O desafio de combater fraudes na indústria de publicidade digital

No início de julho, a Check Point Software publicou um relatório contendo detalhes sobre a infraestrutura por trás do funcionamento do malware HummingBad, descoberto em fevereiro de 2016. Segundo a empresa, o malware que afeta dispositivos Android havia sido construído pela empresa chinesa Yingmob Interaction para fraudar a indústria de publicidade digital, em campanhas que geravam receitas de até US$300.000 por mês para a companhia. O HummingBad é mais uma dentre as diversas ameaças que lesam continuamente a indústria de publicidade na Internet. Quando comparado com outras atividades do mesmo mercado, a publicidade digital é a mais promissora, com um desempenho que tende a superar as receitas de publicidade na TV até o final de 2016. Entretanto, este é também um mercado em que pairam muitas suspeitas quando se pensa na mais básica relação entre vendedores e compradores: receber aquilo pelo qual se pagou.

Estima-se que mais de cinquenta por cento de todas as campanhas de publicidade legítimas nunca será vista por humanos, mas sim por robôs (bots) sob o controle dos fraudadores. Cenário que, de acordo com Keith Weed, CMO da Unilever, é “uma bomba relógio” que fará com que toda a indústria perca a credibilidade caso nada seja feito.

De fato, as publicações online já estão sofrendo com o problema da credibilidade, não só por causa da fraude, mas porque cada vez mais os usuários estão incomodados com a interferência da publicidade na navegação e usando adblockers. Especula-se que os adblockers tendem a ceifar US$12 bilhões do previsto para a indústria até 2020. Não se trata somente de evitar a chateação da publicidade, mas também de segurança, pois essas ferramentas estão sendo encaradas como uma arma bastante útil na proteção contra os ataques de malvertising.

O tema escalou a ponto de alguns desenvolvedores criarem ferramentas, como o Antiblock.org para burlar soluções de adblocking e outros se propuseram a elaborar uma camada adicional ao adblocker para combater essas ferramentas, sendo um anti-anti-adblocker.

A indústria de publicidade digital é hoje um complexo ecossistema que abrange empresas e ferramentas exercendo diversas funções em um processo automatizado de compra e venda do tempo de atenção humana.

Entidades da Indústria de Publicidade Digital - Imagem: Internet Advertising Bureau UK

Neste artigo abordamos três cenários para a execução de fraudes, demonstrando que a guerra contra os fraudadores prejudica anunciantes, as publicações e também a audiência. Na verdade, essas são três maneiras de ver o problema e não devem ser entendidas como atividades isoladas, pois é possível que fraudadores usem táticas de um cenário no outro.

Assim como em outras modalidades do crime eletrônico, os criminosos adaptam suas ferramentas com grande velocidade e possuem diversas formas de agir. É como olhar para um cardume, que se mantém em movimento e se adapta às condições da água e à presença de predadores.

Controlar o Tráfego

A primeira estratégia envolve a contratação de serviços denominados Traffic Brokers, que manipulam porções do tráfego na web redirecionando chamadas no navegador do usuário. Essa não é necessariamente uma atividade maliciosa, mas é controversa. Pois há Traffic Brokers que redirecionam tráfego para diversas áreas da internet sob o controle de criminosos.

Dessa forma, Traffic Brokers maliciosos podem ser contratados tanto por publicações legítimas quanto maliciosas, que são atraídas pela oferta de alto volume de tráfego qualificado. Nesse cenário o volume de acessos realmente aumenta. Entretanto, o tráfego não possui origem humana, mas sim de botnets sob controle do broker. Essa situação é desfavorável ao anunciante, pois o que gera vendas é tráfego humano.

Malwares como HummingBad são muito importantes nessa estratégia. Seu principal método de infecção é o de se disfarçar como uma nova versão do player de vídeo QVOD, o qual oferecia vídeos de conteúdo adulto e foi descontinuado em abril de 2014, em meio a uma investigação policial contra a empresa Nora, que desenvolvia o player.

Ansiosos por novas versões desse app, os usuários instalam o malware que possui dois estágios de infecção: o primeiro é um rootkit que explora múltiplas vulnerabilidades no sistema operacional e toma o controle do equipamento. Caso o primeiro módulo não funcione, o segundo componente envia uma mensagem falsa de atualização do sistema para o usuário, esperando que ele clique em OK e conceda permissão ao dispositivo em “system-level”, privilégio que permite acesso a diversas funções do equipamento, como o armazenamento em pastas específicas.

Ao ser inicializado, o malware entra em contato com o servidor de comando e controle, faz o download de outros componentes e passa a exibir anúncios em diversos aplicativos, forçando o usuário a clicar em “fechar”, o que gera cliques com retorno financeiro ao fraudador.

Há também uma versão semelhante do malware para dispositivos Apple (iOS). Um extenso relatório, produzido pela Palo Alto Networks, demonstra que outro malware, chamado YiSpecter, também se apresentava como uma versão nova do QVOD. Entretanto, possui um método de infecção diferente, baseado em plataformas para a promoção de aplicativos comuns na China, redes sociais e páginas web que eram promovidas ao topo de mecanismos de busca através de técnicas maliciosas de SEO.

Segundo a Check Point, ambos os malwares foram desenvolvidos pela YingMob Interaction, uma empresa baseada na província de Chonaaina, na China, que vende serviços de publicidade em dispositivos móveis. Dentre outras características, os dois malwares compartilham certificados e, mais importante, os endereços dos servidores de comando e controle. O que demonstra a existência de um negócio formal cuja operação é baseada em malwares.

Botnets desempenham um papel importante no direcionamento de requisições. No entanto, ainda existe outra forma de controlar o tráfego com a finalidade de fraudar a indústria de publicidade digital, sem ter que desenvolver e manter malwares. Mas essa tática requer elevado poder sobre a rede, o poder de um provedor de acesso à Internet (ISP).

Os Pesquisadores israelenses Gabi Nakibly, Jaime Schcolnik e Yossi Rubin detectaram o redirecionamento de parte do tráfego da China para destinatários maliciosos. De modo geral, a comunicação na Internet é baseada no enfileiramento de pacotes que são enviados em sequência seguindo várias regras, chamadas de protocolos.

Na inicialização de uma conexão HTTP - a mais comum na Internet - é da natureza do protocolo considerar o primeiro pacote íntegro da requisição e descartar outros semelhantes, de modo a evitar redundâncias que possam causar distúrbios na comunicação.

O que Nakibly, Schcolnik e Rubin puderam comprovar é que as requisições HTTP que chegavam aos provedores China Telecom e China Unicom tinham o primeiro pacote substituído por outro, menor que o tradicional. Pois, por ser pequeno, chegava mais rápido ao próximo estágio da cadeia de comunicação. O pacote injetado continha um código JavaScript que redirecionava a conexão para um destino diferente ao da requisição original do usuário. Em outras palavras, o usuário requisitava um conteúdo na Internet e era redirecionado para outro pelo próprio provedor de acesso.

Entre os destinatários do tráfego alterado estão diversos repositórios de malware, mas a maior parte do volume se destinava a empurrar usuários para publicidade. Por meio do que foi divulgado sobre o caso, não é possível determinar se os provedores chineses estavam redirecionando o tráfego para lucrar com publicidade ou se as empresas foram atacadas por outros grupos que usavam equipamentos de sua infraestrutura.

Segundo os autores do estudo, a melhor maneira de mitigar esse ataque é forçar o uso de HTTPS (HTTP com criptografia) em todas as conexões. Um mecanismo que faz isso é a extensão HTTPS Everywhere, desenvolvida pela organização sem fins lucrativos Eletronic Frontier Foundation e disponível gratuitamente para a maioria dos navegadores.

Fake Publisher

Esse cenário pressupõe a criação de milhares de publicações falsas (ou farms) com qualquer tipo de conteúdo, geralmente copiando posts de outros veículos, o que também viola regras de direito autoral.

Assim que as farms estão online, é necessário gerar tráfego falso para elas. O que é feito por meio de bots alugadas ou sob o controle do próprio fraudador. Isso é necessário não somente para disfarçar as publicações como legítimas, mas também para que pareçam populares sob a perspectiva das plataformas de compra e venda de anúncios (Ad Exchange), elevando a classificação da publicação na rede e atraindo anunciantes.

Em alguns casos, o Ad Exchange consegue identificar e bloquear as farms. Entretanto, de acordo Christopher Heine, editor da Adweek, mesmo após o bloqueio, o fraudador ainda pode ser pago pelo tráfego que gerou em receitas que se mantêm ativas por até 90 dias.

Como o mercado ainda não conseguiu estabelecer mecanismos eficazes para autenticar publicações, assim que uma farm falsa é detectada e removida da rede, os fraudadores criam outras farms com outros endereços e o ciclo recomeça.

Esconder e multiplicar

Outra forma de fraude muito comum é a de esconder anúncios. Isso pode ocorrer por meio da sobreposição de vários deles em uma publicação ou inserindo milhares em uma única página, mas no tamanho ilegível de 1 pixel por 1 pixel.

O que fazer?

Alguns especialistas comparam a indústria de publicidade digital ao mercado de ações, isso porque os ativos são vendidos e comprados automaticamente em um ecossistema com diversas empresas e soluções interdependentes.

A comparação não está errada. No entanto, sob a perspectiva dos controles contra a fraude, essa indústria se assemelha mais ao mercado de ações pré-crash de 1929, época em que as regulamentações sobre a compra e venda de ativos na bolsa eram escassas e só vieram a se fortalecer anos depois do desastre econômico.

Mesmo assim, a regulamentação do mercado não seria a solução definitiva para a fraude e poderia até ser um problema em si. Isso porque a indústria é global e descentralizada, o que demandaria um grande esforço para legitimar padrões e instituições reguladoras que operem na velocidade da publicidade digital.

Segundo Michael Tiffany, CEO da White Ops, a melhor forma de combater a fraude é mudar a maneira em que o fraudador é pago e encontrar formas de obter uma identificação clara do que é realmente tráfego humano. De acordo com ele, as iniciativas à disposição são pouco efetivas e ainda está para surgir algo realmente eficaz para combater o problema.

O melhor nesse momento é todas as entidades honestas dessa indústria se reunirem para reavaliar a plataforma tecnológica e repactuar seu modus operandi.

Sem dúvida a situação é uma bomba relógio, como diz o CMO da Unilever. Ruim para as publicações, que sofrem com a concorrência desleal dos fraudadores, para a audiência que fica à mercê de ataques de malvertising ou outras ameaças do crime eletrônico e para os anunciantes que testemunham seu investimento desaparecer em províncias distantes do globo, nas mãos do crime organizado.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.