Schlagwort-Archive: Clicksor

Wie wird man Millionär? – Kriminelle Banden, der betrügerische Traffic Broker und gestohlene Klicks

Originalartikel von Feike Hacquebord (Advanced Threats Researcher, Trend Micro)

Die meisten cyberkriminellen Banden sind nicht daran interessiert, nur schnell Profit zu machen oder früh in Rente zu gehen. Vielmehr betreiben sie Cyberkriminalität als ein seriöses und lukratives Geschäft und freuen sich darüber, ihr kriminelles Netz geduldig zu erweitern und gleichzeitig ihre bösartigen Machenschaften vor dem Rest der Welt zu verbergen. In diesem Blogeintrag diskutieren wir ein Beispiel, in dem ein kriminelles Netz unter Umständen nur ein paar Dollar an jedem einzelnen Opfer verdient. Aber indem eine Vielzahl an Anwendern zu Opfern gemacht werden, lassen sich jedes Jahr Millionen Dollar an Gewinnen erzielen. Diese Machenschaften basieren auf einem Geschäftsmodell, das von daran beteiligten bösartigen Traffic-Brokern und dem Missbrauch bekannter Markennamen lebt.

Die Netze, die diese Cyberkriminellen nutzen, bestehen unter Umständen aus mehr als 100 Servern, die rund um den Globus in verschiedenen Rechenzentren gehostet sind. Einige Internetgangs verfügen über Millionen Dollar an liquiden Mitteln. Dadurch sind sie in der Lage, substanzielle Investitionen in neue kriminelle Aktivitäten zu investieren, die eine hohe Verzinsung versprechen. Entsprechend groß sind die Folgeschäden, die ihre Aktivitäten verursachen.

Abbildung 1 zeigt die Größe eines bestimmten Botnetzes zwischen März 2010 und Ende Juli 2010. Wie aus der Abbildung ersichtlich, unterlag die Botnetzgröße im Zeitverlauf Schwankungen; aktuell umfasst es ungefähr 150.000 Bots. Dabei handelt es sich nicht um ein großes Botnetz, dennoch generiert es mehrere Millionen Dollar an Gewinnen pro Jahr.

Trojaner, die die Kontrolle über Webbrowser übernehmen, gehören einer Malware-Familie an, die ihre Opfer von den Sites, die diese besuchen wollen, umleiten. Insbesondere werden die Ergebnisse von Suchmaschinen oftmals von dieser Art Malware manipuliert. Eine Suche auf beliebten Suchmaschinen wie Google, Yahoo! oder Bing funktioniert zwar wie immer. Sobald jedoch Opfer auf ein Suchergebnis oder einen beworbenen Link klicken, werden sie zu einer fremden Site weitergeleitet, so dass der „Entführer“ ihre Klicks zu Geld machen kann.

Browser Hijacker sind beliebt, weil sich Klicks auf Suchergebnisse schnell auszahlen. Es ist eine lukrative und einfache Methode, von dem Erfolg legitimer Suchmaschinen zu profitieren. Aus einem Netz von 150.000 Bots können Banden jedes Jahr mehrere Millionen Dollar Profit schlagen, und das allein mit manipulierten Suchergebnissen. Der Preis eines gestohlenen Klicks hängt stark von dem benutzten Schlüsselwort ab. Wir sehen einen durchschnittlichen Preis von 0,01 bis 0,02 US-Dollar pro Klick, obwohl dieser auf über 2 US-Dollar bei Wörtern oder Wortgruppen wie „home-based business opportunities“ oder „loans“ steigen kann. Für den Verdienst eines Klick-Botnetzes, das mehr als eine Million Klicks an einem einzigen Tag – den 20. Juli 2010 – gekapert hat, siehe die Tabelle unten:

Um die gestohlenen Klicks zu Geld zu machen, verkauft der Hijacker in der Regel die eingesammelten manipulierten Klicks an einen Traffic Broker. Dieser Broker verkauft dann wiederum den Datenverkehr an legitime Parteien wie Yahoo!, Google oder Ask.com. Zum Beispiel haben wir gesehen, dass Klicks auf Suchergebnisse von Yahoo! wieder an Yahoo! über einen dazwischen geschalteten Traffic Broker zurückverkauft wurden. In einem anderen Fall wurden gestohlene Google-Klicks an LookSmart weiterverkauft.

Gestohlenen Webverkehr an legitime Parteien wie Google, Overture (Yahoo!) oder LookSmart zu verkaufen ist jedoch keine triviale Angelegenheit, denn diese Unternehmen verfügen über ausgefeilte Werkzeuge zur Betrugserkennung. Deshalb nutzen die meisten Traffic Hijacker die Dienste eines Brokers, der mit ihnen bei der Optimierung der Umleitung des Datenverkehrs zusammenarbeitet und ihnen hilft, die besten Käufer zu finden. Einigen Traffic Brokern kann nicht getraut werden und sie sind selbst Teil betrügerischer Strukturen. Zum Beispiel muss ein Traffic Broker mit Namen „Onwa Ltd.“ mit Sitz bei St. Petersburg in Russland volle Kenntnis von der betrügerischen Natur des Datenverkehrs haben, den er weiterverkauft. Der Grund für diese Annahme liegt darin, dass der Broker Backend-Software für obskure und gefälschte Suchmaschinen, die als Fassade für Klickbetrug dienen, schreibt und verkauft. (Onwa Ltd. unterhält zudem Briefkastenfirmen in Großbritannien und auf den Seychellen). Vgl. exemplarisch Abbildung 2.

Darüber hinaus hat Onwa Ltd. eine eigene Infrastruktur für gefälschte Google-Websites errichtet. Dieser spezielle Broker ist mindestens seit 2005 am Markt, eventuell schon seit 2003. Die Gruppe tritt auch unter anderen Namen auf wie „Uttersearch“, „RBTechgroup“ und „Crossnets“. Eine ihrer Firmenseiten ist in Abbildung 3 dargestellt.

Legitime Traffic Broker müssen so getäuscht werden, dass sie den Eindruck haben, sie hätten es mit einem legitimen Geschäftspartner zu tun. Um das zu erreichen, erstellen betrügerische Traffic Broker oftmals eine Website, die den Anschein erweckt, der Broker betreibe schon seit langem ein ehrbares Geschäft. Zudem werden gefälschte Such-Websites aufgesetzt. Diese gefälschten Such-Websites dienen scheinbar dem Ziel, echten Anwender-Traffic zu fördern, während sie in Wahrheit nur einen Zwischenschritt für den Klickbetrug aus Botnetzen darstellen.

Da diese gefälschten Suchmaschinen nicht von normalen Besuchern genutzt werden und da Werbetreibende dies unter Umständen bemerken, werden ihre Alexa-Rankings manchmal künstlich nach oben manipuliert. Dies geschieht durch Bots, die automatisch auf Alexa-URLs zugreifen, welche die Zahl der Site-Besuche bestimmen. Darüber hinaus teilen betrügerische Traffic Broker gekaperten Traffic in kleinere Teile auf, so dass es den Anschein hat, als ob der Verkehr aus verschiedenen Quellen stammte, während in Wahrheit der Löwenanteil der Klicks nur von einer Handvoll Botnets herrührt. Falls ein Käufer von Upstream Traffic einen Betrug feststellt, kann der betrügerische Traffic Broker einen Komplizen dafür verantwortlich machen und einen einzelnen Datenstrom herausfiltern. Die cyberkriminelle Bande verliert folglich nur einen kleinen Teil ihres Umsatzes und nicht alles.

Browser Hijacker stellen eine Art Malware dar, die sozusagen viel Lärm macht. Die Opfer stellen bald fest, dass etwas schief läuft, sobald sie unerwartete Weiterleitungen sehen. Aus diesem Grund ist die durchschnittliche Lebensdauer der Bots relativ gering. Abbildung 4 zeigt die erwartete Lebensdauer eines einzelnen Bots auf der Basis historischer Daten, die wir sammeln konnten. In diesem Fall bewegt sich die Lebenserwartung eines beliebigen Einzelbots zwischen 6 und 12 Tagen.

Um die Größe des Bonetzes aufrecht zu erhalten, müssen die Gangs dahinter kontinuierlich neue Systeme infizieren. Abbildung 5 zeigt die Zahl neuer Systeme, die täglich dem hier betrachteten Botnetz hinzugefügt werden. Zehntausende neue Systeme werden jeden Tag infiziert. Mehr als 2 Millionen Computer wurden von dem Browser Hijacker von Anfang des Jahres bis heute befallen und wir erwarten, dass diese Zahl bis Ende des Jahres 4 Millionen erreichen wird.

Die Browser Hijacker, die wir beobachtet haben, enthalten eine zusätzliche DNS-Changer-Komponente, die die DNS-Einstellungen eines Systems ändert, um sie auf fremde Server umzuleiten. Die dabei genutzten DNS-Server sind in der Malware fest kodiert. Wir haben festgestellt, dass die Bande jeden Tag eine neue Malware-Variante verbreitet, die die DNS-Einstellungen der Systeme um zwei spezifische fremde Servereinträge verändert.

Diese Server beginnen erst dann damit, Domänennamen in bösartige IP-Adressen aufzulösen, wenn eine Maschine ungefähr seit einer Woche infiziert ist. Wir sind der Ansicht, dass dies einen Versuch darstellt, die Lebensdauer der Bots zu verlängern. Wenn die Browser Hijacker-Komponente von einem infizierten Computer entfernt wird, kann der DNS Changer trotzdem weiter vorhanden bleiben, so dass der Bot weiterhin dazu missbraucht werden kann, Datenverkehr mit DNS-Tricks zu kapern. Die Lebensdauer der Bots steigt in der Folge deutlich an.

Wir rechnen damit, dass Browser Hijacker in Zukunft ausgefeilter und widerstandsfähiger sein werden. Tricks wie das Ersetzen legitimer Anzeigen durch fremde kommen bereits heute vor. Das in diesem Blog betrachtete Botnetz ersetzt Double Click- durch Clicksor-Anzeigen, sobald die betrügerische DNS-Komponente aktiviert ist. Dabei handelt es sich um eine Art getarnten Klickbetrugs, der nur schwer von Seiten von Double Click entdeckt werden kann. In diesem Fall jedoch gehen wir davon aus, dass keine dritte Partei zwischen Clicksor und der Cyberbande dazwischen geschaltet ist. Wir sind deshalb überzeugt davon, dass Clicksor in der Lage sein sollte, diesen Betrug zu erkennen. Falls jedoch betrügerische Mittelsmänner existieren, wird die Erkennung viel schwieriger.