• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Botnets como herramientas de fraude en sistemas de pago por click

Botnets como herramientas de fraude en sistemas de pago por click

16 mayo, 2006 Por Hispasec Deja un comentario

Las redes de fraude y crimen organizado tienen un nuevo juguete.
En realidad, más que una novedad, es la última manifestación de
un fenómeno que lleva dándose bastante tiempo, si bien, como era
de esperar, estamos ante nuevas variantes mucho más profesionales,
y con los subsecuentes efectos devastadores sobre las víctimas.

En este caso, las víctima es Google Inc, el gigante de Mountain
View. Este complejo sistema de fraude, sobre el que ya se están
tratando de tomar todas las medidas de contención por parte de
la empresa californiana, se basa en la generación de un sistema
de clicks, que permite a los atacantes maximizar los ingresos que
obtienen a través de sus programas AdSense empleando para ello
clicks fraudulentos, que no emanan del tráfico humano entrante
a la página, sino de botnets controlados a tal efecto.

Es vox populi es que los sistemas de Google son muy efectivos en
la prevención contra el fraude, específicamente el fraude que
millones de usuarios tratan de explotar a diario con el programa
AdSense, consistente en el cobro por clicks recibidos en los
distintos formatos de anuncio que la empresa ofrece. Estos pagos
corren a cuenta de los anunciantes, que establecen cantidades a
pagar por cada click que conduzca a la página escogida a tal efecto,
lo que se conoce en el argot como «landing page» o página de
aterrizaje. Una vez se verifica que el click es legítimo, es decir,
en sintonía con las políticas de los programas legales afectados,
la cuenta del anunciante decrece la cantidad monetaria estipulada,
incrementándose la cuenta del usuario AdSense en una cantidad
inferior, ya que como es obvio, Google retiene para sí un margen
por la prestación del servicio.

Lo último en intentos de aprovechar maliciosamente el programa AdSense
de Google es emplear botnets, redes grandes de ordenadores gobernados
por una unidad central que dictamina las órdenes que deben seguir el
resto de las máquinas. Y es que claro, ¿cómo distingue Google un click
procedente de un usuario de botnet infectado de un click legítimo que
pueda hacer usted mismo en su ordenador? La respuesta es que no hay
una manera garantista al 100%, salvo que el abuso haga saltar las
alarmas en los mecanismos antifraude.

Estos mecanismos antifraude, pese a ser prácticamente desconocidos,
deberían basarse en el comportamiento de un usuario. Descartando los
clicks que emanen de proxies abiertos, los cuales son fácilmente
reconocibles, el reto se centra en generar un sistema de detección
que sea capaz de distinguir, tal y como hemos dicho, un click legítimo
hecho por un usuario interesado y cautivado por un anuncio de un click
ilegítimo provocado intencionalmente por un botnet. Así pues, parece
que las únicas maneras de cazar a estos usuarios maliciosos es
efectuar seguimientos a las cuentas sospechosas y verificar que
las IPs de origen mantengan un comportamiento normal.

Hay algunos parámetros que pueden provocar que una cuenta tenga un
funcionamiento sospechoso. Así pues, una cuenta AdSense que lleve
poco tiempo abierta, en circunstancias normales, debería tener
incrementos de ingresos secuenciales y escalonados, y no abruptos.
Otra manera de detectar actividad sospechosa en IPs no pertenecientes
a proxies y conexiones anónimas es verificar el número de clicks
efectuados desde una IP. Así pues, una IP que realiza muchos clicks,
o bien los realiza en cortos espacios de tiempo o en distintos
segmentos poco relacionados de anunciantes, puede hacer que esa
actividad sea considerada como sospechosa, y por tanto, marcada
como en seguimiento.

El problema de los botnets es que las IPs que provocan los clicks
son IPs reales, como la suya o la mía, que sin que nos demos cuenta,
están haciendo clicks y engrosando la cuenta de resultados de los
atacantes. Si un botnet de 10.000 máquinas distintas, con 10.000 IPs
distintas, realiza en 1 día 10.000 clicks, suponiendo un pago por
click muy bajo, de 3 céntimos de dólar americano, estaríamos hablando
de un ingreso diario de 300 dólares, lo que implica, haciendo una
simple proyección a 30 días, un interesante sobresueldo de 9.000
dólares americanos mensuales, lo que viene a suponer del orden de
7.000 euros. Y no hablamos de un tamaño desproporcionado, el tamaño
estándar de un botnet puede ser cuantificado en 20.000 máquinas, si
bien hay botnets mucho más grandes, con más de 100.000 máquinas al
servicio del usuario malicioso.

El problema de estos fraudes es, como no podía ser de otro modo, la
especialización. Imaginen que el «botnet master» conoce el programa
de AdSense, y mediante el sandbox de keywords, una herramienta de
Google para obtener los precios aproximados por los que pujan los
anunciantes, dirige los ataques a segmentos con alta rentabilidad,
donde pasamos a cantidades mayores. Así pues, a título estrictamente
orientativo, ya que el sandbox indica costes aproximados para los
anunciantes y no ingresos estimados para los usuarios de AdSense,
en el momento de escribir este boletín, palabras clave como «stock
images» se cotizan a 5,18 euros por click. Hay ejemplos más drásticos,
así pues, las combinaciones con la palabra «mesothelioma» pueden
suponer costes del orden de 43 euros por click (combinación
«mesothelioma law firms»). Estas cifras disparatadas corresponden
principalmente a anunciantes que representan servicios de abogacía
para pacientes de mesotelioma, un cáncer asociado a los asbestos y
que por tanto, suele ser empleado para reclamar indemnizaciones
millonarias, y que por tanto, están en continua pugna por lograr
posiciones ventajosas en los anuncios patrocinados. Mezclar la
técnica con la especialización puede hacer que este tipo de fraude
se extienda, no sólo a Google AdSense, sino a otros servicios
publicitarios similares y de uso masivo, como los que dispensa por
ejemplo Yahoo!.

Estos botnets pueden ser utilizados con fines de competencia desleal,
mediante la denegación intencionada, entendiendo la denegación como
provocación de una gran cantidad de clicks fraudulentos contra una
cuenta AdSense determinada, con el fin de que el usuario de dicha
cuenta reciba amonestación por parte del proveedor, amonestación que
podría en el peor de los casos suponer la cancelación de la cuenta.
Este factor hace que, en casos de competencia, que es muy fuerte en
la gran mayoría de los segmentos que optan por los programas de
enlaces patrocinados, empresas rivales puedan usar este tipo de
artimañas sucias para perjudicar las cuentas de sus competidores,
incurriendo en una clara competencia desleal. Nada es descartable.

En lo estrictamente relativo a CLICKBot, el ejemplar de malware
destinado a integrar máquinas en el botnet que ha inspirado este
artículo, comentar que, afortunadamente, su impacto está siendo
testimonial. La localización del espécimen y la rápida inclusión
del patrón en los diversos antivirus, permite que desde la parte
del usuario el impacto se reduzca. En lo referente a Google,
conocen el ejemplar y por tanto, las acciones irán encaminadas a
cancelar las cuentas fraudulentas y reintegrar los importes a los
anunciantes. Este espécimen era reconocido el día 14 de mayo, a las
11 horas UTC, por 7 motores de los 25 que operamos en VirusTotal.com,
cada uno a su manera, heurísticas en algunos casos, firmas en otro,
con previsión de reconocimiento total por todos los motores en breve
espacio de tiempo.

AntiVir 6.34.1.27/20060514 detecta [TR/Drop.Small.ann.1]
CAT-QuickHeal 8.00/20060512 detecta [(Suspicious) – DNAScan]
DrWeb 4.33/20060514 detecta [Adware.IEHelper]
Ewido 3.5/20060513 detecta [Hijacker.BHO.d]
Fortinet 2.76.0.0/20060514 detecta [suspicious]
Kaspersky 4.0.2.24/20060514 detecta [Trojan-Dropper.Win32.Small.ann]
Panda 9.0.0.4/20060513 detecta [Suspicious file]

El único factor mitigante de este tipo de fraudes es que la
participación en programas AdSense requiere que nos identifiquemos a
efectos fiscales con la compañía. Además, los cobros se suelen hacer
principalmente por cheque, de modo que para los atacantes existe una
dificultad, y es la trazabilidad bancaria que deriva de la percepción
de los cobros ya sea vía cheque o transferencia. Además estos cobros
se hacen en períodos mensuales, con lo que los servicios de detección
disponen de al menos de una ventana de 30 días para cazar a los
usuarios fraudulentos.

Sobre la ventana temporal, poco o nada pueden hacer los autores del
fraude, la tendencia natural será siempre el máximo sigilo y procurar
no levantar sospechas durante 30 días. Pero en lo relativo a la
trazabilidad, pensemos en las mulas de phishing, ¿quién dijo que
el atacante es el que deba personarse en ventanilla para cobrar?

Sergio Hernando
shernando@hispasec.com

Más información:

Sans Internet Storm Center. CLICKBot
http://isc.sans.org/diary.php?storyid=1334

Programa Google AdSense
https://www.google.com/adsense/?hl=es

An Expose’ on Google AdSense Fraud – Protect your PPC account
http://www.sofizar.com/google-adsense-fraud.php

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR