据《连线》杂志报道,所谓恶意广告攻击,顾名思义是指黑客在合法网站上购买广告位,然后将设计好的恶意广告上传至广告位,以达到攻击访问网站的用户计算机的目的。
所以,新闻网页看起来完全是无辜的。除了各路名人八卦和信口开河的杂志版面设计,英国新闻媒体《每日邮报》的网站似乎没有什么特别具有恶意的地方。但是,若言你访问October这样的网站,你可能不知不觉地就成为一场黑客活动的受害者。
在《每日邮报》的后台,第三方的广告会偷偷地将读者重新定向至黑客事先准备的开发工具包中,然后强制在电脑上安装恶意软件。
如今恶意广告正不断发展的趋势是:网络罪犯都喜欢在互联网的各个角落以及热门网站上出租已经预设好恶意广告程序的广告位,以便尽可能多地攻击在线用户。
很多热门网站已经被黑客瞄准
恶意广告活动至少可以回溯到2009年,当时一些读者访问《纽约时报》网页时,页面弹出了一个伪装成杀毒扫描器的窗口。而对《每日邮报》的攻击则是最近一起瞄准主流网站的案例。
今年9月,流行色情网站YouPorn和Pornhub发布了恶意广告;一个月前,每月独立访客上亿的《赫芬顿邮报》也出现了恶意广告程序;《福布斯》也在9月遭了秧。而事实上,《赫芬顿邮报》在去年12月时便出现过类似现象。
如果听起来像是发生过很多类似案例,那是因为事实正是如此:恶意软件安全公司Cyphort的一份报告显示,在2014年6月至2015年2月之间,恶意广告攻击事件上升了325%。
恶意广告攻击到底是什么原理?
尽管每一次恶意广告攻击都是多变的,但是到底还是会遵循一定的准则。首先,黑客会在广告网络平台上注册——运营这些平台的公司就是向一般网站植入广告,并向广告主出售广告位的公司。
这些公司在广告主与出售广告位的网站之间充当中介的角色。广告主将广告内容上传至平台的中心服务器,然后服务前将广告代码输送到要投放的网站上。
那么,黑客就会利用这个转换的空子,将自己伪造成一个信誉良好的企业来上传自己的广告——大多数时候是基于Flash的内容,或者说包含恶意代码的东西。
当用户访问网站的时候,用户看到什么样的广告是由访问时间决定的。这个过程有实时竞价广告的机制来主导:广告位买主提前为选择入口支付金额,然后无论是谁,只要流量高,其广告就能在页面上展示。
但是,如果是一个恶意广告,一旦用户选择加载页面,就算没有点击它,这个广告都会出现并且将路径重新定向,引导至有网页托管的工具包中。这就像是在后台里面,通过一串iFrame代码就能嵌入内容一样。而且,还可以做得神不知鬼不觉。
”而恶意广告的落地页基本上就可以确定用户计算机上是否存在脆弱的插件,”Segura说道。它可以识别你使用的浏览器是什么,然后寻找Flash(存在漏洞),或者其他脆弱的插件。
最后,恶意广告就会开始在被网页“拐走”的用户计算机上安装软件。这些恶意广告有时安插的是勒索软件——狡猾的黑客会利用这个软件窥探受灾计算机上的文件,直到用户向其付钱,而其他形式就是正如大家所知道的那样——发送银行木马窃取用户的财务信息。
值得一提的是,并不是所有浏览受害网站的用户都会遭遇黑客攻击。诚然,一些广告只会瞄准某些国家的人,因为竞价广告的营销需要(主要看商家客户群)。而且,若言你的电脑有足够稳固的防护,那么被攻击的几率也没有那么高。
据思科最近一份报告显示,全球中使用钓鱼(Angler)代码工具包的恶意广告活动成功率大约在40%。除此之外,就是那些能够摧毁防御工具的零日漏洞攻击——不过这类活动是相当稀少的。
最近,攻击者们开始利用HTTPS加密,来使自身更加难以被追踪发现。
如何才能停止恶意广告攻击?
谷歌一个典型代表人物Hélène Barrot表示,美国网络广告服务商双击(DoubleClick)采取过许多不同的方法来试图阻止恶意广告行为。比如与行业内的伙伴、出版商对恶意广告进行调查,并使用恶意软件检测工具来预防。 Barrot说:“去年,我们打击了5.24亿个恶劣广告,拦截了20多万个广告主。”
Segura则认为即使是更好的广告扫描工具也没有多大帮助:因为这些恶意广告的数量实在太庞大了。相反,他觉得应该挺高广告投放的门槛,比如广告服务平台应收取大额的注册费用,提高网络犯罪的经济风险。
现在,通过恶意广告进行的网络犯罪成本低廉。“在某些广告服务提供商上,黑客甚至只需要花费30便士就能投放恶意广告——没有什么比这更廉价了。”
但对用户来说,最行之有效的方式依然是安装防御软件或者广告拦截插件。