В Интернете постоянно транслируется больше миллиона рекламных объявлений, несущих в себе вредоносный код или ведущих на сайты с вредоносными программами. Большинство владельцев сайтов-носителей такого рода рекламы даже не подозревают о том, что их ресурс стал прямым распространителем вредоносных программ. В статье рассматривается явление «малвертайзинга», а также результаты исследования компании Solphin о степени распространённости данного явления и связанных с ним угроз.
2. Исследование малвертайзинга
Введение
По результатам исследования, проведенного Магдебургским университетом (Германия) c Августа 2011 по Февраль 2013, Google обрабатывает более, чем 2 миллиарда запросов в день. А при проверке сайтов, которые были выданы как результаты поиска наиболее популярными поисковыми системами (Google, Bing, Яндекс, Yahoo!), было обнаружено более 40 млн. зараженных онлайн-страниц. Многие из них содержали ссылки на загрузку вредоносных программ, перенаправления на фишинговые сайты и.т.п., что подвергало опасности тысячи ежедневно входящих на сайты-носители вредоносной рекламы посетителей. Все перечисленные выше угрозы можно объединить под одним понятием – «малвертайзинг». Что такое малвертайзинг на самом деле и как же с ним бороться?
Само понятие пошло от английского “malicious advertising”. Что переводится как, собственно, «вредоносная реклама». Т.е. по сути, является отличным способом для злоумышленников добраться до большого количества пользователей через владельцев сайтов или крупные рекламные сети, транслирующие онлайн-рекламу. Суть состоит в том, что владелец сайта, сам того не зная, добавляет на свою страницу различные рекламные объявления, некоторые из которых могут вести на сайт с вредоносными программами, фишингом и прочими мошенническими уловками.
Сотни роботов от каждой поисковой системы ежедневно проверяют более 10 000 вебсайтов на наличие различных видов рекламы, которая потенциально ведет к распространению малвертайзинга. Но, так как вредоносный код постоянно меняется , а такая реклама отображается в зависимости от местоположения самого пользователя, то «заметить» малвертайзинг при выдаче результатов обычными средствами безопасности поисковых машин, становится весьма проблематично. Следовательно, данную проблему «обнаружения» малвертайзинга можно смело рассматривать с двух сторон, а именно, непосредственно детект малвертайзинга, а также обеспечение оперативного детектирования. Ниже опишем сами причины детекта для каждой из сторон данной проблемы.
Создатели вредоносных объявлений стараются обходить детект и делать их контекстную рекламу таким образом, чтоб она продержались на сайте-носителе как можно дольше. Часто используются такие методы обхода детекта, которые и являются причинами сложности в обнаружении малвертайзинга:
- Клоакинг – т.е. информация, выдаваемая пользователю и поисковым роботам на одной и той же странице, кардинально различается. Данный метод, по сути, является главной причиной детекта малвертайзинга;
- Гейтинг – прохождение пользователя по большому количеству ссылок за короткое время;
- Социальная инженерия – маскировка вредоносных программ под продукцию популярных произвгодителей, например, с предложением обновить программу.
Именно такие методы значительно усложняют процесс отслеживания вредоносных ссылок. Один день ссылка может вести на «чистый» сайт, а на следующий день – на сайт с вредоносной программой.
Вторая сторона проблемы детекта - это обеспечение оперативного детектирования малвертайзинга. Рассмотрим, какими именно могут быть последствия из-за задержки принятия решения по устранению проблемы,
если нотификация уже состоялась. Если владелец сайта или рекламная сеть, никаким образом вовремя не реагируют на нотификацию поисковых роботов, анти-
малвертайзинговых сервисов о наличие на сайте вредоносного кода (попадание ссылки в черный список) или рекламы на этом ресурсе, то:
- задержка на один день приведет к проседанию трафика и, следовательно, к понижению лояльности пользователей;
- задержка на неделю и месяц соответственно грозит уже всевозможными санкциями от поисковых систем, безвозвратной потерей клиентов, а также потерей времени на возврат из черных списков.
Те, кто дорожит временем, клиентами, посещаемостью своего ресурса, такого никогда не допустят, и будут контролировать безопасность ресурса и рекламный контент на нём.
Для рекламных агентств, работающих в сети, такая реклама тоже не сулит ничего хорошего. Во-первых, агентство зарабатывает негативную репутацию, поскольку его реклама оказалась опасной для пользователей. Во-вторых, рекламные агентства теряют показы и клики, если их домены попадают в черный список. Согласно данным компании OPSWAT антивирусом Norton в США пользуется более 15% пользователей, соответственно на 15% меньше пользователей увидит транслируемую вредоносную рекламу агентства при попадании их домена в «черный список» антивируса Norton. Другие же агентства теряют рекламные площадки, поскольку владелец сайта опасается за репутацию своего ресурса и перестает сотрудничать с рекламными компаниями в дальнейшем.
Исследование малвертайзинга
Осенью 2013 г. компанией Solphin было проведено исследование на наличие малвертайзинг угроз в сети Интернет среди таких известных поисковых систем как Google, Bing и Yahoo!. Суть исследования заключалась в том, чтобы полностью продемонстрировать работу сервиса Solphin и наглядно показать, что малвертайзинг угрозы присутствуют даже в выдаче результатов этими же поисковыми системами, а также сравнить их и выяснить, кто из них лучше всего справляется с этой проблемой.
Деятельность компании Solphin направлена на решение проблем по борьбе с малвертайзингом. Компания Solphin предлагает пользователям собственную разработку – анти-малвертайзинговый сервис Solphin, который предназначен для проверки онлайн-ресурса на предмет малвертайзинга. Преимуществом данного сервиса является большое количество параметров геолокации и постоянно меняющиеся IP-адреса, что помогает обойти клоакинг и другие мошеннические методы. Solphin эмулирует переход по ссылкам на анализируемом ресурсе и проверяет все ссылки на попадания в популярные «черные списки». Сервис может эмулировать переходы по всем ссылкам на ресурсе, а также по заданному шаблону. Кроме этого можно задать геолокацию, с которой будет проходить проверка сайта. В результате сервис определяет интегральный рейтинг безопасности сайта и формирует детальные отчеты по каждой проверке. Пользователю предоставляется возможность получать уведомления на свой электронный адрес с информацией о состоянии веб-сайта и предупреждениями о появлении вредоносных ссылок. Это позволяет оперативно среагировать на угрозу и предпринять нужные меры для ее устранения.
Методика исследования Solphin
В течении месяца, Solphin ежедневно проверял 30 самых популярных запросов Google (Google Trends, на картинке пример ТОПа за 9 января 2014г. по США) по каждой из поисковых систем на наличие малвертайзинга в выдаче результатов этих же систем. Проверка проходила отдельно по трем локациям США, Индии и Британии для каждой поисковой системы. Каждый час проверялось по 300 запросов отдельно по трём поисковым системам и трём странам (в сумме по странам и ПС это 2700 проверок в час). Соответственно общее количество проверок во время теста, которое было сделано за весь месяц составляет 1 944 000 или 648 000 проверок отдельно по странам или отдельно по ПС. Сервис Solphin самостоятельно брал и проверял заданный Google Trends ТОП 30 запросов для каждой из систем отдельно по трём странам, эмулируя переходы по ссылкам на первой странице выданных результатов (первые 10 ссылок) таким образом, если бы это был реальный пользователь, а не робот.
Далее сканировались все страницы, переходы по всем ссылкам и сверял их с базами «черных списков» Google, Yandex, SpamHouse (DBL), а также таких антивирусов как Norton и McAfee на наличие вредоносности для пользователя.
Результаты исследования
Результаты исследования показаны на гистограмме: приведен процент «опасных» сайтов в результатах выдачи каждой ПС с разбитием по локациям. Как видим, наиболее опасными оказались результаты поисковой выдачи в Индии, чего нельзя сказать о результатах в Британии, ну а наименее безопасным поисковым сервисом из всех оказался Bing.
Но проблема малвертайзинга в выдаче результатов поисковыми системами, как ни печально, есть у всех. Поисковые системы Google и Yahoo! уделяют мало времени и сил на борьбу с малвертайзингом в Индии, чего нельзя сказать, о Британии или США глядя на гистограмму. Таким образом, можем наблюдать, что лучше всего справляются с проблемой поисковые системы Google и Yahoo! в США и Британии. А поисковой системе Bing и стране Индии, как говориться «еще работать и работать».
Рисунок 1. Уровень малвертайзинга по поисковым системам и географическому признаку
Проведем анализ и рассчитаем суточное количество людей, на которых атака мошенников проходит успешно. По данным Google Trends среднее количество по ТОП запросам в сутки составляет более 100 тысяч человек. Таким образом, умножим среднесуточное количество на процент детекта опасности (2,23%), всё это также умножим на % вероятности заражения или обмана (приблизительно 10%) и на выходе получаем количество людей, на которых атака была совершена успешно, а именно 223 человек. Из гистограммы видим, что примерно каждый 20-й сайт (5.29% от общего количества найденных сайтов), выданный поисковой системой Bing в
Индии является носителем малвертайзинга. В других регионах ситуация значительно лучше, но в среднем, на каждые 100 выданных поисковиками сайтов 1 или 2 оказываются жертвами мошенников и несут в себе опасность для пользователя.
Список некоторых доменов, попавших в «черный список» во время исследования на момент написания данной статьи, приведем в виде следующей таблицы (и это только по ТОП 30 популярным запросам).
Таблица 1. Список заблокированных доменов
№ |
Домен |
Антивирус |
Название компании |
1 |
images.ctvdigital.com |
Norton |
Bell Media |
2 |
i103.photobucket.com i91.photobucket.com |
Norton |
Photobucket |
3 |
c.wrzuta.pl |
Norton |
Wrzuta |
4 |
ads.clicksor.com |
McAfee |
Clicksor |
5 |
am10.ru c.am10.ru |
McAfee |
Advmaker |
6 |
ads.lzjl.com |
DBL, McAfee |
PayPopUp |
7 |
ads.dotwdg.com |
McAfee |
WDG |
8 |
2912a.v.fwmrm.net |
McAfee |
Freewheel |
9 |
ad.smxchange.com |
McAfee |
Social Media Exchange |
10 |
ad.z5x.net |
McAfee |
DMG – DSNR Media Group |
11 |
blog.i.uol.com.br adrequisitor-af.lp.uol.com.br |
McAfee |
UOL |
12 |
geoiplookup.wikimedia.org |
McAfee |
Wikimedia |
13 |
McAfee |
Pubdirecte |
|
14 |
lc16.prod.livefyre.com |
McAfee |
Livefyre |
15 |
cloud.cashtrafic.info |
McAfee |
AdCash |
16 |
scameo.com |
McAfee |
Scameo |
Из таблицы 1 видим 16 компаний, они же партнёрские программы, рекламные сети, музыкальные и видео порталы, домены которых попали в базы «черных списков» Google, Yandex, Norton, McAfee и SpamHaus (DBL). Это всего лишь небольшая часть доменов, которые попали в черный список после проведения сервисом Solphin исследования на детект малвертайзинг угроз. Список опасных сайтов и доменов намного больше, чем представлен в таблице.
Выводы
Таким образом, наиболее выгодным и необходимым анти-малвертайзинговый сервис будет, для владельцев интернет-магазинов или рекламных-площадок, которые ежедневно посещает множество пользователей и клиентов. Ведь такие сайты, зачастую, имеют большое количество рекламного контента, который сложно отследить самим владельцам этих сайтов или поисковым роботам. А также, будет выгоден и необходим крупным рекламным агентствам, проводящих активную работу через развитые, посещаемые сайты. Соответственно попадание их доменов в «черные списки», грозит им потерей показов.
Безопасность в сети – прежде всего, будьте осторожны!