剖析谷歌打击广告欺诈的秘密战争

剖析谷歌打击广告欺诈的秘密战争

在伦敦圣吉尔斯高街九楼的一个会议室里，俄罗斯工程师萨莎启动了一台电脑，开始指导我。“首先，我们去一些网站。AdAge.com，这个网站怎么样？”他命令道。当这个网页加载到我的浏览器中时，一系列代码在左边的窗口中运行。几秒钟后，萨沙解释了刚刚发生的故事。“我担心的是，当你与我们的团队沟通时，你不应该只是在我们告诉你的时候去一个网站。这台全新的电脑已经被感染，你正在参与一个僵尸网络。”

事实上，我链接的网站不是AdAge.com，这意味着我受到了攻击；访问此网络上的任何网站都会感染此计算机。但萨沙似乎很享受我的不自然，他的工作才刚刚开始。萨沙是谷歌的秘密反欺诈团队。超过100人的团队的主要工作是打击数量未知的网络犯罪分子，包括那些积极侵吞数字广告行业数十亿美元资产的人，他们主要通过构建机器人流量来取代人类的访问。与谷歌的许多神秘项目一样，该团队从未向外界公布其发现僵尸网络的方法，也不允许他人进入办公室观察整个过程。然而，当萨沙打开电脑时，沉默结束了。

对于网络的参与者来说，无论其规模大小，数字广告欺诈都是一个显而易见且日益严重的问题。因为广告收入与数字媒体流直接相关，数字媒体流包括电视、印刷品等。，也随着数字化运动走向自动化，这个空房间已经变成了沃土。互联网上一些最差的演员。根据反欺诈公司WhiteOps和全国广告商协会的一项研究，2015年因广告欺诈造成的损失将达到63亿美元。全球最大的广告技术公司谷歌将受害最深，因为它每天都通过其广告服务器、自动购买平台和广告交易系统运行大量交易。如果广告商认为公司的运作充满欺诈，他们可以将资金投资到其他地方，那么业务将会动摇。

对谷歌在广告技术领域统治地位的最佳估计来自Ghostery的一份数据，Ghostery是一家专注于监控网站广告的广告技术公司。在2013年9月发布的一份估计中，Ghostery发现谷歌提供了3160亿条广告。排名第二的OpenX公司只有844亿次。这个权重意味着当谷歌面临广告欺诈时，也会将其放在适当的位置，导致斗争。到现在为止，公司主要是在幕后打击广告欺诈，但这其实很难解决问题，部分原因会暴露出来。

“我们认为，分享我们在这一问题上的观点和立场也可能有助于其他行业面临此类问题。”谷歌视频和展示广告产品副总裁尼尔·莫汉说。谷歌的决定促使我在春天穿越大西洋，只为参与萨莎和她的同事，因为他们开启了世界上最重要的秘密单位，保护最好的网页。虽然我记录了他们说的每一句话，但萨沙和他的一些同事因为担心他们的安全，要求只提及他们的名字。“因为这也是一种有组织的犯罪，我认为公开反对这种行为不是一个好办法。”其中一个成员说。

感染

当萨莎在两台显示器上工作时，阳光正好透过巨大的窗户落在办公室的地板上。反欺诈小组的六名成员稀稀拉拉地坐在这个房间里，进入这个房间的唯一途径是通过一扇带有圆形圆顶把手的笨重的门。说话带着浓重口音和近乎逗乐的语气的萨沙开始挖掘AdAge.com的网站代码，直到他发现了几行“先锋”代码，这是黑客攻击电脑常用的代码。当这些代码撬开电脑的门后，幕后 *** 作者就可以在电脑中安装程序，从而完全控制电脑。对于一个广告诈骗犯来说，这种控制是非常重要的。这让他可以在后台使用这台电脑访问网站，电脑的主人并不知情。

通过个人电脑进行电脑诈骗是其最重要的特征之一。这种黑客攻击个人机器，叫做寄生虫，电脑浏览互联网形成僵尸网络，也就是说广告商的钱袋子可以尽量被抓住。通过个人电脑 *** 作也可以帮助僵尸网络运营商逃避监控。通过不同的IP地址和地理位置，他们可以隐藏自己。“先锋”可以通过各种渠道入侵他人电脑，包括Wifi网络、包含恶意代码的广告(恶意广告)、劫持家用路由器、垃圾邮件和被黑网站等。当你无法满足以上任何一种情况时，“先锋”可以悄悄访问你的电脑。“普通用户根本检测不到这些东西。”萨沙说。你甚至不用 *** 作它就可能被感染。

虽然萨沙宣布我正在使用的电脑被感染了，但如果他没有打开WinLister程序，那么这一切都将不得而知。WinLister可以在计算机的隐藏窗口中提供更多信息。在这里，他发现了一系列的IE窗口，所有最大化的尺寸，所有隐藏和所有标记的信息。当Sasha让这些窗口显示时，它们出现在屏幕上，光标跟踪鼠标在显示页面上的移动。当萨沙放下鼠标时，光标继续移动并点击。这样一个让我吃惊的发现引来了他们的阵阵笑声，没有任何解释。也许他们不想向外人解释他们每天都在做什么。

蜘蛛人

欺诈者从受感染的计算机中获取金钱是一个简单的过程。这里有两种方式:你可以把流量卖给发行商，他们可以获得更多的收入；或者你可以建立自己的网站，把流量带到这里，自己卖广告。虽然通过僵尸网络赚钱的方法很简单，但是对它们进行监控却是另一回事。了解僵尸网络是一回事，但确保广告真正展现在人类面前是另一回事。

当萨沙删除机器脚本时，负责谷歌僵尸网络搜索 *** 作的道格拉斯·德·贾格尔(DouglasdeJager)坐在房间的后面，观看了整个过程。德贾格尔是一位自信、直言不讳的南非人，去年年初，他将自己的反欺诈公司Spider.io出售给了谷歌。虽然他的队员都是坐在显示器前的人，但毫无疑问，他是发号施令的人。早些时候，德·贾格尔先生在互联网上发现了这些恶魔。“我们是坏人之一。”他开玩笑说。他的第一家公司BytePlay为一些经纪人抄袭内容，这些经纪人觉得中间人可以在较小的网站上捕捉信息来赚钱。该团队很快意识到，BytePlay很可能成为一个网络恶魔。卖掉BytePlay公司后，德·贾格尔先生决定成立Spider.io公司，对抗这些黑暗的运营势力。“我希望阻止人们使用我创造的这些类似技术来做坏事。”

Spider.io被谷歌收购时，公司有7名员工。这笔交易提供了一个获得谷歌计算能力的机会，因此可以显著加快其进程。"过去需要一天才能完成的事情现在几乎可以在瞬间完成。"德·贾格尔解释道。当然也给团队带来了一个新元素:制约。Spider必须与谷歌的销售团队合作，以避免利益冲突。

看来Spider和Google相处的还不错。原队员和新同伴的关系非常明显。参与者就像聚集在精酿啤酒有限公司的船员，一个温暖的家庭伦敦酒吧，容易进入，但很难停留。经过几个小时的非正式交谈后，小组成员开始分头吃饭。在离开的路上，一位谷歌高级员工告诉我，他对收购Spider感到多么高兴。

当德·贾格尔先生走在另一边时，这些“坏男孩”已经变得远远超出了成熟。他说，恶意软件过去主要用于银行欺诈，但双因素认证严重降低了其盈利能力。然后，黑客开始xyk诈骗，但现在它的安全性也很高。即使你只花几块钱就能买到几千张激活的xyk，但这些卡毫无用处。然后就是比特币挖矿，这些被黑的机器可以用来挖矿这种加密货币。但它也变得无利可图，只剩下广告欺诈是网络罪犯最赚钱的生意。“现在我们正面临一个利用恶意软件进行广告欺诈的时代。”德·贾格尔说。而广告行业才刚刚开始抓住这个问题。

发现欺诈

当你第一次看恶意软件二进制文件的时候，那种感觉是非常令人不安的。它的加密程序看起来像是计算机可能产生的最难以理解的随机代码的集合。团队的新成员塞巴斯蒂安(Sebastian)坐在我旁边，面对着探测器，然后翻出一份文件，试图向我解释这些令人困惑的代码——“1568C8580010578B”的意思是“获取僵尸网络的DNA”。二进制是僵尸网络的一个引擎，它指导被感染的计算机如何浏览网页。它会告诉电脑访问哪些网站，在网站页面上停留多长时间，做什么等等。谷歌的反欺诈团队通过一些资源获得了源代码，包括VirusTotal(一家恶意软件扫描公司)。然后，它必须逆向设计代码，以了解特定僵尸网络的特征。

二进制解码是这个过程中非常重要的一步，可以让团队完整的重现剧本。“一旦我们了解了它的工作原理，它就会告诉我们它是什么，这样我们就可以认识到访问这个网站的用户肯定有相同的恶意软件。”该团队的产品经理维加德·约翰森(VegardJohnsen)说。在我们面前的显示屏上显示的这些特定的僵尸网络二进制文件包含了150个动作，每个特定的指令都意味着人类对网页的访问。例如，程序指示计算机创建一个隐藏窗口，使用IE，并使窗口全屏静音，并要求目标用户键入“自由保险”并随机移动鼠标。这个有150个程序的程序比较简单，有的脚本文件包含2000多条指令。这些二进制文件非常详细，你可以通过它们感受到这些代码背后的人。“你知道有一个人坐在这里，选择这些东西，然后编写这些代码。我们很想知道屏幕另一边坐着的那个赚了大钱的团队是什么样的。”约翰森先生说。

通过他们的留言板，我们可以对这些诈骗犯有更全面的了解。谷歌的团队监控这些论坛，看着这些坏人买卖被感染的电脑。我去拜访的时候，团队给我看了中间人的位置，包括“请勿打扰诈骗分子”的警告。当然，中间商指的是骗过所有人的人，而不是广告骗子。这些黑市按照自己的规则运作。当货物交付后，钱可以放在这里的信用系统中进行保管。“我们至少应该承认的一点是，他们在这个作弊市场上也投入了很多努力。”约翰森先生说。然而，这些诈骗者并非无懈可击。不像他们开发的机器人，他们也会像人类一样犯错。而那些看似微不足道的错误，往往是谷歌工作人员的切入点。

信号

关于作弊的长时间谈话当然需要足够的咖啡，这是谷歌最著名的迷你厨房的一部分。每次他们从屏幕上退一步，有时会持续两个小时，他们会走到咖啡机旁，借此机会暂时忘记那些像素和数字。而这样的时刻也是必要的。当谷歌的打假斗士完成了复制脚本的任务后，他们留下了一份关于僵尸网络行为的详细脚本。多亏了Google，这个脚本可以快速进入Google的数据库，然后找到匹配这些脚本的被攻击对象。

作为该计划的一部分，谷歌的团队需要将其与僵尸网络的特征和所谓的“信号”相匹配。这些特点非常直接。它们是任何一种自然的行为，比如点击率、转化率、使用的浏览器甚至点击页面。一个僵尸网络小组给我看了一个叫z00clicker的指令文件，它可以指令寄生虫任意连接页面上的两点，沿线移动，点击它穿过的任何东西。然后僵尸网络会留下独特的广告创意图案——如果你愿意，你甚至可以留下签名。根据z00clicker的说法，边缘的点击密度非常高，而中心的行为要小得多。

这些功能非常重要，但当谷歌将这些任务标记为非人类行为时，它拒绝发布者为服务付费，即不收一毛钱的广告费用。你需要更多的信息来确认这一点，所以信号尤为重要。信号是一种正常情况下不存在的行为，但编程时一定会被诈骗分子利用。“我们的工作是试图找出这些参与者意外泄露的微弱信号。这也是我们判断信息流是否来自被感染电脑的重要方式。”谷歌的团队对这些信号守口如瓶，因为其中许多信号仍然活跃，一旦公布，欺诈者就会相互通风报信。

该团队也提供了几个例子，但ZeroAccess的信号非常特殊。ZeroAccess是一个僵尸网络，在2013年被微软消灭，但它又复活了。我们试着理解一下:正常情况下，重置浏览器会在cookie域中产生一个“0”。但是ZeroAccess在里面植入了空案例。僵尸网络会在每次浏览重置会话之前重置浏览器的cookie，因此空网格会定期出现。这个信号足以确定是否是ZeroAccess产生的信息流。但通常情况下，谷歌需要很多同时出现的信号来判断这个信号来自特定的僵尸网络，然后摧毁它。

电钻系统

任何能对抗恶势力的善的力量都需要硬件支撑。对蝙蝠侠来说，这是蝙蝠战车；对佛罗多来说，这是戒指。对杰迪斯来说，这是光剑。所以对于谷歌来说，这就是“Powerdrill系统”。这是一个非常奇怪的计算系统。它可以在五秒钟内处理数千亿个单位的数据。它可以用图表等图形表示数据，使人们发现非人类交通的不规则性成为可能。在介绍这个工具的时候，德·贾格尔只是给它贴上了“这是一只恐龙”的标签。团队的另一名成员菲尔打开了探测器，然后打开了Powerdrill屏幕，显示了来自四个IP地址和一个web服务器的所有流量。十天之内，这些流量在谷歌网络中产生了大约1亿次广告点击。“这些流量是真实的，这是三天前用的数据。”这些流量的总量如此巨大，可能在十天之内打乱了无数次广告宣传的结果，至今仍在运行。“也可能人为提高广告活动的点击率。”菲尔说。令人困惑的是，这种流量不是僵尸网络的一部分。“这家公司其实是广告验证服务。”菲尔这样说。这家公司的任务就是浏览整个网页，尽可能多的采样广告，尽可能多的通过点击记录每个广告导向的页面。

与其他公司共享这类信息，从而打击行业内的欺诈行为，还有很长的路要走，谷歌似乎已经开始这么做了。DeJager表示，他的团队已经开始公布不良流量的细节，并提供所有披露的信息，包括广告验证公司创造的流量和检测一些僵尸网络的细节。德贾格尔希望谷歌的行为能够鼓励其他公司公布他们的发现，并联合起来帮助行业打击广告欺诈，从而使欺诈者无利可图。“我们的目标是增加他们的犯罪成本。诈骗本身不应该成为赚钱的温床。”

很难说谷歌团队是否在这个目标上取得了重大进展。在我的访问中，我也看到了斗争，我也听到了几十种可以消除问题的解决方案。但是，打击广告欺诈的战争是如此不透明，以至于如果我报告说他们正在赢得这场战争，或者正在战斗，这似乎是虚伪的。如果胜利的一天到来，德·贾格尔先生有一个计划。他开玩笑说，他可能会去度假，炫耀那些被抓出来的网络罪犯的海滩度假。去喝一杯？谁知道呢？