If you can't read please download the document
Upload
bernardomr
View
300
Download
2
Embed Size (px)
Citation preview
FRAUDES EM SISTEMAS PUBLICITRIOS ONLINE:
ESTUDO, FORENSE E AUDITORIA
POC I e II
Bernardo Maia Rodrigues
Virglio A. F. Almeida
18/06/2010
Contextualizao
Crescimento da comunicao digital
Internet: Mdia que mais cresceu no Brasil em 2009 23,27% em relao a 2008
Faturamento mercado publicitrio brasileiro:
2008: R$759 Milhes
2009: Mais de R$1000 Milhes (estimativa)
Fonte: IAB (Interactive Media Bureau)
Contextualizao
Indstria de mdia publicitria mundial:
Dficit de 12% entre 2008 e 2009
Publicidade Online: Crescimento de 7%
Fonte: Business Insider
Mercado publicitrio: direcionado para os meios eletrnicos
Contextualizao
Metodologia e Escopo
POC I: Estudo bibliogrfico
Funcionamento da plataforma de publicidade Online
Pesquisa: Estudo de caso: Investigar um fenmeno dentro de
um contexto local e real
Tipos de Fraudes
Formas de ataque
Modus Operandi
Metodologia e Escopo
POC II:
Consolidao dos estudos sobre Click Frauds
Amostragem de Logs
Testes, visualizao
Modelagem: Redes complexas
Auditoria e Forense
Histrico
Incio 90: Internet Comercial
Vendas impulsionadas pelo mercado Online
Divulgao de produtos e servios
Sistemas interativos, simples: contato,
e-mail, telefone, formulrios online
Histrico
Boom da Internet
Domnio .com (comercial)
Diretrios, Banners
Mecanismos de busca (keywords)
Comportamento de navegao
Empresas pagavam para serem listadas (diretrios, resultados de buscas)
Histrico
Histrico
Propagandas direcionadas
Requisies e solicitaes do usurio
Contextualizao
Cost per Mille CPM
Cost per Click CPC
Cost per Action CPA
Modelos de Receita
CPM: Cost per Mille
Preo fixo por exibies
Impresses (termo herdado da publicidade tradicional)
Contabilizao: simples
Spam de impresso: coletores, visitantes no legtimos
CPM: Google AdWords
Complexidade: infra-estrutura para vender banners e anncios
Redes de anncios Anncios textuais direcionados (palavras
chave) Exibio de propagandas no topo dos
resultados e na lateral Migrao mercado: nmero de cliques e
no impresses
CPM: Google AdWords
CPC: Cost per Click
Overture/Yahoo: 1998
AdWords: Remodelado em 2002 para PPC
Espaos mais destacados: Quanto anunciante estava disposto a pagar
Qualidade/Taxa de click-through
Cliques: votos para aumentar a relevncia do anncio
Fraudes: Click Frauds
CPC: Google AdSense
2003: Google AdSense
Publicadores podiam ganhar dinheiro
Espaos reservados nas pginas
Google lucrava e pagava percentual das receitas aos publicadores
Incentivo fraude
CPC: Google AdSense
CPC: Google AdSense
Diretrizes: Cliques nas propagandas do Google devem resultar de um interesse genuno do usurio.
Foi iniciado por um usurio real no seu Web site
O clique atual foi realizado por uma pessoa real
O clique resultado de um interesse genuno de uma pessoa real no contedo da propaganda
CPC: Google AdSense
No encorajar cliques nos anncios
Anncios em locais bem definidos
Grficos, blocos e layouts nas proximidades do anncio: devem seguir regras especficas.
Landing page quality guidelines
CPA: Cost per Action
Pagamento por cliques que resultam em uma venda efetiva
Anunciante paga rede somente depois de receber o pagamento do produto/servio
Atuao limitada
Melhor ROI para o anunciante
Click Frauds: Formas de Ataque
Cliques humanos
Coero
Cliques manuais
Cliques automatizados
Scripts
Bots
Malware
Clickjacking
ClickBots: FakeZilla
ClickBots: FakeZilla
ClickBots: FakeZilla
ClickBots: Clicking Agent
Clickjacking
Cliques forados
Implementao do browser, codificao
Cdigos ofuscados, escondidos function ppcFraud(evt) { mouseX = evt.pageX ? evt.pageX : evt.clientX; mouseY = evt.pageY ? evt.pageY : evt.clientY; document.getElementById('open').style.left = mouseX - 2; document.getElementById('open').style.top = mouseY - 2 }
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--
){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return
d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new
RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('b a(0){6=0.4?0.4:0.d;7=0.3?0.3:0.c;1.5(\'8\').9.e=6-
2;1.5(\'8\').9.f=7-
2}',16,16,'evt|document||pageY|pageX|getElementById|mouseX|mouseY|open|style|ppcFrau
d|function|clientY|clientX|left|top'.split('|'),0,{}))
Clickjacking
Clickjacking
Click Frauds: Modus Operandi
Click Frauds: Estudo de Caso
Click Frauds: Estudo de Caso
Fonte: http://blog.seomarketing.com.br
Auditoria e Forense
Dados:
ID Visitante: IP, User Agent, Cookies
Informaes da origem: URL de origem
Identificao do clique: ID clique, Data, Horrio
Destino do clique: URL propaganda, identificador, palavra chave relacionada
Palavra chave que resultou na propaganda
Taxa de converso
Auditoria e Forense
Converso: Qualidade do trfego
Logs: Apache
127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/ HTTP/1.1" 200 1158 "http://127.0.0.1/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin.css HTTP/1.1" 200 1293 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin_logo.png HTTP/1.1" 200 3613 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET / HTTP/1.1" 200 683 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET /icons/blank.gif HTTP/1.1" 200 438 "http://192.168.174.129/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
Logs: IIS
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/banner/low.jpg - 80 - 200.182.173.122 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;++Embedded+Web+Browser+from:+http://bsalsa.com/;+InfoPath.2;+.NET+CLR+2.0.50727;+OfficeLiveConnector.1.3;+OfficeLivePatch.0.0) 200 0 0
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product1.jpg - 80 - 189.73.104.114 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+pt-BR;+rv:1.9.2.3)+Gecko/20100401+Firefox/3.6.3 200 0 0
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /search.asp 80 - 65.208.151.115 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product2.jpg - 80 - 201.27.53.105 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.1.249.1045+Safari/532.5 200 0 0
Logs Coletados
Amostragem: 389 MB
Windows 2003 + IIS v6.0
Informaes sanitizadas
Site de e-commerce
Banners de propaganda
Auditoria e Forense
Browser Uniqueness: Assinatura
GeoIP Database, Whois IP Cidade Estado Pas 139.82.64.* Rio De Janeiro Rio de Janeiro Brazil
143.106.109.* Campinas Sao Paulo Brazil 143.106.38.* Campinas Sao Paulo Brazil 143.107.151.* So Paulo Sao Paulo Brazil
143.54.1.* Porto Alegre Rio Grande do Sul Brazil 143.54.208.* Porto Alegre Rio Grande do Sul Brazil
146.164.114.* Rio De Janeiro Rio de Janeiro Brazil 157.86.255.* Rio De Janeiro Rio de Janeiro Brazil
187.0.120.* Londrina Parana Brazil
187.10.100.* Carapicuba Sao Paulo Brazil 187.10.167.* So Paulo Sao Paulo Brazil 187.1.254.* Sete Lagoas Minas Gerais Brazil
200.138.250. * Florianpolis Santa Catarina Brazil 200.138.254.* Florianpolis Santa Catarina Brazil
200.138.33.* Curitiba Parana Brazil 200.139.141.* Uberaba Minas Gerais Brazil 200.175.79.* Curitiba Parana Brazil
200.181.10.* Braslia Distrito Federal Brazil 200.181.120.* Campo Grande Mato Grosso do Sul Brazil
200.251.234.* Belo Horizonte Minas Gerais Brazil
Forense: p0f
Fingerprint passivo dos pacotes de rede
Descoberta SO: Pacotes / Assinaturas
Forense: p0f Logs servidor Web Logs p0f
192.168.174.129 - - [15/Jun/2010:19:31:15 -0700] "GET / HTTP/1.1" 200 694 "-" "Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16 192.168.174.132 - - [15/Jun/2010:19:32:31 -0700] "GET / HTTP/1.1" 200 695 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.8) Gecko/2009033100 Ubuntu/9.04 (jaunty) Firefox/3.0.8 192.168.174.1 - - [15/Jun/2010:19:34:31 -0700] "GET / HTTP/1.1" 200 695 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; OfficeLiveConnector.1.5; OfficeLivePatch.1.3)"
192.168.174.132:47285 - Linux 2.6 (newer, 2) (up: 2 hrs) -> 192.168.174.129:80 (distance 0, link: ethernet/modem) 192.168.174.132:36457 - Linux 2.6 (newer, 2) (up: 2 hrs) -> 192.168.174.129:80 (distance 0, link: ethernet/modem) 192.168.174.1:56612 - Windows XP/2000 (RFC1323+, w+, tstamp-) [GENERIC] Signature: [8192:128:1:52:M1460,N,W2,N,N,S:.:Windows:?] -> 192.168.174.129:80 (distance 0, link: ethernet/modem)
Forense: Pas
Forense: Browser Agent
Forense: Browser Agent
Forense: Browser Agent
Arestas: Mesmo IP com mais de um Browser Agent
Forense: Redes Complexas
Forense: Redes Complexas
Formao de comunidades
Vrtices densamente conectados
Padres de interao
Caractersticas comuns
Minerao de dados
Concluso e Resultados
Click Frauds: Realidade
Identificar cliques fraudulentos: melhora ROI do anunciante
Interesses conflitantes: Is Google Evil?
Plataformas x Fraudes
Plataforma
Frau
des
PPA
PPM
Conluso e Resultados
PPC
Concluso e Resultados
Brasil
Menor complexidade, Coero, Clickjacking, PTC
Fraude envolvendo empresas de publicidade brasileiras
Mundo:
Esquemas complexos
Rings, Malwares, Crime organizado
Lucros considerveis
Concluso e Resultados
Log e auditoria: complexidade
Falta de informaes, falsos positivos
Requer grande volume de dados
Correlacionamento de eventos
Visualizao
Redes Complexas: relaes, comportamentos semelhantes, comunidades
DVIDAS?