向邪惡宣戰(zhàn):透視谷歌反欺詐團隊

責(zé)任編輯:editor004

作者:長歌

2015-05-24 20:20:05

摘自:騰訊科技

本月出版的《廣告時代》雜志刊登封面文章,詳細介紹了高度機密的谷歌反廣告欺詐團隊,以及他們?yōu)榇驌暨@股互聯(lián)網(wǎng)上的陰暗勢力而采取的種種舉措。當(dāng)谷歌的反欺詐團隊完成了對某個僵尸網(wǎng)絡(luò)代碼的反向工程后,便可繪制出該僵尸網(wǎng)絡(luò)行為模式的藍圖。

向邪惡宣戰(zhàn):透視谷歌反欺詐團隊

本月出版的《廣告時代》雜志刊登封面文章,詳細介紹了高度機密的谷歌反廣告欺詐團隊,以及他們?yōu)榇驌暨@股互聯(lián)網(wǎng)上的陰暗勢力而采取的種種舉措。

以下為文章主要內(nèi)容:

在倫敦的圣吉爾斯大街上,一位名叫薩沙(Sasha)的俄羅斯工程師啟動了一臺電腦,開始給我下達指令。

“第一步,先訪問個網(wǎng)站。”他下令道,“AdAge.com怎么樣?”隨著頁面在瀏覽器中加載完畢,一連串代碼從左邊的另外一個窗口中跳出。幾秒鐘后,薩沙向我解釋了剛剛發(fā)生的事情。“跟我們團隊打交道時,你可不能我們讓你上哪網(wǎng)站你就照做。”他說。那臺全新的電腦已經(jīng)被感染。“你加入了一個僵尸網(wǎng)絡(luò)。”

事實上,被黑的是我的上網(wǎng)線路,不是AdAge.com。無論訪問哪個網(wǎng)站,電腦都會被感染。不過,薩沙似乎很享受我的這種無助,他的工作才剛剛開始。

薩沙是谷歌反欺詐秘密團隊的成員,該團隊總共有100多人,他們每天的工作就是與不計其數(shù)的網(wǎng)絡(luò)犯罪分子對抗,防止他們從數(shù)字廣告行業(yè)竊取數(shù)十億美元的巨額利潤——這主要源自偽裝成人類的機器人流量。就連很多谷歌內(nèi)部人士對這個部門也不甚了解,他們更是從未對外界透露過自己追捕僵尸網(wǎng)絡(luò)的方式,更不用說讓外人進入辦公室觀察整個流程了。然而,當(dāng)莎拉打開電腦的那一刻,他們終于打破了沉默。

對于或大或小的互聯(lián)網(wǎng)企業(yè)來說,數(shù)字廣告欺詐都是一個嚴重問題,而且還在不斷惡化。隨著廣告預(yù)算從電視和印刷媒體轉(zhuǎn)向數(shù)字媒體,整個流程也越來越自動化,這也為互聯(lián)網(wǎng)上的陰暗勢力創(chuàng)造了一片沃土。

根據(jù)反欺詐公司W(wǎng)hiteOps和美國廣告主協(xié)會的一項研究,2015年因為廣告欺詐造成的損失高達63億美元。而身為全球最大廣告科技公司的谷歌,由于每天要處理海量的廣告交易,而且提供了自動化購買平臺和廣告交易市場,自然首當(dāng)其沖。倘若廣告主認為谷歌的業(yè)務(wù)中充滿了欺詐流量,肯定會將預(yù)算投向別處,谷歌的前景必將受到威脅。

廣告技術(shù)公司Ghostery的主要業(yè)務(wù)是在互聯(lián)網(wǎng)上監(jiān)控廣告標簽,他們曾經(jīng)對谷歌在廣告技術(shù)行業(yè)的主導(dǎo)地位進行過深入分析。該公司的最新測算來自2013年9月,數(shù)據(jù)顯示,谷歌當(dāng)月的廣告展示總量高達3160億次,而排名第二的OpenX僅為844億次。如此大的領(lǐng)先優(yōu)勢表明谷歌必然深受廣告欺詐之苦,也為該公司賦予了更強的動力,必須全力應(yīng)對這一問題。在此之前,該公司始終沒有公開他們?yōu)閷箯V告欺詐采取的行動,但如果繼續(xù)保持沉默,就難以推動整個行業(yè)取得真正的進展,這也是他們接受《廣告時代》專訪的主要原因。

“分享我們的觀點和立場以及投資水平,是為了給其他業(yè)內(nèi)企業(yè)提供幫助。”谷歌視頻和顯示廣告產(chǎn)品副總裁尼爾·莫漢(Neal Mohan)說。

谷歌的這項決定促成了我今年春天的這次跨洋之旅,在此期間,我與薩沙和他的同事們展開了深入交流,他們也對我敞開心扉,向我展示了當(dāng)今互聯(lián)網(wǎng)行業(yè)最重要、最機密的部門之一。盡管幾乎所有內(nèi)容都被記錄下來,但出于安全考慮,薩沙和他在谷歌的同事還是執(zhí)意要求只使用他們的名字,不能提及姓氏。“因為這都是有組織犯罪,所以對公開打擊此事的人恐怕不利。”一位團隊成員如是說。

感染過程

當(dāng)薩沙坐在兩臺顯示器前時工作時,陽光透過巨大的玻璃窗灑進辦公室,讓他得以一覽南倫敦的美景。6名反欺詐團隊成員分散在房間的不同角落——整個房間只有一扇門通向外面。

莎拉的口音很重,說話時總是帶著戲謔的口吻,他開始仔細查看AdAge.com的網(wǎng)站代碼(再次聲明,這個問題僅限于上網(wǎng)連接被黑客入侵的那一臺電腦),最后發(fā)現(xiàn)了幾行所謂的“漏洞”——它的本質(zhì)是黑客用來解鎖電腦的一把鑰匙。一旦用漏洞打開了一臺電腦的大門,黑客便可在這臺電腦上安裝惡意程序,從而完全控制電腦。對于廣告欺詐分子而言,這種控制權(quán)的價值堪比黃金。通過這種渠道,他們就可以在隱藏的窗口中瀏覽網(wǎng)絡(luò),而電腦的主人則對此一無所知。

通過個人電腦來部署是這類廣告欺詐最顯著的特征。他們將這些遭到入侵的PC稱作“工蜂”,并利用這些電腦組成僵尸網(wǎng)絡(luò),操縱它們步調(diào)一致地瀏覽各種網(wǎng)頁,像吸血鬼一樣消耗著廣告主的大量資金。由于是通過PC開展不法活動的,因此僵尸網(wǎng)絡(luò)運營者很難被發(fā)現(xiàn)。他們會使用變化多端的IP地址和地理位置,還會隱藏其通過互聯(lián)網(wǎng)發(fā)送的流量。

“漏洞”可以經(jīng)由多種途徑進入電腦,包括WiFi網(wǎng)絡(luò)、包含這種代碼的廣告(惡意廣告)、被劫持的家用路由器、垃圾郵件和被感染的網(wǎng)站。(谷歌團隊通過一個損壞的連接將漏洞植入了我面前那臺電腦的AdAge網(wǎng)站副本。)當(dāng)你遭遇這種情況時,漏洞便可解在毫無跡象的情況下解鎖你的電腦,之后,罪惡便會慢慢展開。“普通用戶不會注意到異常情況。”薩沙解釋說。他們甚至不必點擊任何東西就會被感染。

盡管薩沙堅稱我使用的電腦被感染,但在他打開一個名叫WinLister的程序之前,根本無法判斷這一情況——該程序可以讓用戶進一步了解一臺PC打開的隱藏窗口。通過該軟件,他發(fā)現(xiàn)了一組已經(jīng)最大化的IE窗口,這些窗口都被隱藏起來,而且都標記為“消息”。當(dāng)薩沙讓這些窗口現(xiàn)出原形后,屏幕上顯示出一個在頁面上瘋狂移動和點擊的鼠標箭頭。桑薩沙的手離開鼠標后,那個箭頭依然沒有停止。

這樣一次令人意外的“現(xiàn)形”引發(fā)了團隊的一陣哄笑,但他們卻并不準備向外人解釋這種令外人目瞪口呆的事情。

發(fā)展歷程

對于欺詐分子來說,通過感染電腦來賺錢是個非常簡單的過程。只需要兩個基本步驟即可完成:通過一系列中間人把僵尸流量賣給網(wǎng)站的站長——盡管站長需要為此付出一些成本,但顯然物有所值;他們也可以自建網(wǎng)站,然后向該網(wǎng)站輸送流量,并出售自己的廣告。

這種通過僵尸網(wǎng)絡(luò)賺錢的方式或許很直接,但要探測出來卻并非易事。雖然了解背后的原理并不困難,但要真正判斷一次廣告點擊究竟來自人類還是電腦程序,卻絕非易事。

當(dāng)薩沙查看那段僵尸腳本時,谷歌僵尸網(wǎng)絡(luò)追捕業(yè)務(wù)負責(zé)人道格拉斯·德雅格(Douglas deJager)就坐在房間的后面,專心地觀察整個過程。德雅格是個自信滿滿、心直口快的南非人,他去年早些時候?qū)⒆约旱姆雌墼p公司Spider.io賣給了谷歌,但并未披露具體金額。盡管坐在顯示屏前的是他的手下,但毫無疑問,真正發(fā)號施令的還是他本人。

德雅格很早就發(fā)現(xiàn)了互聯(lián)網(wǎng)的這個陰暗角落。“我們曾經(jīng)是壞人中的一員。”他開玩笑說。雖然這只是玩笑,但實際上,他的確可以當(dāng)壞人。他的第一家公司BytePlay開發(fā)的抄襲軟件可以模擬人類的行為方式,他們團隊很快意識到這種模式被不法之徒掌握之后可能產(chǎn)生的破壞。在賣掉了BytePlay后,德雅格決定創(chuàng)辦Spider.io,專門對抗這些不法之徒。“我要阻止任何人使用我曾經(jīng)使用的那些技術(shù)來做壞事。”他說。

Spider.ior被谷歌收購時只有9個人,他們借助那筆交易獲得了谷歌的龐大計算能力,大幅加快了業(yè)務(wù)流程。“以前,我們通常需要花費一天的時間才能針對具體的一部分流量制作出報告,但現(xiàn)在可以實時制作報告。”德雅格解釋說。但他們也面臨一些新的局限。Spider.io必須繞開谷歌銷售團隊,避免發(fā)生利益沖突。——倘若某個廣告位從谷歌的系統(tǒng)中移除,銷售團隊便會立刻遭受損失。相反,廣告賣得越多,他們的收入就越高。

Spider.io與谷歌整合得似乎很好。當(dāng)他們一起前往倫敦的Craft BeerCo酒館時,新老團隊成員之間的密切程度立刻顯露無疑。閑聊了好幾個小時后,一行人又一起吃了晚餐。一位幫助谷歌收購Spider.io的谷歌高級員工表示,他為自己當(dāng)初的決定感到高興。

自從德雅格“棄暗投明”后,那幫壞分子的技術(shù)也大幅提高。他表示,惡意軟件的主要用途原本是銀行欺詐,但兩步驗證措施(例如,除了輸入密碼外,還需要輸入通過手機短信接收的驗證碼才能登錄銀行帳號)大幅壓低了他們的盈利能力。于是,黑客開始轉(zhuǎn)向信用卡欺詐,但這一領(lǐng)域的安全性也已經(jīng)大幅提高——盡管只要花幾美元就能買到數(shù)千條活躍信用卡記錄,但這些信息幾乎毫無用處。

接下來就是比特幣挖礦,黑客們通過入侵他人電腦來獲取這種加密貨幣。但這種業(yè)務(wù)的利潤率同樣大不如前,正因如此,廣告欺詐才成了當(dāng)今網(wǎng)絡(luò)犯罪領(lǐng)域最賺錢的業(yè)務(wù)。“如今,惡意軟件的主要用途已經(jīng)變成廣告欺詐。”德雅格說。然而,令廣告行業(yè)提心吊膽的事情才剛剛開始。

對抗欺詐

第一次親眼見到惡意軟件代碼會令人頗感不安。這種加密程序就像一組難以破譯的天書。剛加入團隊的塞巴斯蒂安(Sebastian)坐在我的身旁,從屏幕上選出了一段代碼,向我解釋那晦澀難懂的含義。其中一行寫著“1568 C8 58 00 10 57 8B”,代表了這個僵尸網(wǎng)絡(luò)的DNA。

代碼是僵尸網(wǎng)絡(luò)的引擎,指揮著受感染的電腦瀏覽網(wǎng)絡(luò):它告訴它們應(yīng)該訪問哪家網(wǎng)站,在上面停留多長時間,進行哪些活動,諸如此類。谷歌的反欺詐團隊通過一些來源獲得了這些源代碼,其中包括其2012年收購的惡意軟件掃描公司VirusTotal。他們之后必須通過反向工程破解每個僵尸網(wǎng)絡(luò)的屬性。

破解代碼是整個流程中最為關(guān)鍵的一步,反欺詐團隊可以借此獲得僵尸網(wǎng)絡(luò)的“指紋信息”。“一旦我們了解了它的運作模式,就可以通過某些特征判斷某個網(wǎng)站的某位訪客是否感染了這種惡意軟件。”該團隊產(chǎn)品經(jīng)理維嘉德·約翰森(VegardJohnsen)說。

在我們面前的電腦屏幕上現(xiàn)出原形的僵尸網(wǎng)絡(luò)包含了150個“動作”,每個動作都是為了模仿人類訪問網(wǎng)頁時的行為。例如,該程序會下令受感染的電腦創(chuàng)建一個隱藏的IE窗口,然后將窗口全屏,關(guān)閉聲音,將流量瞄準瀏覽記錄可以匹配“LibertyInsurance”等關(guān)鍵詞的用戶,然后隨機移動鼠標,而且只有20%的時候會真正做出點擊動作。事實上,這個包含了150個動作的程序相對比較簡單,有些僵尸網(wǎng)絡(luò)甚至?xí)?000多個動作。

代碼內(nèi)容非常詳細,當(dāng)你對它進行研究時,甚至可以感受到代碼編寫者的所思所想。“你知道有人坐在那里,選擇了這些動作,然后寫下了這段代碼。”約翰森說,“我們都很清楚,隱藏在暗處的這些對手賺了很多錢。”

當(dāng)他們查看僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)論壇時,還將更加全面地了解欺詐分子的全貌。谷歌的團隊始終在監(jiān)視這些論壇,關(guān)注著他們買賣受感染的電腦和流量的過程。在我造訪的過程中,該團隊向我展示了一篇中間人的帖子,里面甚至包含了一句“欺詐者勿擾”的警告。當(dāng)然,這位中間人所謂的“欺詐者”指的是欺騙他的人,而不是廣告欺詐分子——后者正是他想要的。

這個黑市也有它自己的一套規(guī)則,不僅建立了信用系統(tǒng),甚至還有第三方托管服務(wù)來保證資金安全。“這至少表明,整個欺詐利益鏈都付出了很多努力。”約翰森說。

但欺詐分子并非刀槍不入。與他們開發(fā)的僵尸網(wǎng)絡(luò)不同,他們也是人,是人就會犯錯。這些錯誤有時看起來微不足道,但谷歌卻可以借此判斷他們的身份。

隱秘“信號”

長時間討論廣告欺詐問題必然少不了咖啡,谷歌著名的小廚房這時就可以派上用場。每當(dāng)研究完一部分代碼后(有時候會持續(xù)近2小時),整個團隊就會涌到咖啡機旁,借機攝入一些咖啡因,暫時忘掉屏幕上那令人眼花繚亂的像素和數(shù)字。對于如此復(fù)雜的技術(shù)工作而言,這種放松方式十分必要。

當(dāng)谷歌的反欺詐團隊完成了對某個僵尸網(wǎng)絡(luò)代碼的反向工程后,便可繪制出該僵尸網(wǎng)絡(luò)行為模式的藍圖。得益于谷歌的龐大規(guī)模,這個藍圖會與谷歌的龐大廣告點擊和展示數(shù)據(jù)進行比對,尋找與之匹配的流量。

在此過程中,谷歌團隊不僅希望在流量中匹配僵尸網(wǎng)絡(luò)的特點,還希望匹配他們所謂的“信號”。特征很直接,包含了各種流量行為,包括點擊率、轉(zhuǎn)化率、使用的瀏覽器甚至點擊行為在頁面上發(fā)生的位置。谷歌反欺詐團隊向我展示了一個名叫z00clicker的僵尸網(wǎng)絡(luò),它會指揮自己的“工蜂”在頁面上隨機選取兩個點,然后沿著兩點之間的直線移動,在經(jīng)過可以點擊的地方時便會觸發(fā)點擊行為。之后,該僵尸網(wǎng)絡(luò)便會留下一個類似于簽名的獨特點擊形態(tài)。如果將z00clicker觸發(fā)的廣告點擊繪制成一張地圖,會發(fā)現(xiàn)四周的點擊密度很高,中間位置很低。

特征的確很有幫助,但當(dāng)谷歌將某些流量標記為非人類流量,并拒絕向站長支付相應(yīng)的廣告費時(他們也不會向廣告主收取費用),還需要出示一些更具說服力的證據(jù)。這時,“信號”就會發(fā)揮至關(guān)重要的作用。

所謂“信號”,指的是一種在正常情況下不會出現(xiàn)的行為,但卻在廣告欺詐分子編寫僵尸程序的過程中無意間創(chuàng)造出來。德雅格表示,他們的工作就是找出這些微不足道的“信號”,確定這些流量的確來自于被感染的電腦。

谷歌的反欺詐團隊處理這些信號時顯得格外小心,因為很多信號仍在使用,一旦走漏風(fēng)聲,就引起被欺詐分子的警覺。德雅格在我剛剛造訪時說過:“我們做的很多事情都是如履薄冰。”這便是其中的一件。

但他們還是給我舉了幾個例子,向我展示了一些ZeroAccess的獨特信號——在微軟的協(xié)助下,那個僵尸網(wǎng)絡(luò)已于2013年被搗毀,但后來卻自己復(fù)活了。例如:在正常情況下,重置瀏覽器cookie會在其cookie域中產(chǎn)生一個“0”,但出于種種原因,ZeroAccess卻會在那里插入一個空白字符。該僵尸網(wǎng)絡(luò)會在每次瀏覽會話前重置cookie,所以會定期出現(xiàn)這樣的空格。這個信號足以判斷流量是由ZeroAccess產(chǎn)生的,但谷歌通常會利用多個信號同時證明某個流量是否來自僵尸網(wǎng)絡(luò)。

向邪惡宣戰(zhàn):透視谷歌反欺詐團隊

獨門武器

與邪惡勢力斗爭的正義化身必然擁有標志性的武器。例如,蝙蝠俠有蝙蝠車,佛羅多有魔戒,絕地武士有光劍。而谷歌團隊的標志性武器則是“Powerdrill”。

Powerdrill是一套強大的計算系統(tǒng),它能在5秒鐘內(nèi)處理5000億單元的數(shù)據(jù)——總之就是速度極快。它可以將這些數(shù)據(jù)制作成圖表和其他圖形化元素,方便技術(shù)人員尋找僵尸流量的不法行為。

在給我演示該工具中的一個會話時,德雅格直接標記了“龍來了”的標簽。另外一位名叫菲爾(Phil)的團隊成員打開了Powerdrill的顯示屏,向我展示了大批來自4個IP地址和1個網(wǎng)絡(luò)服務(wù)器的流量。這些流量顯然都服務(wù)于同一個實體,它們在短短10天內(nèi)就在一個谷歌網(wǎng)絡(luò)中產(chǎn)生了1億次廣告點擊。“這是真實的流量。”菲爾解釋道,“這是3天前的使用數(shù)據(jù)。”

這些流量十分龐大,有可能徹底破壞過去10天不計其數(shù)的廣告數(shù)據(jù),而且至今仍在運行。“這有可能人為虛增廣告點擊率。”菲爾指出。

但令人為難的是,這些流量并非來自僵尸網(wǎng)絡(luò)。“這其實來自一家廣告驗證公司。”菲爾拒絕透露該公司的名字,但他表示,該公司會通過互聯(lián)網(wǎng)搜集盡可能多的樣本,甚至?xí)嶋H點擊廣告,了解這些廣告的最終著陸頁。盡管該驗證服務(wù)完全可以在瀏覽器中給自己貼上“非人類”的標簽,但他們卻沒有這么做,導(dǎo)致很多尚未識別其身份的廣告科技公司,都將該公司的流量視作人類用戶產(chǎn)生的自然流量。

與其他公司分享這類數(shù)據(jù)對打擊整個行業(yè)的欺詐問題大有幫助,谷歌似乎也準備這樣做。德雅格表示,他的團隊即將首次公布詳細的惡意流量信息,不僅包括其發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)數(shù)據(jù),還包括這類廣告驗證公司產(chǎn)生的流量。

德雅格希望谷歌此舉能夠促使其他公司也披露類似的信息,聯(lián)合起來對抗廣告欺詐分子。“我們的工作就是增加他們的成本,使之降低到他們認為不值得繼續(xù)作惡的程度。”他說。

谷歌的反欺詐團隊能否真正實現(xiàn)這個目標還很難說,不過,我此次采訪過程中的確看到他們在努力打擊這種行為,我也見證了他們?yōu)榇瞬渴鸬闹苊苡媱潯2贿^,這畢竟是一場硬仗,所以,倘若我一味吹噓他們的成就,就會顯然太過虛偽。

不過,假如勝利的那一天果真到來,德雅格已經(jīng)計劃好了慶祝的方式。他開玩笑說,自己有可能去休假,“前往某些廣告欺詐分子可能也會去的某個海灘,”他說,“我們沒準會一起喝一杯?誰知道呢。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號