1. Dismiss Notice
  2. Dismiss Notice

Ликвидирована масштабная мошенническая схема 3ve, принесшая десятки миллионов своим операторам

Discussion in 'Новости SEO' started by LightWood, Dec 3, 2018.

  1. LightWood

    LightWood Moderator

    Joined:
    Nov 4, 2010
    Messages:
    2,160
    Likes Received:
    747
    ФБР, Google и еще 20 технологических компаний объединили усилия для ликвидации огромной киберкриминальной сети, занимавшейся рекламным мошенничеством. Помимо масштабной совместной операции по прекращению деятельности ботнетов, связанных с этой криминальной схемой, Минюст США сообщает, что обвинения были выдвинуты против восьми подозреваемых, трое из которых уже арестованы и ожидают экстрадиции в США.

    Правоохранители, представители Google и ИБ-компании White Ops рассказывают, что восемь подозреваемых являются ключевыми операторами в мошеннической рекламной схеме, которую ИБ-специалисты и представители рекламных сетей «распутывали» начиная с прошлого года. Вредоносной кампании дали кодовое название 3ve. Она была активна как минимум с 2014 года.


    За прошедшие годы операторы 3ve использовали несколько разных схем для генерации просмотров рекламы и кликов. Они арендовали ботнеты у других преступных групп; создавали собственные ботнеты, размещая их в коммерческих дата-центрах; использовали прокси, чтобы скрывать реальные IP-адреса; даже создавали собственные сайты, на которых показывалась реклама, чтобы боты точно могли просмотреть ее и скликать. На иллюстрации ниже видно, что исходя из этих наблюдений, специалисты разделили операции 3ve на три подгруппы.

    [​IMG]

    Первыми подозрительную активность заметили эксперты Google, а потом обнаружилось, что деятельность 3ve уже пытаются изучать и другие специалисты. Тогда Google создала единую рабочую группу, в которую, не считая правоохранительных органов, вошли представители Microsoft, ESET, Symantec, Proofpoint, Trend Micro, F-Secure, Malwarebytes, CenturyLink, MediaMath, White Ops, Amazon, Adobe, Trade Desk, Oath, The Shadowserver Foundation, а также National Cyber-Forensics and Training Alliance.

    3VE.1 (MethBot, Miuref или Boaxxe)
    [​IMG]

    Первая схема получила идентификатор 3ve.1, но ранее она была известна экспертам под другими названиями. Так, первыми мошенничество обнаружили специалисты WhiteOps и присвоили кампании имя MethBot. Также эту кампанию отслеживали исследователи Symantec и ESET, под именами Miuref и Boaxxe, соответственно. Нужно сказать, что тогда аналитикам не было известно о том, что это лишь малая часть более масштабной операции.

    3ve.1 строилась на ботах, действовавших из нескольких дата-центров в Европе и США. Боты представляли собой простые скрипты, открывавшие тысячи браузеров и просматривавшие с их помощью целевые сайты. Для маскировки боты использовали прокси и прятали реальные IP-адреса своих серверов. Боты имитировали поведение живых пользователей мобильных и стационарных устройств и иногда даже кликали на рекламу.

    В рамках этой схемы мошенники поддерживали работу фальшивые рекламных сетей и получали деньги от других рекламных сетей и рекламодателей, когда объявления показывались на настоящих сайтах. По данным ФБР, операторы 3ve задействовали более 1900 серверов в коммерческих дата-центрах, и боты группы загружали один из 5000 поддельных сайтов, где показывались объявления.

    На кампанию обратили внимание после того, как группа начала заниматься махинациями с BGP и блоками IP-адресов, то есть временно присваивала своим серверам в дата-центрах и своим прокси корпоративные и «потребительские» IP, чтобы замаскировать мошенническую активность.

    3VE.2 (Kovter)
    [​IMG]

    Когда рекламные сети стали заносить в черные списки адреса, связанные со схемой 3ve.1, операторы 3ve изменили тактику и стали арендовать пространство на зараженных машинах у операторов ботнета Kovter.

    Исследователи обнаружили кастомных ботов 3ve на 700 000 устройств, зараженных малварью Kovter. Эти боты открывали скрытые окна браузеров и загружали сайты, задействованные в операциях 3ve, генерируя прибыли так же, как и в схеме 3ve.1.

    3VE.3
    [​IMG]

    Третья схема группы практически идентична первой, есть всего два основных отличия. Во-первых, преступники использовали меньшее количество ботов в дата-центрах. Во-вторых, операторы 3ve стали арендовать мощности других дата-центров для поднятия прокси и перестали пытаться мошенничать с IP-адресами.

    Специалисты Google отмечают, что данную схему было проще обнаружить, однако она позволяла операторам 3ve сделать рекламный фрод более эффективным.

    Операторы 3ve
    По данным Министерства юстиции США, за деятельностью 3ve стояли шесть граждан России и еще двое граждан Казахстана: Александр Жуков (38 лет, РФ), Борис Тимохин (39 лет, РФ), Михаил Андреев (34 года, РФ), Денис Андреев (40 лет, РФ), Дмитрий Новиков (??, РФ), Александр Исаев (31 год, РФ), Сергей Овсянников (30 лет, Казахстан) и Евгений Тимченко (30 лет, Казахстан).

    Ранее в этом месяце в Болгарии был арестован Александр Жуков. Евгений Тимченко был задержан в Эстонии, а Сергей Овсянников арестован в Малайзии в октябре 2018 года. Остальные подозреваемые пока находятся на свободе, но на власти США уже получили международные ордеры на их арест.

    Кроме того, под контроль ФБР перешли 31 домен и 89 серверов, входивших в инфраструктуру 3ve.

    По информации Google, после того, как инфраструктура 3ve была занесена в черные списки и против нее применили синкхоллинг (sinkholing), в области рекламного мошенничества наступило настоящее затишье.

    [​IMG]

    На пике активности 3ve ежедневно генерировала около 3 млрд мошеннических запросов по ставкам на рекламных биржах; использовала более 60 000 аккаунтов для продажи мошеннических рекламных инвентарей; управляла 10 000 фальшивых сайтов, существующих лишь для показа рекламы; имела более 1000 серверов в дата-центрах и контролировала свыше 1 000 000 IP-адресов, необходимых для сокрытия ботов.

    Хотя правоохранительные органы не называют точных доходов группы, эксперты Google полагают, что речь идет о десятках миллионах долларов. Предполагается, что операторы 3ve заработали не менее 30 000 000 долларов США.

    [​IMG]



    Источник: xakep.ru
     
    Buch and Dr.Pipetka like this.
  2. Lord_Alfred

    Lord_Alfred Client

    Joined:
    Oct 9, 2015
    Messages:
    2,485
    Likes Received:
    2,027
  3. evgen_po

    evgen_po Client

    Joined:
    Aug 27, 2013
    Messages:
    766
    Likes Received:
    405
    Почему?
     
  4. Dimazzan

    Dimazzan Client

    Joined:
    Nov 5, 2014
    Messages:
    279
    Likes Received:
    98
    Состоял в банде
     
  5. one

    one Client

    Joined:
    Sep 22, 2015
    Messages:
    4,635
    Likes Received:
    771
    Почему?
     
  6. Segio

    Segio Client

    Joined:
    Jun 13, 2015
    Messages:
    60
    Likes Received:
    6
    Потому что сейчас начнут прикручивать софт, который нам будет закручивать гайки.
     
  7. Lord_Alfred

    Lord_Alfred Client

    Joined:
    Oct 9, 2015
    Messages:
    2,485
    Likes Received:
    2,027
    Потому что за банальный склик объяв чуваков сейчас посадят в тюрячку. Не забанят акки, не выплатят деньги, как обычно и бывало с такими умниками, а именно посадят.
     
  8. panacea

    panacea Client

    Joined:
    Apr 27, 2015
    Messages:
    87
    Likes Received:
    18
    Я бы не назвал это банальным скликом. К тому же действовали группой лиц. И как я понял использовали чужие зараженные компы.

     
    orka13 likes this.
  9. Dr.Pipetka

    Dr.Pipetka Client

    Joined:
    Dec 12, 2017
    Messages:
    143
    Likes Received:
    88
    Не, ну тут как подумать... По сути это мошенничество\воровство. Причем в особо крупных маштабах.
    Я нивкоем случае не говорю что так и должы поступить, но когда нарушаешь правила\закон - будь готов ответить.
     
  10. Lord_Alfred

    Lord_Alfred Client

    Joined:
    Oct 9, 2015
    Messages:
    2,485
    Likes Received:
    2,027
    Так в том и дело, что тут пол форума занимается спамом/дорами/скликом и прочими не особо весёлыми вещами.
     
  11. barkasian

    barkasian Client

    Joined:
    Dec 3, 2014
    Messages:
    120
    Likes Received:
    106
    Это был 2018 год,.. мы зарабатывали как могли... 8-)
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)