Il 16 Novembre 2021 se lo ricordano tutti come il giorno in cui si è capito quanto è manipolabile il mercato pubblicitario: è il giorno dell’arresto di Alexander Zukhov e dello stop di Methbot. Se avete letto gli articoli sul lato oscuro del marketing e sul click fraud oggi vi parlo del più grande sistema di frodi che sia mai stato creato, e debellato.
Cos’era Methbot
Methbot è stato un sistema made in Russia pensato esclusivamente al click fraud e alle visualizzazioni false.
Methbot ha avuto un impatto finanziario devastante, generando dai 3 ai 5 milioni di dollari al giorno solamente con le visualizzazioni false di annunci video.
Si stima che le perdite totali per l’industria pubblicitaria siano state tra i 180 milioni e 1 miliardo di dollari.
Una forbice ampissima, ma sempre meno di quello che i numeri riescono a raccontare, fatto che denota quanto è ancora difficile capirne il vero impatto.
Come funzionava Methbot
Methbot operava attraverso diverse tecniche sofisticate per generare entrate illecite.
Il sistema era estremamente complesso, e ha toccato ogni elemento che fa parte della navigazione web, dalla localizzazione, agli IP, ai browser fino a simulare il comportamento umano.
La resa di questo sistema complicatissimo era impressionante. I CPM (costo per mille impressioni pubblicitarie) variavano da 3,27 a 36,72 dollari, con una media di 13,04 dollari. Questo ha permesso a Methbot di attrarre milioni di dollari in pubblicità reale.
Ma vediamo le 4 fasi che hanno permesso di costruire Methbot.
Fase 1: ingannare i sistemi anti frode
Methbot eluse il rilevamento delle frodi attraverso una serie di tecniche sofisticate. I punti chiave su come Methbot evitò di essere scoperto sono stati:
Camuffamento del browser
Methbot era in grado di camuffarsi da uno dei principali browser desktop falsificando le stringhe dello user agent. Google Chrome era l’identità del browser di cui White Ops (oggi Human Security) rilevò il volume più alto. Sono stati rappresentati anche Firefox 47, Internet Explorer 11 e Safari 9.1 e 9.2.
Centinaia di migliaia di IP diversi
Gli operatori di Methbot ottennero il controllo diretto di grandi allocazioni IP contigue e falsificarono i dettagli di registrazione in modo che sembrassero ISP residenziali negli Stati Uniti. Questo permetteva a Methbot di far sembrare che il traffico provenisse da utenti reali negli Stati Uniti.
Ciò permise di evitare il rilevamento tipico dei data center.
Methbot al suo massimo uso utilizzava 571.904 IP dedicati, molti dei quali falsamente registrati come ISP statunitensi.
Simulazione del comportamento umano
Methbot falsificava i movimenti del cursore e i clic, e utilizzava misure di viewability per imitare le tendenze osservate nel comportamento umano.
Venivano fornite anche false informazioni di login ai social network per far sembrare che un utente fosse connesso durante un’impression.
I bot, inoltre, simulavano alla perfezione un comportamento “umano”, con movimenti del mouse e clic in grado di ingannare i sistemi di rilevamento automatici utilizzati dalle agenzie per verificare l’autenticità delle visualizzazioni.
Patching dinamico del codice
Gli sviluppatori di Methbot sezionavano la logica dei fornitori di rilevamento frodi più diffusi sul web. Modificavano dinamicamente script di terze parti per restituire valori “noti buoni”, evitando la necessità di implementare API complicate.
Tecniche di anti-rilevamento
Methbot utilizzava diverse tecniche per eludere la logica di misurazione della viewability e le società di rilevamento delle frodi.
Manipolazione dei dati di geolocalizzazione
Manipolando i dati di geolocalizzazione associati agli indirizzi IP in modo che sembrassero provenire da regioni “premium”, Methbot aumentava il valore dell’inventario fraudolento.
Questi metodi permisero a Methbot di operare su larga scala, evitando i tradizionali problemi di durabilità legati al mantenimento di una base costante di macchine utente infette. La capacità di falsificare i dettagli di registrazione degli IP permise agli operatori di vendere spazi pubblicitari a inserzionisti disposti a pagare un premio per raggiungere i consumatori statunitensi.
Fase 2: massimizzare il ricavo
I ricavi economici di Methbot venivano registrati attraverso la vendita di impressioni pubblicitarie fraudolente, generate da una rete di bot che simulavano visualizzazioni di annunci video su siti web falsi.
Impersonificazione di siti web e creazione di inventario falso
Methbot impersonava siti web affermati e creava pagine contraffatte, selezionando domini o URL da editori premium. Queste pagine contenevano solo il necessario per supportare un annuncio.
Generazione di impressioni pubblicitarie fraudolente
La botnet generava tra 200 e 300 milioni di impressioni di annunci video al giorno su inventario fabbricato. I bot “guardavano” fino a 300 milioni di annunci video al giorno su siti web falsificati, facendoli sembrare editori premium.
Fase 3: non farsi scoprire
I sistemi per eludere ogni controllo sono stati tantissimi, e per molti di questi hanno avuto un aiuto da parte degli organi di registrazione.
Fingere di essere qualcun altro
Methbot acquisiva gli indirizzi IP (probabilmente in Russia?) falsificando i dettagli di registrazione in modo che sembrassero appartenere a ISP residenziali negli Stati Uniti.
Nello specifico, Methbot ha falsificato le registrazioni per le seguenti organizzazioni:
- Comcast
- Cox
- AT&T
- Verizon
- Centurylink
Oltre a falsificare le registrazioni di società reali, Methbot ha anche creato entità completamente inventate, come “HomeChicago Int”, “AmOL wireless Net” e “Verison Home Provider LTD”.
Per i meno pratici, acquistava blocchi di IP e invece che registrare se stesso come proprietario li registrava ad aziende con base in USA vere o finte che siano.
Già questo è illegale e normalmente viene denunciata una cosa così.
Queste false registrazioni permettevano a Methbot di evitare di essere inserito nelle blacklist e di vendere spazi pubblicitari a inserzionisti disposti a pagare un premio per raggiungere i consumatori statunitensi.
Questi indirizzi IP erano poi distribuiti su oltre 2.000 server fisici situati in data center negli Stati Uniti, principalmente a Dallas, Texas, e nei Paesi Bassi, ad Amsterdam.
Modifica dinamica del codice in pagina
Gli sviluppatori di Methbot sezionavano la logica dei fornitori di rilevamento frodi più diffusi sul web. Modificavano dinamicamente script di terze parti per restituire valori “noti buoni”, evitando la necessità di implementare API complicate.
Tecniche di anti-rilevamento
Methbot utilizzava diverse tecniche per eludere la logica di misurazione della viewability e le società di rilevamento delle frodi.
Manipolazione dei dati di geolocalizzazione
Manipolando i dati di geolocalizzazione associati agli indirizzi IP in modo che sembrassero provenire da regioni “premium”, Methbot aumentava il valore dell’inventario fraudolento.
Contromisure speciali contro il codice di società ad tech
Methbot adottava contromisure contro il codice di oltre una dozzina di società ad tech.
Libreria HTTP personalizzata e motore browser
Methbot utilizzava una libreria HTTP completamente personalizzata e un motore browser con supporto Flash, il tutto eseguito in Node.js.
Veicolare il traffico attraverso dei proxy
Methbot utilizzava una rete di proxy per nascondere il reale indirizzo IP dei data center, associando a ciascun bot uno degli indirizzi IP registrati a nome dei vari ISP. Questo offriva una copertura perfetta, facendo passare i bot come normali persone residenti in varie città degli Stati Uniti.
Fase 4: la fine di Methbot
Methbot è stata attiva per un periodo significativo, evolvendo e adattandosi nel tempo per massimizzare i profitti e sfuggire al rilevamento.
Monitoraggio iniziale
White Ops ha iniziato a monitorare un piccolo volume di traffico web automatizzato con una firma bot unica (chiamata “C3”) a partire da settembre 2015. Non sappiamo però da quanto tempo era attivo l’embrione di Methbot prima del rilevamento di White Ops.
Evoluzione in Methbot
Nell’ottobre 2016, il bot si è trasformato in Methbot e ha iniziato a scalare e adattarsi aggressivamente.
Picco di attività
A partire da ottobre 2016, Methbot ha raggiunto un picco di 3-5 milioni di dollari di entrate al giorno. In questo periodo, Methbot generava dai 200 ai 300 milioni di impressioni di annunci video al giorno su inventario fabbricato.
Scoperta e takedown
Methbot è stata scoperta alla fine del 2016. A seguito della scoperta, White Ops ha rilasciato informazioni e dati per aiutare le parti interessate a intraprendere azioni per fermare l’operazione.
Arresto e condanna
Aleksandr Zhukov, il capo di Methbot, è stato arrestato nel 2018 e condannato nel 2021 a 10 anni di carcere e poco meno di 4 milioni di dollari di multa.
In sintesi, Methbot è stata attivamente in funzione, con un impatto significativo sull’ecosistema pubblicitario, per circa un anno, da ottobre 2015 fino alla sua scoperta e smantellamento alla fine del 2016. Anche dopo lo smantellamento, l’impatto finanziario di Methbot ha continuato a farsi sentire nel settore.
Come Methbot ha cambiato il mercato pubblicitario statunitense
L’operazione Methbot ha avuto un impatto devastante sul mercato pubblicitario statunitense.
Methbot ha sottratto milioni di dollari alle società di media statunitensi e ai maggiori inserzionisti del Paese. Se pensiamo che la botnet ha generato entrate comprese tra 3 e 5 milioni di dollari al giorno per i suoi operatori, vuol dire che il costo degli Ads era almeno il 30% più alto.
Abbiamo detto che la botnet generava tra 200 e 300 milioni di impressioni di annunci video al giorno su inventario fabbricato. Questi annunci venivano visualizzati da bot su siti web falsificati, imitando il comportamento umano per ingannare gli inserzionisti.
Ma gli inserzionisti non lo sapevano, quindi le società vendevano di fatto i dati di Methbot come dati reali, falsando e ingannando inconsapevolmente gli stessi inserzionisti.
La scoperta di Methbot ha minato la fiducia nel mercato pubblicitario digitale. La capacità di Methbot di impersonare siti web legittimi e generare traffico fraudolento ha reso difficile per gli inserzionisti distinguere tra impressioni reali e false.
Methbot ha dimostrato la sofisticazione delle operazioni di frode pubblicitaria e la necessità di tecniche di rilevamento e prevenzione più avanzate. L’operazione ha segnato un’evoluzione rispetto alle tradizionali botnet basate su malware, utilizzando invece un’infrastruttura dedicata e tecniche di falsificazione IP per evitare il rilevamento.
Alcuni esperti ritenevano che la scoperta di Methbot ha portato a un calo della spesa pubblicitaria digitale. Gli inserzionisti, spaventati dalla frode, hanno spostato i loro budget verso i media tradizionali.
La scoperta di Methbot ha portato a una maggiore consapevolezza del problema della frode pubblicitaria e alla necessità di soluzioni più efficaci. Ma ha anche evidenziato come il mercato pubblicitario sia facilmente manipolabile. Le aziende del settore da allora hanno iniziato a collaborare per combattere la frode pubblicitaria e proteggere l’ecosistema digitale.
Dove sono finiti tutti quei soldi?
I soldi generati da Methbot finivano nelle tasche di Aleksandr Zhukov, che si autodefiniva “il re delle frodi” che tratteneva per sé il 75% di questi profitti, mentre il resto veniva usato per pagare i programmatori e la “redazione” che gli forniva informazioni tecniche sui sistemi anti frode.
Zhukov, arrestato in Bulgaria nel 2018, è stato estradato negli Stati Uniti nel 2019 ed è stato condannato a 10 anni di carcere a seguito di un processo nel maggio 2021 per frode telematica, associazione a delinquere e riciclaggio di denaro.
Se volete saperne di più sull’argomento vi lascio il paper pubblicato da White Ops su Methbot.
Francesco Contini, Data & Search Engine Expert, Founder Rubedo Data Solutions