Fuente: http://www.hispasec.com/unaaldia/2761
Las redes de fraude y crimen organizado tienen un nuevo juguete.
En realidad, más que una novedad, es la última manifestación de
un fenómeno que lleva dándose bastante tiempo, si bien, como era
de esperar, estamos ante nuevas variantes mucho más profesionales,
y con los subsecuentes efectos devastadores sobre las víctimas.
En este caso, las víctima es Google Inc, el gigante de Mountain
View. Este complejo sistema de fraude, sobre el que ya se están
tratando de tomar todas las medidas de contención por parte de
la empresa californiana, se basa en la generación de un sistema
de clicks, que permite a los atacantes maximizar los ingresos que
obtienen a través de sus programas AdSense empleando para ello
clicks fraudulentos, que no emanan del tráfico humano entrante
a la página, sino de botnets controlados a tal efecto.
Es vox populi es que los sistemas de Google son muy efectivos en
la prevención contra el fraude, específicamente el fraude que
millones de usuarios tratan de explotar a diario con el programa
AdSense, consistente en el cobro por clicks recibidos en los
distintos formatos de anuncio que la empresa ofrece. Estos pagos
corren a cuenta de los anunciantes, que establecen cantidades a
pagar por cada click que conduzca a la página escogida a tal efecto,
lo que se conoce en el argot como "landing page" o página de
aterrizaje. Una vez se verifica que el click es legítimo, es decir,
en sintonía con las políticas de los programas legales afectados,
la cuenta del anunciante decrece la cantidad monetaria estipulada,
incrementándose la cuenta del usuario AdSense en una cantidad
inferior, ya que como es obvio, Google retiene para sí un margen
por la prestación del servicio.
Lo último en intentos de aprovechar maliciosamente el programa AdSense
de Google es emplear botnets, redes grandes de ordenadores gobernados
por una unidad central que dictamina las órdenes que deben seguir el
resto de las máquinas. Y es que claro, ¿cómo distingue Google un click
procedente de un usuario de botnet infectado de un click legítimo que
pueda hacer usted mismo en su ordenador? La respuesta es que no hay
una manera garantista al 100%, salvo que el abuso haga saltar las
alarmas en los mecanismos antifraude.
Estos mecanismos antifraude, pese a ser prácticamente desconocidos,
deberían basarse en el comportamiento de un usuario. Descartando los
clicks que emanen de proxies abiertos, los cuales son fácilmente
reconocibles, el reto se centra en generar un sistema de detección
que sea capaz de distinguir, tal y como hemos dicho, un click legítimo
hecho por un usuario interesado y cautivado por un anuncio de un click
ilegítimo provocado intencionalmente por un botnet. Así pues, parece
que las únicas maneras de cazar a estos usuarios maliciosos es
efectuar seguimientos a las cuentas sospechosas y verificar que
las IPs de origen mantengan un comportamiento normal.
Hay algunos parámetros que pueden provocar que una cuenta tenga un
funcionamiento sospechoso. Así pues, una cuenta AdSense que lleve
poco tiempo abierta, en circunstancias normales, debería tener
incrementos de ingresos secuenciales y escalonados, y no abruptos.
Otra manera de detectar actividad sospechosa en IPs no pertenecientes
a proxies y conexiones anónimas es verificar el número de clicks
efectuados desde una IP. Así pues, una IP que realiza muchos clicks,
o bien los realiza en cortos espacios de tiempo o en distintos
segmentos poco relacionados de anunciantes, puede hacer que esa
actividad sea considerada como sospechosa, y por tanto, marcada
como en seguimiento.
El problema de los botnets es que las IPs que provocan los clicks
son IPs reales, como la suya o la mía, que sin que nos demos cuenta,
están haciendo clicks y engrosando la cuenta de resultados de los
atacantes. Si un botnet de 10.000 máquinas distintas, con 10.000 IPs
distintas, realiza en 1 día 10.000 clicks, suponiendo un pago por
click muy bajo, de 3 céntimos de dólar americano, estaríamos hablando
de un ingreso diario de 300 dólares, lo que implica, haciendo una
simple proyección a 30 días, un interesante sobresueldo de 9.000
dólares americanos mensuales, lo que viene a suponer del orden de
7.000 euros. Y no hablamos de un tamaño desproporcionado, el tamaño
estándar de un botnet puede ser cuantificado en 20.000 máquinas, si
bien hay botnets mucho más grandes, con más de 100.000 máquinas al
servicio del usuario malicioso.
El problema de estos fraudes es, como no podía ser de otro modo, la
especialización. Imaginen que el "botnet master" conoce el programa
de AdSense, y mediante el sandbox de keywords, una herramienta de
Google para obtener los precios aproximados por los que pujan los
anunciantes, dirige los ataques a segmentos con alta rentabilidad,
donde pasamos a cantidades mayores. Así pues, a título estrictamente
orientativo, ya que el sandbox indica costes aproximados para los
anunciantes y no ingresos estimados para los usuarios de AdSense,
en el momento de escribir este boletín, palabras clave como "stock
images" se cotizan a 5,18 euros por click. Hay ejemplos más drásticos,
así pues, las combinaciones con la palabra "mesothelioma" pueden
suponer costes del orden de 43 euros por click (combinación
"mesothelioma law firms"). Estas cifras disparatadas corresponden
principalmente a anunciantes que representan servicios de abogacía
para pacientes de mesotelioma, un cáncer asociado a los asbestos y
que por tanto, suele ser empleado para reclamar indemnizaciones
millonarias, y que por tanto, están en continua pugna por lograr
posiciones ventajosas en los anuncios patrocinados. Mezclar la
técnica con la especialización puede hacer que este tipo de fraude
se extienda, no sólo a Google AdSense, sino a otros servicios
publicitarios similares y de uso masivo, como los que dispensa por
ejemplo Yahoo!.
Estos botnets pueden ser utilizados con fines de competencia desleal,
mediante la denegación intencionada, entendiendo la denegación como
provocación de una gran cantidad de clicks fraudulentos contra una
cuenta AdSense determinada, con el fin de que el usuario de dicha
cuenta reciba amonestación por parte del proveedor, amonestación que
podría en el peor de los casos suponer la cancelación de la cuenta.
Este factor hace que, en casos de competencia, que es muy fuerte en
la gran mayoría de los segmentos que optan por los programas de
enlaces patrocinados, empresas rivales puedan usar este tipo de
artimañas sucias para perjudicar las cuentas de sus competidores,
incurriendo en una clara competencia desleal. Nada es descartable.
En lo estrictamente relativo a CLICKBot, el ejemplar de malware
destinado a integrar máquinas en el botnet que ha inspirado este
artículo, comentar que, afortunadamente, su impacto está siendo
testimonial. La localización del espécimen y la rápida inclusión
del patrón en los diversos antivirus, permite que desde la parte
del usuario el impacto se reduzca. En lo referente a Google,
conocen el ejemplar y por tanto, las acciones irán encaminadas a
cancelar las cuentas fraudulentas y reintegrar los importes a los
anunciantes. Este espécimen era reconocido el día 14 de mayo, a las
11 horas UTC, por 7 motores de los 25 que operamos en VirusTotal.com,
cada uno a su manera, heurísticas en algunos casos, firmas en otro,
con previsión de reconocimiento total por todos los motores en breve
espacio de tiempo.
AntiVir 6.34.1.27/20060514 detecta [TR/Drop.Small.ann.1]
CAT-QuickHeal 8.00/20060512 detecta [(Suspicious) - DNAScan]
DrWeb 4.33/20060514 detecta [Adware.IEHelper]
Ewido 3.5/20060513 detecta [Hijacker.BHO.d]
Fortinet 2.76.0.0/20060514 detecta [suspicious]
Kaspersky 4.0.2.24/20060514 detecta [Trojan-Dropper.Win32.Small.ann]
Panda 9.0.0.4/20060513 detecta [Suspicious file]
El único factor mitigante de este tipo de fraudes es que la
participación en programas AdSense requiere que nos identifiquemos a
efectos fiscales con la compañía. Además, los cobros se suelen hacer
principalmente por cheque, de modo que para los atacantes existe una
dificultad, y es la trazabilidad bancaria que deriva de la percepción
de los cobros ya sea vía cheque o transferencia. Además estos cobros
se hacen en períodos mensuales, con lo que los servicios de detección
disponen de al menos de una ventana de 30 días para cazar a los
usuarios fraudulentos.
Sobre la ventana temporal, poco o nada pueden hacer los autores del
fraude, la tendencia natural será siempre el máximo sigilo y procurar
no levantar sospechas durante 30 días. Pero en lo relativo a la
trazabilidad, pensemos en las mulas de phishing, ¿quién dijo que
el atacante es el que deba personarse en ventanilla para cobrar?
Más Información:
Sans Internet Storm Center. CLICKBot
http://isc.sans.org/diary.php?storyid=1334
Programa Google AdSense
https://www.google.com/adsense/?hl=es
An Expose' on Google AdSense Fraud - Protect your PPC account
http://www.sofizar.com/google-adsense-fraud.php
Sergio Hernando
[email protected]____
Hoy se celebra el 
