随着隐藏的恶意软件的增多,在线广告行业可能最终不得不联合起来进行治理。
在线广告可能很烦人,但它们也越来越具有恶意。在一场被大肆宣传的"不良广告"之后事件去年十二月在此期间,攻击者可以通过发布在互联网上的在线广告传播恶意软件Yahoo.com对一些人来说,这个问题现在是头等大事。
那件事后,又来到了短短的几个月后,安全研究人员在Blue Coat系统发现了一组网站中提供的是驾车正如大家所知道的有效载荷通过内嵌在许多“名牌”网站,包括Salon.com和洛杉矶时报的广告。
这个问题开始得到高层的关注。一个最近的一份报告(PDF)由美国参议院说的问题危及用户的安全和隐私并建议美国联邦贸易委员会(Federal Trade Commission)通过全面监管,迫使该行业提供更好的保护。
不过这是广告行业,而不是最终用户,具有最惨重损失。
“作为一个行业,我们一直不愿意谈论在过去的这些问题,”在广告技术的前副总裁史蒂夫·沙利文说:互动广告局IAB是一个由600多家在线广告媒体和技术公司组成的联盟。(沙利文最近加入了欺诈侦查公司White Ops。)
但在过去的一年中,这个问题已经上升到了组成网络广告生态系统中的数百家企业都在谈论它公开,并积极支持IAB的值得信赖的数字化营销供应链的水平。这种努力,一个的一部分五年计划(PDF格式),可以为最佳实践设定标准,并要求对所有IAB成员进行一定程度的监督,以帮助减少广告不良、欺诈和其他问题的发生。
沙利文说,这是钱包问题。他解释说,大多数恶意广告的目的不是伤害个人消费者,而是将个人电脑和移动设备引入大规模僵尸网络,通过制造虚假的广告印象和在线点击来产生收入。在雅虎恶意软件的案例中,用户被重定向到与Paid-To-Promote.net相关的域名。“真正的钱,”沙利文说,“在广告欺诈中。”
但杀毒软件供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu说,恶意广告也被用来窃取用户数据。“致病性广告是为数不多的几种技术之一,可以让网络犯罪分子悄无声息地攻击毫无戒心的用户。”
如果用户的机器是感染僵尸网络设计的广告欺诈,僵尸网络的所有者可能试图赚钱通过提供安装其他软件,在现实中恶意软件窃取用户的信息——在被感染的计算机,研究建筑师克里斯·拉森说安全软件厂商蓝色外套系统。这就是发生的事情Crytolocker该公司最初使用垃圾邮件诱使用户下载。拉森说:“后来(作者们)转到地下论坛,花钱请人在已经感染的电脑上安装。”
一个根深蒂固的问题
摆脱不良广告并不容易。一个挑战在于在线广告生态系统本身的结构和运营模式。它包括数百家销售各种服务的公司,包括广告网络、以广告商为中心的供应端平台、以出版商为中心的需求方平台和广告交易平台——即出版商出售广告商可购买的库存的开放市场。
广告网络也可以通过其他网络和附属公司出售多余的库存,这些附属公司反过来可能与其他合作伙伴合作。出版商——甚至广告网络本身——并不总是知道买家是谁。
据在线信托联盟估计,2012年,该行业发布了超过100亿次含有不良广告内容的广告印象。
沙利文说,这是一个不完美的系统,但出版商必须依靠它来销售“剩余”库存——他们自己卖不出去的广告空间。“你要么以更低的价格卖给网络,要么什么都得不到。没有人能对这个问题免疫,”他解释道。在像交易所这样不透明的市场中,广告商不知道他们的广告印象实际上来自哪里。这使得它成为广告欺诈的目标。
使人眩晕的有效载荷通过广告网络以各种方式传播,这就给预防带来了挑战。沙利文说,网络犯罪倾向于使用三种不同的方法。对于恶意软件分销商来说,最简单的方法是通过交换购买广告库存,然后提交一个嵌入恶意软件的广告。
这很难做到今天,因为许多出版商和广告商使用扫描恶意代码的工具,并试图检查到其他网站的引用。“但它可能不会被抓到,如果他们已经隐藏得很好,”他说。
其次,恶意软件发布者可能会使用广告的JavaScript调用另一个站点,并在事件发生后发送恶意代码。或者,最后,广告可能只是指向一个感染了恶意软件的网站。他表示:“它们让人们点击一个广告,把他们带到安装了恶意软件的登陆站点。”
出版商和广告网络可以部署来自安全供应商的工具,例如媒体的信任和DoubleVerify的检查广告是否有不良广告,并扫描相关的广告标签——告诉用户的嵌入代码浏览器检索广告的位置——验证位置。但并不是每个广告网络都使用这些工具,一个不良广告可能会链接到一个附属公司或合作伙伴,然后链接到另一个网站,级联多达四级。
Blue Coat的拉森表示:“如果广告所做的一切只是将流量发送到某个地方,那么你可能会错过攻击发生在第三或第四跳的事实。”很难将其追溯到一家网络广告公司。几乎总是在别的地方。”
在受影响的洛杉矶时报等网站去年秋天的恶意广告的情况下,网络犯罪分子使用了超过275个不同的网站提供的恶意软件,与受影响的主机网站的数量“低数百人。”这些网站收到每天成千上万的点击率,根据拉森。
用户的浏览器是通过四个跳重定向到使用的开发工具包,以检查已知的漏洞一个“偷渡式下载”的网站。“如果你是脆弱的,你会不会对任何事情的任何点击被感染,”拉森说。Blue Coat的研究人员发现了网站作为使用网站正在进行搜索的一部分攻击包,然后跟踪的交通落后于无意中携带的恶意广告的广告网络和发布商的网站,拉森说。
媒体信托的一名发言人表示,该公司也发现了恶意广告攻击,并在这些攻击出现时通知了客户,以便他们能够屏蔽这些攻击。该公司表示,受影响的出版商和广告网络并未使用其软件。
移动设备也可以牺牲品恶意广告是利用社会工程学手段让用户免受恶意软件的应用程序绕过现有的保护措施。这些广告中的移动操作系统的模拟用户界面元素,例如系统信息或弹出窗口,以误导用户采取的具体行动,Botezatu说。
评估问题
致畸问题到底有多大?意见不一,虽然轶事比比皆是,但很难得到有关这个问题范围的确切数字。的网上信任的联盟(OTA),一个声称其使命是在网上建立信任的非营利性宣传组织,估计只有不到1%的在线广告涉及到某种不良广告。
这个数字听起来不多,但每个广告通常是担任了很多次。“恶意广告的单一事件可以等同于几十万的漏洞,”克雷格·Spiezle,OTA执行董事说。在2012年,OTA估计,该行业提供含有恶意广告超过10个十亿的广告展示。
但目前还没有确切的数据,部分原因是要弄清楚哪些恶意软件感染是由不良广告引起的并不容易。虽然很难全面把握这个问题,但Botezatu确信一件事:“这个问题绝对没有减少。”
Blue Coat Systems的一家客户——研究架构师克里斯•拉森(Chris Larsen)将只描述为《财富》(Fortune) 500强公司——最近决定屏蔽其数万名员工的所有广告流量。他说:“他们担心恶意软件从这个载体而来,无法阻止它。”
当然,这个问题已经大到足以引起IAB的全力关注。其中一部分可能是一些被广泛报道的事件的潜在负面影响。雅虎遇袭这样的重大影响,可能对出版商和在线广告行业都产生影响。“雅虎事件,一个每天有数百万人访问的门户网站……将游戏提升到一个全新的高度。
这个问题似乎在手机领域也越来越严重。据研究安全软件供应商RiskIQ称,2011年至2013年,恶意应用的发生率增加了388%,网络犯罪分子使用恶意广告传播这些应用的技术越来越普遍。
上个月Bitdefender拦截的威胁中,约有7%被拦截Android的Botezatu说,包裹是通过移动广告发送的,“谎称这些设备已经感染了病毒”。在这个方案中,弹出一个对话框,它看起来像是由Android操作系统生成的,提示用户采取行动,可能会删除病毒。
但当用户点击弹出窗口采取行动时,系统会提示她更改设置,以便安装第三方应用程序——该第三方应用程序是在受保护的“花园”之外发送的谷歌玩 - 这样的恶意软件的有效载荷可以交付未被发现。由于这些“假冒安全软件”的消息看起来像是由操作系统产生的,他们是非常有效的,Botezatu说。
数字广告行业必须停止无保护措施的性行为。兰德尔·罗森堡,互动广告局总裁
不良广告还会给在线广告行业和依赖于它的网络出版商带来损失,这在其他方面更加难以衡量。“这些威胁正在破坏互动广告生态系统的完整性,”Spiezle说。用户称,他们使用网络广告的原因之一是对网络广告的安全性缺乏信任广告屏蔽软件尽管这类软件的使用消除了所有广告(无论好坏),同时也消除了许多网络出版商的主要收入来源。“屏蔽所有广告和脚本最有可能保护用户的安全,”但会减少网络出版商的收入,Spiezle说。
一个Blue Coat系统客户端,这将拉尔森只形容为财富500强公司,最近决定阻止其雇员数以万计的所有广告流量。他说:“他们担心恶意软件从这个载体而来,无法阻止它。”
要解决这一问题
Larsen说,有一种方法可以彻底禁止JavaScript广告,但这不大可能发生。JavaScript让广告商在内容的创造性方面做更多创新的事情,并有助于分析,Sullivan说。
Spiezle希望看到在线广告审查过程的改变。他表示:“如果我们不这样做,我们将会看到更多的(广告)拦截器的使用,人们会呼吁监管,并可能会因为未能采取措施保护用户免受伤害而提起诉讼。”
“我完全同意,”沙利文说。今天,知道它的附属站点以及监控他们每个人都不断地仍可能出售其多余的库存,不处于同一级别操作次级广告网络管理良好的广告网络。
沙利文说,市场上没有统一的机制来对所有参与者进行评级,也不清楚哪些参与者有良好的实践,哪些没有。例如,一个网络可能使用ad验证技术来增强安全性,而另一个网络可能什么都不使用。这使得IAB总裁Randall Rothenburg最近意见专栏,声明说,“数字广告行业必须停止不安全性行为。”
“如果都在一个值得信赖的供应链网络的操作[相同的标准],也不会出现大规模的问题,我们今天,”沙利文说。“在一个不透明的市场上为那些不遵循最佳实践公司的库存坐在并排侧,做一个公司 - 和他们平等对待。”
IAB的五年计划包括质量保证指南并建立了“良好的交通意图”专案组的,没有完全开发出来,很多细节都还没有出现。
尽管如此,Spiezle说,他还是受到了鼓励,尽管他希望看到IAB向所有受影响的各方开放这个过程。一个有效的解决方案需要包括一个多利益相关者的方法,包括广告社区,广告网络,发布者和安全社区。我们期待着与IAB和其他机构为实现这一目标而合作。”
这篇文章中,不良广告上升促使广告业采取行动,最初发表于Computerworld.com。
罗伯特·米切尔是《计算机世界》的国家通讯员。在Twitter上关注他twitter.com/rmitch,或发电子邮件至rmitchell@computerworld.com。
阅读更多有关隐私的内容在计算机世界的隐私话题中心。
这个故事,“恶意广告的兴起推动广告业行动”最初发表《计算机世界》 。