fraudes em sistemas publicitários online: estudo, forense e auditoria
If you can't read please download the document
TRANSCRIPT
-
FRAUDES EM SISTEMAS PUBLICITRIOS ONLINE:
ESTUDO, FORENSE E AUDITORIA
POC I e II
Bernardo Maia Rodrigues
Virglio A. F. Almeida
18/06/2010
-
Contextualizao
Crescimento da comunicao digital
Internet: Mdia que mais cresceu no Brasil em 2009 23,27% em relao a 2008
Faturamento mercado publicitrio brasileiro:
2008: R$759 Milhes
2009: Mais de R$1000 Milhes (estimativa)
Fonte: IAB (Interactive Media Bureau)
-
Contextualizao
Indstria de mdia publicitria mundial:
Dficit de 12% entre 2008 e 2009
Publicidade Online: Crescimento de 7%
Fonte: Business Insider
Mercado publicitrio: direcionado para os meios eletrnicos
-
Contextualizao
-
Metodologia e Escopo
POC I: Estudo bibliogrfico
Funcionamento da plataforma de publicidade Online
Pesquisa: Estudo de caso: Investigar um fenmeno dentro de
um contexto local e real
Tipos de Fraudes
Formas de ataque
Modus Operandi
-
Metodologia e Escopo
POC II:
Consolidao dos estudos sobre Click Frauds
Amostragem de Logs
Testes, visualizao
Modelagem: Redes complexas
Auditoria e Forense
-
Histrico
Incio 90: Internet Comercial
Vendas impulsionadas pelo mercado Online
Divulgao de produtos e servios
Sistemas interativos, simples: contato,
e-mail, telefone, formulrios online
-
Histrico
Boom da Internet
Domnio .com (comercial)
Diretrios, Banners
Mecanismos de busca (keywords)
Comportamento de navegao
Empresas pagavam para serem listadas (diretrios, resultados de buscas)
-
Histrico
-
Histrico
Propagandas direcionadas
Requisies e solicitaes do usurio
Contextualizao
-
Cost per Mille CPM
Cost per Click CPC
Cost per Action CPA
Modelos de Receita
-
CPM: Cost per Mille
Preo fixo por exibies
Impresses (termo herdado da publicidade tradicional)
Contabilizao: simples
Spam de impresso: coletores, visitantes no legtimos
-
CPM: Google AdWords
Complexidade: infra-estrutura para vender banners e anncios
Redes de anncios Anncios textuais direcionados (palavras
chave) Exibio de propagandas no topo dos
resultados e na lateral Migrao mercado: nmero de cliques e
no impresses
-
CPM: Google AdWords
-
CPC: Cost per Click
Overture/Yahoo: 1998
AdWords: Remodelado em 2002 para PPC
Espaos mais destacados: Quanto anunciante estava disposto a pagar
Qualidade/Taxa de click-through
Cliques: votos para aumentar a relevncia do anncio
Fraudes: Click Frauds
-
CPC: Google AdSense
2003: Google AdSense
Publicadores podiam ganhar dinheiro
Espaos reservados nas pginas
Google lucrava e pagava percentual das receitas aos publicadores
Incentivo fraude
-
CPC: Google AdSense
-
CPC: Google AdSense
Diretrizes: Cliques nas propagandas do Google devem resultar de um interesse genuno do usurio.
Foi iniciado por um usurio real no seu Web site
O clique atual foi realizado por uma pessoa real
O clique resultado de um interesse genuno de uma pessoa real no contedo da propaganda
-
CPC: Google AdSense
No encorajar cliques nos anncios
Anncios em locais bem definidos
Grficos, blocos e layouts nas proximidades do anncio: devem seguir regras especficas.
Landing page quality guidelines
-
CPA: Cost per Action
Pagamento por cliques que resultam em uma venda efetiva
Anunciante paga rede somente depois de receber o pagamento do produto/servio
Atuao limitada
Melhor ROI para o anunciante
-
Click Frauds: Formas de Ataque
Cliques humanos
Coero
Cliques manuais
Cliques automatizados
Scripts
Bots
Malware
Clickjacking
-
ClickBots: FakeZilla
-
ClickBots: FakeZilla
-
ClickBots: FakeZilla
-
ClickBots: Clicking Agent
-
Clickjacking
Cliques forados
Implementao do browser, codificao
Cdigos ofuscados, escondidos function ppcFraud(evt) { mouseX = evt.pageX ? evt.pageX : evt.clientX; mouseY = evt.pageY ? evt.pageY : evt.clientY; document.getElementById('open').style.left = mouseX - 2; document.getElementById('open').style.top = mouseY - 2 }
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--
){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return
d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new
RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('b a(0){6=0.4?0.4:0.d;7=0.3?0.3:0.c;1.5(\'8\').9.e=6-
2;1.5(\'8\').9.f=7-
2}',16,16,'evt|document||pageY|pageX|getElementById|mouseX|mouseY|open|style|ppcFrau
d|function|clientY|clientX|left|top'.split('|'),0,{}))
-
Clickjacking
-
Clickjacking
-
Click Frauds: Modus Operandi
-
Click Frauds: Estudo de Caso
-
Click Frauds: Estudo de Caso
Fonte: http://blog.seomarketing.com.br
-
Auditoria e Forense
Dados:
ID Visitante: IP, User Agent, Cookies
Informaes da origem: URL de origem
Identificao do clique: ID clique, Data, Horrio
Destino do clique: URL propaganda, identificador, palavra chave relacionada
Palavra chave que resultou na propaganda
Taxa de converso
-
Auditoria e Forense
Converso: Qualidade do trfego
-
Logs: Apache
127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/ HTTP/1.1" 200 1158 "http://127.0.0.1/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin.css HTTP/1.1" 200 1293 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin_logo.png HTTP/1.1" 200 3613 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET / HTTP/1.1" 200 683 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET /icons/blank.gif HTTP/1.1" 200 438 "http://192.168.174.129/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
-
Logs: IIS
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/banner/low.jpg - 80 - 200.182.173.122 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;++Embedded+Web+Browser+from:+http://bsalsa.com/;+InfoPath.2;+.NET+CLR+2.0.50727;+OfficeLiveConnector.1.3;+OfficeLivePatch.0.0) 200 0 0
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product1.jpg - 80 - 189.73.104.114 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+pt-BR;+rv:1.9.2.3)+Gecko/20100401+Firefox/3.6.3 200 0 0
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /search.asp 80 - 65.208.151.115 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product2.jpg - 80 - 201.27.53.105 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en-US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.1.249.1045+Safari/532.5 200 0 0
-
Logs Coletados
Amostragem: 389 MB
Windows 2003 + IIS v6.0
Informaes sanitizadas
Site de e-commerce
Banners de propaganda
-
Auditoria e Forense
Browser Uniqueness: Assinatura
-
GeoIP Database, Whois IP Cidade Estado Pas 139.82.64.* Rio De Janeiro Rio de Janeiro Brazil
143.106.109.* Campinas Sao Paulo Brazil 143.106.38.* Campinas Sao Paulo Brazil 143.107.151.* So Paulo Sao Paulo Brazil
143.54.1.* Porto Alegre Rio Grande do Sul Brazil 143.54.208.* Porto Alegre Rio Grande do Sul Brazil
146.164.114.* Rio De Janeiro Rio de Janeiro Brazil 157.86.255.* Rio De Janeiro Rio de Janeiro Brazil
187.0.120.* Londrina Parana Brazil
187.10.100.* Carapicuba Sao Paulo Brazil 187.10.167.* So Paulo Sao Paulo Brazil 187.1.254.* Sete Lagoas Minas Gerais Brazil
200.138.250. * Florianpolis Santa Catarina Brazil 200.138.254.* Florianpolis Santa Catarina Brazil
200.138.33.* Curitiba Parana Brazil 200.139.141.* Uberaba Minas Gerais Brazil 200.175.79.* Curitiba Parana Brazil
200.181.10.* Braslia Distrito Federal Brazil 200.181.120.* Campo Grande Mato Grosso do Sul Brazil
200.251.234.* Belo Horizonte Minas Gerais Brazil
-
Forense: p0f
Fingerprint passivo dos pacotes de rede
Descoberta SO: Pacotes / Assinaturas
-
Forense: p0f Logs servidor Web Logs p0f
192.168.174.129 - - [15/Jun/2010:19:31:15 -0700] "GET / HTTP/1.1" 200 694 "-" "Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16 192.168.174.132 - - [15/Jun/2010:19:32:31 -0700] "GET / HTTP/1.1" 200 695 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.8) Gecko/2009033100 Ubuntu/9.04 (jaunty) Firefox/3.0.8 192.168.174.1 - - [15/Jun/2010:19:34:31 -0700] "GET / HTTP/1.1" 200 695 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; OfficeLiveConnector.1.5; OfficeLivePatch.1.3)"
192.168.174.132:47285 - Linux 2.6 (newer, 2) (up: 2 hrs) -> 192.168.174.129:80 (distance 0, link: ethernet/modem) 192.168.174.132:36457 - Linux 2.6 (newer, 2) (up: 2 hrs) -> 192.168.174.129:80 (distance 0, link: ethernet/modem) 192.168.174.1:56612 - Windows XP/2000 (RFC1323+, w+, tstamp-) [GENERIC] Signature: [8192:128:1:52:M1460,N,W2,N,N,S:.:Windows:?] -> 192.168.174.129:80 (distance 0, link: ethernet/modem)
-
Forense: Pas
-
Forense: Browser Agent
-
Forense: Browser Agent
-
Forense: Browser Agent
Arestas: Mesmo IP com mais de um Browser Agent
-
Forense: Redes Complexas
-
Forense: Redes Complexas
Formao de comunidades
Vrtices densamente conectados
Padres de interao
Caractersticas comuns
Minerao de dados
-
Concluso e Resultados
Click Frauds: Realidade
Identificar cliques fraudulentos: melhora ROI do anunciante
Interesses conflitantes: Is Google Evil?
Plataformas x Fraudes
-
Plataforma
Frau
des
PPA
PPM
Conluso e Resultados
PPC
-
Concluso e Resultados
Brasil
Menor complexidade, Coero, Clickjacking, PTC
Fraude envolvendo empresas de publicidade brasileiras
Mundo:
Esquemas complexos
Rings, Malwares, Crime organizado
Lucros considerveis
-
Concluso e Resultados
Log e auditoria: complexidade
Falta de informaes, falsos positivos
Requer grande volume de dados
Correlacionamento de eventos
Visualizao
Redes Complexas: relaes, comportamentos semelhantes, comunidades
-
DVIDAS?