Wie wird man Millionär? – Kriminelle Banden, der betrügerische Traffic Broker und gestohlene Klicks

Originalartikel von Feike Hacquebord (Advanced Threats Researcher, Trend Micro)

Die meisten cyberkriminellen Banden sind nicht daran interessiert, nur schnell Profit zu machen oder früh in Rente zu gehen. Vielmehr betreiben sie Cyberkriminalität als ein seriöses und lukratives Geschäft und freuen sich darüber, ihr kriminelles Netz geduldig zu erweitern und gleichzeitig ihre bösartigen Machenschaften vor dem Rest der Welt zu verbergen. In diesem Blogeintrag diskutieren wir ein Beispiel, in dem ein kriminelles Netz unter Umständen nur ein paar Dollar an jedem einzelnen Opfer verdient. Aber indem eine Vielzahl an Anwendern zu Opfern gemacht werden, lassen sich jedes Jahr Millionen Dollar an Gewinnen erzielen. Diese Machenschaften basieren auf einem Geschäftsmodell, das von daran beteiligten bösartigen Traffic-Brokern und dem Missbrauch bekannter Markennamen lebt.

Die Netze, die diese Cyberkriminellen nutzen, bestehen unter Umständen aus mehr als 100 Servern, die rund um den Globus in verschiedenen Rechenzentren gehostet sind. Einige Internetgangs verfügen über Millionen Dollar an liquiden Mitteln. Dadurch sind sie in der Lage, substanzielle Investitionen in neue kriminelle Aktivitäten zu investieren, die eine hohe Verzinsung versprechen. Entsprechend groß sind die Folgeschäden, die ihre Aktivitäten verursachen.

Abbildung 1 zeigt die Größe eines bestimmten Botnetzes zwischen März 2010 und Ende Juli 2010. Wie aus der Abbildung ersichtlich, unterlag die Botnetzgröße im Zeitverlauf Schwankungen; aktuell umfasst es ungefähr 150.000 Bots. Dabei handelt es sich nicht um ein großes Botnetz, dennoch generiert es mehrere Millionen Dollar an Gewinnen pro Jahr.

Trojaner, die die Kontrolle über Webbrowser übernehmen, gehören einer Malware-Familie an, die ihre Opfer von den Sites, die diese besuchen wollen, umleiten. Insbesondere werden die Ergebnisse von Suchmaschinen oftmals von dieser Art Malware manipuliert. Eine Suche auf beliebten Suchmaschinen wie Google, Yahoo! oder Bing funktioniert zwar wie immer. Sobald jedoch Opfer auf ein Suchergebnis oder einen beworbenen Link klicken, werden sie zu einer fremden Site weitergeleitet, so dass der „Entführer“ ihre Klicks zu Geld machen kann.

Browser Hijacker sind beliebt, weil sich Klicks auf Suchergebnisse schnell auszahlen. Es ist eine lukrative und einfache Methode, von dem Erfolg legitimer Suchmaschinen zu profitieren. Aus einem Netz von 150.000 Bots können Banden jedes Jahr mehrere Millionen Dollar Profit schlagen, und das allein mit manipulierten Suchergebnissen. Der Preis eines gestohlenen Klicks hängt stark von dem benutzten Schlüsselwort ab. Wir sehen einen durchschnittlichen Preis von 0,01 bis 0,02 US-Dollar pro Klick, obwohl dieser auf über 2 US-Dollar bei Wörtern oder Wortgruppen wie „home-based business opportunities“ oder „loans“ steigen kann. Für den Verdienst eines Klick-Botnetzes, das mehr als eine Million Klicks an einem einzigen Tag – den 20. Juli 2010 – gekapert hat, siehe die Tabelle unten:

Um die gestohlenen Klicks zu Geld zu machen, verkauft der Hijacker in der Regel die eingesammelten manipulierten Klicks an einen Traffic Broker. Dieser Broker verkauft dann wiederum den Datenverkehr an legitime Parteien wie Yahoo!, Google oder Ask.com. Zum Beispiel haben wir gesehen, dass Klicks auf Suchergebnisse von Yahoo! wieder an Yahoo! über einen dazwischen geschalteten Traffic Broker zurückverkauft wurden. In einem anderen Fall wurden gestohlene Google-Klicks an LookSmart weiterverkauft.

Gestohlenen Webverkehr an legitime Parteien wie Google, Overture (Yahoo!) oder LookSmart zu verkaufen ist jedoch keine triviale Angelegenheit, denn diese Unternehmen verfügen über ausgefeilte Werkzeuge zur Betrugserkennung. Deshalb nutzen die meisten Traffic Hijacker die Dienste eines Brokers, der mit ihnen bei der Optimierung der Umleitung des Datenverkehrs zusammenarbeitet und ihnen hilft, die besten Käufer zu finden. Einigen Traffic Brokern kann nicht getraut werden und sie sind selbst Teil betrügerischer Strukturen. Zum Beispiel muss ein Traffic Broker mit Namen „Onwa Ltd.“ mit Sitz bei St. Petersburg in Russland volle Kenntnis von der betrügerischen Natur des Datenverkehrs haben, den er weiterverkauft. Der Grund für diese Annahme liegt darin, dass der Broker Backend-Software für obskure und gefälschte Suchmaschinen, die als Fassade für Klickbetrug dienen, schreibt und verkauft. (Onwa Ltd. unterhält zudem Briefkastenfirmen in Großbritannien und auf den Seychellen). Vgl. exemplarisch Abbildung 2.

Darüber hinaus hat Onwa Ltd. eine eigene Infrastruktur für gefälschte Google-Websites errichtet. Dieser spezielle Broker ist mindestens seit 2005 am Markt, eventuell schon seit 2003. Die Gruppe tritt auch unter anderen Namen auf wie „Uttersearch“, „RBTechgroup“ und „Crossnets“. Eine ihrer Firmenseiten ist in Abbildung 3 dargestellt.

Legitime Traffic Broker müssen so getäuscht werden, dass sie den Eindruck haben, sie hätten es mit einem legitimen Geschäftspartner zu tun. Um das zu erreichen, erstellen betrügerische Traffic Broker oftmals eine Website, die den Anschein erweckt, der Broker betreibe schon seit langem ein ehrbares Geschäft. Zudem werden gefälschte Such-Websites aufgesetzt. Diese gefälschten Such-Websites dienen scheinbar dem Ziel, echten Anwender-Traffic zu fördern, während sie in Wahrheit nur einen Zwischenschritt für den Klickbetrug aus Botnetzen darstellen.

Da diese gefälschten Suchmaschinen nicht von normalen Besuchern genutzt werden und da Werbetreibende dies unter Umständen bemerken, werden ihre Alexa-Rankings manchmal künstlich nach oben manipuliert. Dies geschieht durch Bots, die automatisch auf Alexa-URLs zugreifen, welche die Zahl der Site-Besuche bestimmen. Darüber hinaus teilen betrügerische Traffic Broker gekaperten Traffic in kleinere Teile auf, so dass es den Anschein hat, als ob der Verkehr aus verschiedenen Quellen stammte, während in Wahrheit der Löwenanteil der Klicks nur von einer Handvoll Botnets herrührt. Falls ein Käufer von Upstream Traffic einen Betrug feststellt, kann der betrügerische Traffic Broker einen Komplizen dafür verantwortlich machen und einen einzelnen Datenstrom herausfiltern. Die cyberkriminelle Bande verliert folglich nur einen kleinen Teil ihres Umsatzes und nicht alles.

Browser Hijacker stellen eine Art Malware dar, die sozusagen viel Lärm macht. Die Opfer stellen bald fest, dass etwas schief läuft, sobald sie unerwartete Weiterleitungen sehen. Aus diesem Grund ist die durchschnittliche Lebensdauer der Bots relativ gering. Abbildung 4 zeigt die erwartete Lebensdauer eines einzelnen Bots auf der Basis historischer Daten, die wir sammeln konnten. In diesem Fall bewegt sich die Lebenserwartung eines beliebigen Einzelbots zwischen 6 und 12 Tagen.

Um die Größe des Bonetzes aufrecht zu erhalten, müssen die Gangs dahinter kontinuierlich neue Systeme infizieren. Abbildung 5 zeigt die Zahl neuer Systeme, die täglich dem hier betrachteten Botnetz hinzugefügt werden. Zehntausende neue Systeme werden jeden Tag infiziert. Mehr als 2 Millionen Computer wurden von dem Browser Hijacker von Anfang des Jahres bis heute befallen und wir erwarten, dass diese Zahl bis Ende des Jahres 4 Millionen erreichen wird.

Die Browser Hijacker, die wir beobachtet haben, enthalten eine zusätzliche DNS-Changer-Komponente, die die DNS-Einstellungen eines Systems ändert, um sie auf fremde Server umzuleiten. Die dabei genutzten DNS-Server sind in der Malware fest kodiert. Wir haben festgestellt, dass die Bande jeden Tag eine neue Malware-Variante verbreitet, die die DNS-Einstellungen der Systeme um zwei spezifische fremde Servereinträge verändert.

Diese Server beginnen erst dann damit, Domänennamen in bösartige IP-Adressen aufzulösen, wenn eine Maschine ungefähr seit einer Woche infiziert ist. Wir sind der Ansicht, dass dies einen Versuch darstellt, die Lebensdauer der Bots zu verlängern. Wenn die Browser Hijacker-Komponente von einem infizierten Computer entfernt wird, kann der DNS Changer trotzdem weiter vorhanden bleiben, so dass der Bot weiterhin dazu missbraucht werden kann, Datenverkehr mit DNS-Tricks zu kapern. Die Lebensdauer der Bots steigt in der Folge deutlich an.

Wir rechnen damit, dass Browser Hijacker in Zukunft ausgefeilter und widerstandsfähiger sein werden. Tricks wie das Ersetzen legitimer Anzeigen durch fremde kommen bereits heute vor. Das in diesem Blog betrachtete Botnetz ersetzt Double Click- durch Clicksor-Anzeigen, sobald die betrügerische DNS-Komponente aktiviert ist. Dabei handelt es sich um eine Art getarnten Klickbetrugs, der nur schwer von Seiten von Double Click entdeckt werden kann. In diesem Fall jedoch gehen wir davon aus, dass keine dritte Partei zwischen Clicksor und der Cyberbande dazwischen geschaltet ist. Wir sind deshalb überzeugt davon, dass Clicksor in der Lage sein sollte, diesen Betrug zu erkennen. Falls jedoch betrügerische Mittelsmänner existieren, wird die Erkennung viel schwieriger.

6 Gedanken zu „Wie wird man Millionär? – Kriminelle Banden, der betrügerische Traffic Broker und gestohlene Klicks

  1. Thomas Kläser

    An sich betrachtet sind Traffic Broker legal und auf keinen Fall mit der Absicht angelegt worden, zu betrügen. Das es immer einige geben wird, die die Struktur von Programmen für ihre „illegalen Zwecke“ zu nutzen kann nicht geleugnet werden. Wenn ich selber an den Traffic Broker, den ich seit geraumer Zeit nutze so anschaue, sieht man doch, dass das oben aufgezeigte Problem tatsächlich als Problem intern bei Traffic Brokern diskutiert wird.
    Inwieweit aber Lösungen angestrebt werden, kann ich nicht beurteilen. Es wird aber vor allen in den Allgemeinen Geschäftsbedingungen sehr deutlich gemacht, dass der Service nicht für illegale Aktivitäten missbraucht werden darf. Dazu kann auch das Nutzen von Klickwerbung dazu gehören. Eine Vielzahl von Seiten nutzen jedoch Klickwerbung. Der Traffic Broker wird das in der Regel nicht kontrollieren, da dieser grundsätzlich davon ausgehen kann, dass der Webseitenbetreiber, der schließlich nicht als Verbraucher sondern als Unternehmer auftritt, sich voll und ganz erkundigt hat.
    Desweiteren gilt der Vertrag zwischen den Werbeanbieter und dem Webseitenbetreiber und nicht mit dem Traffic Broker.
    Es stellt sich zumindest für mich die Frage, inwieweit Traffic Broker derartige Vorgänge in Ihren AGBs regeln. Ein Traffic Broker, der keine AGBs aufgestellt hat, wirkt meines Erachtens unseriös und kann bewusst und gewollt illegalen Aktivitäten nachgehen.

  2. trendadmin

    Der Hinweis auf die kleine verbleibende Komponente kann einfach ein zusätzlicher DNS Server Eintrag sein. Wenn dieser nach einer IP Adresse für eine Internetdomäne (wie zum Beispiel http://www.trendmicro.com ) gefragt wird, könnte man sich vorstellen, dass der Betreiber des DNS Servers weiss, die Maschine mit der anfragenden IP enthält den gerade aktuellen Bot dieser kriminelle Gruppe nicht, aber als überbleibsel einer entfernten Schadsoftware der Gruppe wird eben dieser DNS noch gefragt.

    Mit diesem Wissen liegt es nahe auf eine Seite umzuleiten (der DNS gibt einfach die IP des vorbereiteten Webservers zurück) auf die Inhalte des AV Herstellers gelegt werden (kann man ja praktischerweise für alle erfolgreichen AV Hersteller machen – die Logos und Marketingtexte liegen im Web) und nur der Download eben nicht ein AV-Software Installer ist, sondern zumindest mit Schadprogrammen (einem Bot zum Beispiel) versehen ist.

    Ein kleiner unscheinbarer Rest wie ein eingetragener DNS Server, kann also zur Falle für den Anwender werden das System erneut mit aktualisierter Bottechnologie zu versehen – Die kriminelle Gruppe muss lediglich die Anfragen auf ihren DNS Server auswerten und mit den IP-Listen aktiver Bots in Beziehung setzen.

    Ein mit dem Netz verbundenes Computersystem ist zu komplex, um alle denkbaren Einstellungen, die zur Falle werden können zu veröffentlichen. In vielen Fällen reicht die automatische Bereinigung eines erkannten Schädlings durch den Virenscanner. Wenn der Schädling aktiv war, also als Prozess gestartet wurde, bei weitem nicht in allen Fällen.

    Wenn der Virenscanner einen Fund meldet ist eine der wichtigsten Fragen, ob die erkannte Datei schon im System ausgeführt wurde oder ob die Datei zum Beispiel schon im Anhang der Email erkannt und beseitigt wurde. Dann lief das Schadprogramm in der Regel nicht und konnte auch keine Systemeinstellungen manipulieren. Löschen oder in Quarantäne verschieben reicht hier zuverlässig.

    Wenn ein System wiederholt reinfiziert wird, also verschidene oder immer dieselben Erkennungsnamen gemeldet werden, ist es oft ratsam das System neu aufzusetzen und die Sichheitssoftware über den Musterbasierten Dateiscan hinaus mit aktiven Schutzmodulen zu konfigurieren. Dazu gehören bei Trend Micro Lösungen die folgenden:
    – Web Reputatio Services
    – Behavior Monitoring
    – Network Virus Scanning Firewall
    – Device Access Control
    – …

    Es geht heute nicht mehr darum vor der Manipulation des Systems zu schützen, sondern es geht darum verantwortungsvoll zu handeln, wenn die Manipulatin des Systems offensichtlich wurde – Der Virenscanner wird es schon richten ist eine Hoffnung, die nicht viel mit Verantwortung übernehmen zu tun hat.
    Wenn möglich klären was passiert ist und die Änderungen am System durchführen , die die Einnistung in Zukunft vermeiden.

  3. Michael

    Diese Klickbetrüger sind wirklich ärgerlich. In der Regel wird man aber schnell darauf aufmerksam da dieser Traffic eben nicht konvertiert.

  4. Diotima

    schade, hier wird zwar ausführlich das ganze system beschrieben, wie sich aber otto normalverbraucher eventuell schützen kann, nämlich indem er nicht nur den Hijacker aus dem system entfernt sondern auch die andere Komponente die es ermöglicht dass weiterhin datenklau betrieben werden kann, dazu gibts nicht mal einen Hinweis, dabei wurde eigentlich genau das in dem kleinen vorartikel versprochen.
    nichtsdestotrotz ein ser informativer Artikel

  5. Töpfer

    Die Möglichkeit Klicks zu kaufen sollte grundsätlich verboten und unter Strafe gestellt werden. Hier wird das Suchergebnis offen manipuliert und Seiten zugunsten von Leuten die Geld verdienen wollen , andere interessante Seiten haben somit oft den Nachteil hinten an gestellt zu werden!

  6. Pingback: Taler, Taler, du musst wandern - Trend Micro analysiert den Betrug mit gestohlenen Klicks | Deutschflüsterer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*