour chaque acteur de l’écosystème, elles sont partagées.
Jouer en attaque, pas en défense
Malgré la sophistication de la configuration de Joukov, ses campagnes de fraude publicitaire ont finalement été découvertes grâce à une collaboration entre un éventail d’entreprises technologiques et d’agences de renseignement.
Les premiers signes avant-coureurs ont été identifiés par des chercheurs humains, qui ont ensuite transmis leurs découvertes à des partenaires des secteurs de la sécurité et de la publicité, ainsi qu’aux forces de l’ordre.
Le résultat final a été une collaboration de deux ans entre plus de 30 entreprises privées et six agences internationales, menant finalement à la saisie de l’infrastructure du botnet et à l’extradition de quatre des huit cybercriminels russes nommés dans l’acte d’accusation.
L’objectif ultime est de faire basculer l’économie de la cybercriminalité, la rendant à la fois plus difficile à exécuter d’un point de vue technique et moins rentable en cas de succès. Hassan pense qu’une collaboration étendue, ou « perturbation collective », est la seule voie pour atteindre cet objectif.
« Une partie de notre thèse est qu’il ne s’agit pas seulement de jouer en défense ; nous devons jouer offensif et nous devons le faire collectivement. C’est ainsi que la sécurité doit évoluer », nous a-t-il déclaré.
« Toute entreprise essayant de démêler un botnet à elle seule aura du mal à avoir une vue d’ensemble. Mais si les organisations travaillent ensemble, vous commencez à brosser le tableau d’une manière qui rend la tâche très difficile ou coûteuse pour l’autre partie. Tout le reste ne fait que jouer au chat et à la souris.
L’importance de la condamnation de Joukov, dit Hassan, est que le coût de la fraude a changé à jamais. Avec une peine de prison potentielle dans l’image, le calcul pour le prochain fraudeur semble radicalement différent.
- Consultez notre liste des meilleurs services VPN
