Kradzione kliknięcia pilnie sprzedam

Podział ruchu umożliwia także przedłużenie życia botnetu i zapewnia większą niezawodność świadczonej "usługi". Ofiary ataku cyberprzestępców szybko orientują się, że coś jest nie tak, gdy są niespodziewanie przekierowywane na inne witryny i zazwyczaj podejmują działania, mające na celu oczyszczenie komputera ze złośliwego oprogramowania.

Rik Ferguson mówi: "Średnia długość życia komputerów-zombie w botnecie jest stosunkowo niska i oscyluje pomiędzy 6 a 12 dniami. Przestępcy muszą infekować nowe systemy, dziesiątki tysięcy każdego dnia, by utrzymać rozmiar bonetu. W tym roku takich infekcji zarejestrowano ponad 2 mln, szacuje się, że do końca roku zarażonych będzie ok. 4 mln komputerów".

Infekcja DNS przedłuża życie botnetu

Złośliwe oprogramowanie przekierowujące ze strony przeglądarki zostało zaopatrzone w dodatkowy moduł, który modyfikuje klienta DNS, by korzystał on z obcych serwerów. Adresy te, zapisane na stałe w kodzie, są zmieniane codziennie, razem z nową próbką złośliwego kodu używanego do infekcji komputerów. Kiedy element przekierowujący adresy przeglądarki zostaje usunięty z zainfekowanego komputera, przełącznik DNS może wciąż znajdować się w systemie, umożliwiając użycie komputera-zombie w celu przechwycenia ruchu w sieci przy wykorzystaniu trików DNS. Zostaje w ten sposób znacznie wydłużona długość życia komputerów włączonych w botnet.

Podstawić inne reklamy

W przyszłości złośliwe oprogramowanie przekierowujące ze strony przeglądarki stanie się nowocześniejsze i odporniejsze. Zaawansowane sztuczki, takie jak zastępowanie wiarygodnych reklam fałszywymi, spotyka się już dziś. Przełącznik DNS umożliwia podstawienie reklam z dowolnej sieci, kradnąc kliknięcia. Przykładem zamiany może być podstawienie przez wykryte złośliwe oprogramowanie reklam Clicksor zamiast tych emitowanych przez DoubleClick. Jest to forma ostrożnego wyłudzania kliknięć, którą trudno wykryć ze strony DoubleClick.

Liczy się skala

W życiu codziennym zarobek rzędu kilku dolarów dziennie na pojedynczej ofierze rzadko jest uznawany za dostateczne źródło nielegalnych dochodów. Tymczasem w cyberświecie, gdzie można działać na dość dużą skalę, nieosiągalną dla przestępców w rzeczywistym świecie, zbieranie pojedynczych niedużych przychodów przekłada się na konkretne zyski. Botnet badany przez firmę Trend Micro składa się zaledwie ze 150 tysięcy przejętych komputerów, czyli nie należy do największych takich sieci. Jednak komasowanie pojedynczych kliknięć przynosi corocznie zyski rzędu milionów dolarów. Przykładowy dzienny raport przychodów przedstawiony jest w tabeli obok, za około milion przejętych kliknięć właściciel botnetu inkasuje niecałe 13 tysięcy USD. Jest to dość dochodowy podziemny biznes i jest obarczony znacznie niższym ryzykiem niż kradzież danych do autoryzacji kart płatniczych. W odróżnieniu od nadużyć związanych z kartami kredytowymi, modyfikacja linków w przeglądarce nie wiąże się z bezpośrednią kradzieżą środków z rachunku bankowego lub karty, zatem nie jest klasyfikowane jako niebezpieczne przestępstwo przeciw prawu w wielu krajach.


TOP 200