Botnets como herramientas de fraude en sistemas de pago por click

Botnets

En realidad, más que una novedad, es la última manifestación de un fenómeno que lleva dándose bastante tiempo, si bien, como era de esperar, estamos ante nuevas variantes mucho más profesionales, y con los subsecuentes efectos devastadores sobre las víctimas.

En este caso, las víctima es Google Inc, el gigante de Mountain View. Este complejo sistema de fraude, sobre el que ya se están tratando de tomar todas las medidas de contención por parte de la empresa californiana, se basa en la generación de un sistema de clicks, que permite a los atacantes maximizar los ingresos que obtienen a través de sus programas AdSense empleando para ello clicks fraudulentos, que no emanan del tráfico humano entrante a la página, sino de botnets controlados a tal efecto.

Es vox populi es que los sistemas de Google son muy efectivos en la prevención contra el fraude, específicamente el fraude que millones de usuarios tratan de explotar a diario con el programa AdSense, consistente en el cobro por clicks recibidos en los distintos formatos de anuncio que la empresa ofrece. Estos pagos corren a cuenta de los anunciantes, que establecen cantidades a pagar por cada click que conduzca a la página escogida a tal efecto, lo que se conoce en el argot como “landing page” o página de aterrizaje. Una vez se verifica que el click es legítimo, es decir, en sintonía con las políticas de los programas legales afectados, la cuenta del anunciante decrece la cantidad monetaria estipulada, incrementándose la cuenta del usuario AdSense en una cantidad inferior, ya que como es obvio, Google retiene para sí un margen por la prestación del servicio.

Lo último en intentos de aprovechar maliciosamente el programa AdSense de Google es emplear botnets, redes grandes de ordenadores gobernados por una unidad central que dictamina las órdenes que deben seguir el resto de las máquinas. Y es que claro, ¿cómo distingue Google un click procedente de un usuario de botnet infectado de un click legítimo que pueda hacer usted mismo en su ordenador? La respuesta es que no hay una manera garantista al 100%, salvo que el abuso haga saltar las alarmas en los mecanismos antifraude.

Estos mecanismos antifraude, pese a ser prácticamente desconocidos, deberían basarse en el comportamiento de un usuario. Descartando los clicks que emanen de proxies abiertos, los cuales son fácilmente reconocibles, el reto se centra en generar un sistema de detección que sea capaz de distinguir, tal y como hemos dicho, un click legítimo hecho por un usuario interesado y cautivado por un anuncio de un click ilegítimo provocado intencionalmente por un botnet. Así pues, parece que las únicas maneras de cazar a estos usuarios maliciosos es efectuar seguimientos a las cuentas sospechosas y verificar que las IPs de origen mantengan un comportamiento normal.

Hay algunos parámetros que pueden provocar que una cuenta tenga un funcionamiento sospechoso. Así pues, una cuenta AdSense que lleve poco tiempo abierta, en circunstancias normales, debería tener incrementos de ingresos secuenciales y escalonados, y no abruptos. Otra manera de detectar actividad sospechosa en IPs no pertenecientes a proxies y conexiones anónimas es verificar el número de clicks efectuados desde una IP. Así pues, una IP que realiza muchos clicks, o bien los realiza en cortos espacios de tiempo o en distintos segmentos poco relacionados de anunciantes, puede hacer que esa actividad sea considerada como sospechosa, y por tanto, marcada como en seguimiento.

Problemas

El problema de los botnets es que las IPs que provocan los clicks son IPs reales, como la suya o la mía, que sin que nos demos cuenta, están haciendo clicks y engrosando la cuenta de resultados de los atacantes. Si un botnet de 10.000 máquinas distintas, con 10.000 IPs distintas, realiza en 1 día 10.000 clicks, suponiendo un pago por click muy bajo, de 3 céntimos de dólar americano, estaríamos hablando de un ingreso diario de 300 dólares, lo que implica, haciendo una simple proyección a 30 días, un interesante sobresueldo de 9.000 dólares americanos mensuales, lo que viene a suponer del orden de 7.000 euros. Y no hablamos de un tamaño desproporcionado, el tamaño estándar de un botnet puede ser cuantificado en 20.000 máquinas, si bien hay botnets mucho más grandes, con más de 100.000 máquinas al servicio del usuario malicioso.

El problema de estos fraudes es, como no podía ser de otro modo, la especialización. Imaginen que el “botnet master” conoce el programa de AdSense, y mediante el sandbox de keywords, una herramienta de Google para obtener los precios aproximados por los que pujan los anunciantes, dirige los ataques a segmentos con alta rentabilidad, donde pasamos a cantidades mayores. Así pues, a título estrictamente orientativo, ya que el sandbox indica costes aproximados para los anunciantes y no ingresos estimados para los usuarios de AdSense, en el momento de escribir este boletín, palabras clave como “stock images” se cotizan a 5,18 euros por click. Hay ejemplos más drásticos, así pues, las combinaciones con la palabra “mesothelioma” pueden suponer costes del orden de 43 euros por click (combinación “mesothelioma law firms”). Estas cifras disparatadas corresponden principalmente a anunciantes que representan servicios de abogacía para pacientes de mesotelioma, un cáncer asociado a los asbestos y que por tanto, suele ser empleado para reclamar indemnizaciones millonarias, y que por tanto, están en continua pugna por lograr posiciones ventajosas en los anuncios patrocinados. Mezclar la técnica con la especialización puede hacer que este tipo de fraude se extienda, no sólo a Google AdSense, sino a otros servicios publicitarios similares y de uso masivo, como los que dispensa por ejemplo Yahoo!.

Estos botnets pueden ser utilizados con fines de competencia desleal, mediante la denegación intencionada, entendiendo la denegación como provocación de una gran cantidad de clicks fraudulentos contra una cuenta AdSense determinada, con el fin de que el usuario de dicha cuenta reciba amonestación por parte del proveedor, amonestación que podría en el peor de los casos suponer la cancelación de la cuenta.

Este factor hace que, en casos de competencia, que es muy fuerte en la gran mayoría de los segmentos que optan por los programas de enlaces patrocinados, empresas rivales puedan usar este tipo de artimañas sucias para perjudicar las cuentas de sus competidores, incurriendo en una clara competencia desleal. Nada es descartable.

En lo estrictamente relativo a CLICKBot, el ejemplar de malware destinado a integrar máquinas en el botnet que ha inspirado este artículo, comentar que, afortunadamente, su impacto está siendo testimonial. La localización del espécimen y la rápida inclusión del patrón en los diversos antivirus, permite que desde la parte del usuario el impacto se reduzca. En lo referente a Google, conocen el ejemplar y por tanto, las acciones irán encaminadas a cancelar las cuentas fraudulentas y reintegrar los importes a los anunciantes. Este espécimen era reconocido el día 14 de mayo, a las 11 horas UTC, por 7 motores de los 25 que operamos en VirusTotal.com, cada uno a su manera, heurísticas en algunos casos, firmas en otro, con previsión de reconocimiento total por todos los motores en breve espacio de tiempo.

AntiVir 6.34.1.27/20060514 detecta [TR/Drop.Small.ann.1]

CAT-QuickHeal 8.00/20060512 detecta [(Suspicious) – DNAScan]

DrWeb 4.33/20060514 detecta [Adware.IEHelper]

Ewido 3.5/20060513 detecta [Hijacker.BHO.d]

Fortinet 2.76.0.0/20060514 detecta [suspicious]

Kaspersky 4.0.2.24/20060514 detecta [Trojan-Dropper.Win32.Small.ann]

Panda 9.0.0.4/20060513 detecta [Suspicious file]

El único factor mitigante de este tipo de fraudes es que la participación en programas AdSense requiere que nos identifiquemos a efectos fiscales con la compañía. Además, los cobros se suelen hacer principalmente por cheque, de modo que para los atacantes existe una dificultad, y es la trazabilidad bancaria que deriva de la percepción de los cobros ya sea vía cheque o transferencia. Además estos cobros se hacen en períodos mensuales, con lo que los servicios de detección disponen de al menos de una ventana de 30 días para cazar a los usuarios fraudulentos.

Sobre la ventana temporal, poco o nada pueden hacer los autores del fraude, la tendencia natural será siempre el máximo sigilo y procurar no levantar sospechas durante 30 días. Pero en lo relativo a la trazabilidad, pensemos en las mulas de phishing, ¿quién dijo que el atacante es el que deba personarse en ventanilla para cobrar?