SlideShare a Scribd company logo

Fraudes em Sistemas Publicitários Online: Estudo, Forense e Auditoria

B
bernardo_mr
1 of 51
Download to read offline
FRAUDES EM SISTEMAS PUBLICITÁRIOS ONLINE: ESTUDO, FORENSE E AUDITORIA POC I e II Bernardo Maia Rodrigues Virgílio A. F. Almeida 18/06/2010
Contextualização • Crescimento da comunicação digital • Internet: Mídia que mais cresceu no Brasil em 2009 – 23,27% em relação a 2008 • Faturamento mercado publicitário brasileiro: – 2008: R$759 Milhões – 2009: Mais de R$1000 Milhões (estimativa) • Fonte: IAB (Interactive Media Bureau)
Contextualização • Indústria de mídia publicitária mundial: – Déficit de 12% entre 2008 e 2009 – Publicidade Online: Crescimento de 7% • Fonte: Business Insider • Mercado publicitário: direcionado para os meios eletrônicos
Contextualização
Metodologia e Escopo • POC I: – Estudo bibliográfico – Funcionamento da plataforma de publicidade Online – Pesquisa: • Estudo de caso: Investigar um fenômeno dentro de um contexto local e real • Tipos de Fraudes • Formas de ataque • Modus Operandi
Metodologia e Escopo • POC II: – Consolidação dos estudos sobre Click Frauds – Amostragem de Logs – Testes, visualização – Modelagem: Redes complexas – Auditoria e Forense
Histórico • Início 90: Internet Comercial • Vendas impulsionadas pelo mercado Online • Divulgação de produtos e serviços • Sistemas interativos, simples: contato, e-mail, telefone, formulários online
Histórico • Boom da Internet • Domínio .com (comercial) • Diretórios, Banners • Mecanismos de busca (keywords) • Comportamento de navegação • Empresas pagavam para serem listadas (diretórios, resultados de buscas)
Histórico
Histórico • Propagandas direcionadas • Requisições e solicitações do usuário • Contextualização
Modelos de Receita CPM • Cost per Mille CPC • Cost per Click CPA • Cost per Action
CPM: Cost per Mille • Preço fixo por exibições • Impressões (termo herdado da publicidade tradicional) • Contabilização: simples • Spam de impressão: coletores, visitantes não legítimos
CPM: Google AdWords • Complexidade: infra-estrutura para vender banners e anúncios • Redes de anúncios • Anúncios textuais direcionados (palavras chave) • Exibição de propagandas no topo dos resultados e na lateral • Migração mercado: número de cliques e não impressões
CPM: Google AdWords
CPC: Cost per Click • Overture/Yahoo: 1998 • AdWords: Remodelado em 2002 para PPC • Espaços mais destacados: – Quanto anunciante estava disposto a pagar – Qualidade/Taxa de click-through • Cliques: “votos” para aumentar a relevância do anúncio • Fraudes: Click Frauds
CPC: Google AdSense • 2003: Google AdSense • Publicadores podiam ganhar dinheiro • Espaços reservados nas páginas • Google lucrava e pagava percentual das receitas aos publicadores • Incentivo à fraude
CPC: Google AdSense
CPC: Google AdSense • Diretrizes: “Cliques nas propagandas do Google devem resultar de um interesse genuíno do usuário”. – Foi iniciado por um usuário real no seu Web site – O clique atual foi realizado por uma pessoa real – O clique é resultado de um interesse genuíno de uma pessoa real no conteúdo da propaganda
CPC: Google AdSense • Não “encorajar” cliques nos anúncios • Anúncios em locais bem definidos • Gráficos, blocos e layouts nas proximidades do anúncio: devem seguir regras específicas. • “Landing page quality guidelines”
CPA: Cost per Action • Pagamento por cliques que resultam em uma venda efetiva • Anunciante paga à rede somente depois de receber o pagamento do produto/serviço • Atuação limitada • Melhor ROI para o anunciante
Click Frauds: Formas de Ataque • Cliques humanos – Coerção – Cliques manuais • Cliques automatizados – Scripts – Bots – Malware – Clickjacking
ClickBots: FakeZilla
ClickBots: FakeZilla
ClickBots: FakeZilla
ClickBots: Clicking Agent
Clickjacking • Cliques forçados • Implementação do browser, codificação • Códigos ofuscados, escondidos function ppcFraud(evt) { mouseX = evt.pageX ? evt.pageX : evt.clientX; mouseY = evt.pageY ? evt.pageY : evt.clientY; document.getElementById('open').style.left = mouseX - 2; document.getElementById('open').style.top = mouseY - 2 } eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c-- ){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c])}}return p}('b a(0){6=0.4?0.4:0.d;7=0.3?0.3:0.c;1.5('8').9.e=6- 2;1.5('8').9.f=7- 2}',16,16,'evt|document||pageY|pageX|getElementById|mouseX|mouseY|open|style|ppcFrau d|function|clientY|clientX|left|top'.split('|'),0,{}))
Clickjacking
Clickjacking
Click Frauds: Modus Operandi
Click Frauds: Estudo de Caso
Click Frauds: Estudo de Caso Fonte: http://blog.seomarketing.com.br
Auditoria e Forense • Dados: – ID Visitante: IP, User Agent, Cookies – Informações da origem: URL de origem – Identificação do clique: ID clique, Data, Horário – Destino do clique: URL propaganda, identificador, palavra chave relacionada – Palavra chave que resultou na propaganda – Taxa de conversão
Auditoria e Forense • Conversão: Qualidade do tráfego
Logs: Apache • 127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/ HTTP/1.1" 200 1158 "http://127.0.0.1/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3“ • 127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin.css HTTP/1.1" 200 1293 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3“ • 127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin_logo.png HTTP/1.1" 200 3613 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3“ • 192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET / HTTP/1.1" 200 683 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3“ • 192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET /icons/blank.gif HTTP/1.1" 200 438 "http://192.168.174.129/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
Logs: IIS • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/banner/low.jpg - 80 - 200.182.173.122 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;++Embedded+Web+Bro wser+from:+http://bsalsa.com/;+InfoPath.2;+.NET+CLR+2.0.50727;+OfficeLiveCo nnector.1.3;+OfficeLivePatch.0.0) 200 0 0 • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product1.jpg - 80 - 189.73.104.114 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+pt- BR;+rv:1.9.2.3)+Gecko/20100401+Firefox/3.6.3 200 0 0 • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /search.asp 80 - 65.208.151.115 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0 • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product2.jpg - 80 - 201.27.53.105 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en- US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.1.249.1045+Safari/53 2.5 200 0 0
Logs Coletados • Amostragem: 389 MB • Windows 2003 + IIS v6.0 • Informações sanitizadas • Site de e-commerce • Banners de propaganda
Auditoria e Forense • Browser “Uniqueness”: Assinatura
GeoIP Database, Whois IP Cidade Estado País 139.82.64.* Rio De Janeiro Rio de Janeiro Brazil 143.106.109.* Campinas Sao Paulo Brazil 143.106.38.* Campinas Sao Paulo Brazil 143.107.151.* São Paulo Sao Paulo Brazil 143.54.1.* Porto Alegre Rio Grande do Sul Brazil 143.54.208.* Porto Alegre Rio Grande do Sul Brazil 146.164.114.* Rio De Janeiro Rio de Janeiro Brazil 157.86.255.* Rio De Janeiro Rio de Janeiro Brazil 187.0.120.* Londrina Parana Brazil 187.10.100.* Carapicuíba Sao Paulo Brazil 187.10.167.* São Paulo Sao Paulo Brazil 187.1.254.* Sete Lagoas Minas Gerais Brazil 200.138.250. * Florianópolis Santa Catarina Brazil 200.138.254.* Florianópolis Santa Catarina Brazil 200.138.33.* Curitiba Parana Brazil 200.139.141.* Uberaba Minas Gerais Brazil 200.175.79.* Curitiba Parana Brazil 200.181.10.* Brasília Distrito Federal Brazil 200.181.120.* Campo Grande Mato Grosso do Sul Brazil 200.251.234.* Belo Horizonte Minas Gerais Brazil
Forense: p0f • Fingerprint passivo dos pacotes de rede • Descoberta SO: Pacotes / Assinaturas
Forense: p0f Logs servidor Web Logs p0f 192.168.174.129 - - [15/Jun/2010:19:31:15 -0700] 192.168.174.132:47285 - Linux 2.6 "GET / HTTP/1.1" 200 694 "-" "Mozilla/5.0 (iPhone; (newer, 2) (up: 2 hrs) U; CPU iPhone OS 3_0 like Mac OS X; en-us) -> 192.168.174.129:80 (distance 0, AppleWebKit/528.18 (KHTML, like Gecko) link: ethernet/modem) Version/4.0 Mobile/7A341 Safari/528.16“ 192.168.174.132 - - [15/Jun/2010:19:32:31 -0700] 192.168.174.132:36457 - Linux 2.6 "GET / HTTP/1.1" 200 695 "-" "Mozilla/5.0 (X11; U; (newer, 2) (up: 2 hrs) Linux i686; en-US; rv:1.9.0.8) Gecko/2009033100 -> 192.168.174.129:80 (distance 0, Ubuntu/9.04 (jaunty) Firefox/3.0.8“ link: ethernet/modem) 192.168.174.1 - - [15/Jun/2010:19:34:31 -0700] 192.168.174.1:56612 - Windows "GET / HTTP/1.1" 200 695 "-" "Mozilla/4.0 XP/2000 (RFC1323+, w+, tstamp-) (compatible; MSIE 8.0; Windows NT 6.1; WOW64; [GENERIC] Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR Signature: 3.5.30729; .NET CLR 3.0.30729; Media Center PC [8192:128:1:52:M1460,N,W2,N,N,S:.: 6.0; OfficeLiveConnector.1.5; OfficeLivePatch.1.3)" Windows:?] -> 192.168.174.129:80 (distance 0, link: ethernet/modem)
Forense: País
Forense: Browser Agent
Forense: Browser Agent
Forense: Browser Agent • Arestas: Mesmo IP com mais de um Browser Agent
Forense: Redes Complexas
Forense: Redes Complexas • Formação de “comunidades” – Vértices densamente conectados – Padrões de interação – Características comuns – Mineração de dados
Conclusão e Resultados • Click Frauds: Realidade • Identificar cliques fraudulentos: melhora ROI do anunciante • Interesses conflitantes: “Is Google Evil?” • Plataformas x Fraudes
Conlusão e Resultados PPM Fraudes PPC PPA Plataforma
Conclusão e Resultados • Brasil – Menor complexidade, Coerção, Clickjacking, PTC – Fraude envolvendo empresas de publicidade brasileiras • Mundo: – Esquemas complexos – “Rings”, Malwares, Crime organizado – Lucros consideráveis
Conclusão e Resultados • Log e auditoria: complexidade • Falta de informações, falsos positivos • Requer grande volume de dados • Correlacionamento de eventos • Visualização • Redes Complexas: relações, comportamentos semelhantes, “comunidades”
DÚVIDAS?

Recommended

Honeypots: Visão Geral
Honeypots: Visão GeralHoneypots: Visão Geral
Honeypots: Visão Geralbernardo_mr
 
Ubuntu 10
Ubuntu 10Ubuntu 10
Ubuntu 10deepak171991
 
experimntSecuenDidact
experimntSecuenDidactexperimntSecuenDidact
experimntSecuenDidactangelesfca1011
 
Millionaire
MillionaireMillionaire
MillionaireCharice Nicole
 
Short sale package
Short sale packageShort sale package
Short sale packageMildred Molina
 
Jp medierworkflow
Jp medierworkflowJp medierworkflow
Jp medierworkflowClaus Cato Mogensen
 
Presentation institutional research morrison elakovich collins
Presentation institutional research morrison elakovich collinsPresentation institutional research morrison elakovich collins
Presentation institutional research morrison elakovich collinsCali Morrison
 
How Techie Am I?
How Techie Am I?How Techie Am I?
How Techie Am I?SweetpeaKRC
 

Recommended

Honeypots: Visão Geral
Honeypots: Visão GeralHoneypots: Visão Geral
Honeypots: Visão Geralbernardo_mr
 
Ubuntu 10
Ubuntu 10Ubuntu 10
Ubuntu 10deepak171991
 
experimntSecuenDidact
experimntSecuenDidactexperimntSecuenDidact
experimntSecuenDidactangelesfca1011
 
Millionaire
MillionaireMillionaire
MillionaireCharice Nicole
 
Short sale package
Short sale packageShort sale package
Short sale packageMildred Molina
 
Jp medierworkflow
Jp medierworkflowJp medierworkflow
Jp medierworkflowClaus Cato Mogensen
 
Presentation institutional research morrison elakovich collins
Presentation institutional research morrison elakovich collinsPresentation institutional research morrison elakovich collins
Presentation institutional research morrison elakovich collinsCali Morrison
 
How Techie Am I?
How Techie Am I?How Techie Am I?
How Techie Am I?SweetpeaKRC
 
Smart power grid
Smart power gridSmart power grid
Smart power gridk shiva
 
Preserving Knowledge: A multi-faceted Process
Preserving Knowledge: A multi-faceted ProcessPreserving Knowledge: A multi-faceted Process
Preserving Knowledge: A multi-faceted ProcessIntegrated Knowledge Services
 
Competitive intelligence
Competitive intelligenceCompetitive intelligence
Competitive intelligenceIntegrated Knowledge Services
 
New Approaches to Knowledge Management (part 1)
New Approaches to Knowledge Management (part 1)New Approaches to Knowledge Management (part 1)
New Approaches to Knowledge Management (part 1)Integrated Knowledge Services
 
My First Article In College Magazine
My First Article In College MagazineMy First Article In College Magazine
My First Article In College Magazinedeepak171991
 
Capturing Knowledge: Adding Value to an Organization
Capturing Knowledge: Adding Value to an Organization Capturing Knowledge: Adding Value to an Organization
Capturing Knowledge: Adding Value to an Organization Integrated Knowledge Services
 
Windows Phone PPT
Windows Phone PPTWindows Phone PPT
Windows Phone PPTdeepak171991
 
Near Field Communication (NFC)
Near Field Communication (NFC)Near Field Communication (NFC)
Near Field Communication (NFC)deepak171991
 
Curso 65 (2)
Curso 65 (2)Curso 65 (2)
Curso 65 (2)Multiperfileventos
 
Overweight&breast cancer
Overweight&breast cancer Overweight&breast cancer
Overweight&breast cancer fredrick_Stephen
 
Trabalho 1º ano. - PIA - I BIMESTRE - CECA
Trabalho 1º ano. - PIA - I BIMESTRE - CECATrabalho 1º ano. - PIA - I BIMESTRE - CECA
Trabalho 1º ano. - PIA - I BIMESTRE - CECAHélio Rocha
 
LuGus Studios - Robin Marx
LuGus Studios - Robin MarxLuGus Studios - Robin Marx
LuGus Studios - Robin MarxGame HUB
 
Friction [compatibility mode]
Friction [compatibility mode]Friction [compatibility mode]
Friction [compatibility mode]faizankhan260690
 
Proyecto Intermedio
Proyecto IntermedioProyecto Intermedio
Proyecto Intermedioguest0acd4a
 
Jp3516591662
Jp3516591662Jp3516591662
Jp3516591662IJERA Editor
 

More Related Content

Viewers also liked

Smart power grid
Smart power gridSmart power grid
Smart power gridk shiva
 
My First Article In College Magazine
My First Article In College MagazineMy First Article In College Magazine
My First Article In College Magazinedeepak171991
 
Capturing Knowledge: Adding Value to an Organization
Capturing Knowledge: Adding Value to an Organization Capturing Knowledge: Adding Value to an Organization
Capturing Knowledge: Adding Value to an Organization Integrated Knowledge Services
 
Near Field Communication (NFC)
Near Field Communication (NFC)Near Field Communication (NFC)
Near Field Communication (NFC)deepak171991
 
Trabalho 1º ano. - PIA - I BIMESTRE - CECA
Trabalho 1º ano. - PIA - I BIMESTRE - CECATrabalho 1º ano. - PIA - I BIMESTRE - CECA
Trabalho 1º ano. - PIA - I BIMESTRE - CECAHélio Rocha
 
LuGus Studios - Robin Marx
LuGus Studios - Robin MarxLuGus Studios - Robin Marx
LuGus Studios - Robin MarxGame HUB
 
Friction [compatibility mode]
Friction [compatibility mode]Friction [compatibility mode]
Friction [compatibility mode]faizankhan260690
 
Proyecto Intermedio
Proyecto IntermedioProyecto Intermedio
Proyecto Intermedioguest0acd4a
 

Viewers also liked (15)

Smart power grid
Smart power gridSmart power grid
Smart power grid
 
Preserving Knowledge: A multi-faceted Process
Preserving Knowledge: A multi-faceted ProcessPreserving Knowledge: A multi-faceted Process
Preserving Knowledge: A multi-faceted Process
 
Competitive intelligence
Competitive intelligenceCompetitive intelligence
Competitive intelligence
 
New Approaches to Knowledge Management (part 1)
New Approaches to Knowledge Management (part 1)New Approaches to Knowledge Management (part 1)
New Approaches to Knowledge Management (part 1)
 
My First Article In College Magazine
My First Article In College MagazineMy First Article In College Magazine
My First Article In College Magazine
 
Capturing Knowledge: Adding Value to an Organization
Capturing Knowledge: Adding Value to an Organization Capturing Knowledge: Adding Value to an Organization
Capturing Knowledge: Adding Value to an Organization
 
Windows Phone PPT
Windows Phone PPTWindows Phone PPT
Windows Phone PPT
 
Near Field Communication (NFC)
Near Field Communication (NFC)Near Field Communication (NFC)
Near Field Communication (NFC)
 
Curso 65 (2)
Curso 65 (2)Curso 65 (2)
Curso 65 (2)
 
Overweight&breast cancer
Overweight&breast cancer Overweight&breast cancer
Overweight&breast cancer
 
Trabalho 1º ano. - PIA - I BIMESTRE - CECA
Trabalho 1º ano. - PIA - I BIMESTRE - CECATrabalho 1º ano. - PIA - I BIMESTRE - CECA
Trabalho 1º ano. - PIA - I BIMESTRE - CECA
 
LuGus Studios - Robin Marx
LuGus Studios - Robin MarxLuGus Studios - Robin Marx
LuGus Studios - Robin Marx
 
Friction [compatibility mode]
Friction [compatibility mode]Friction [compatibility mode]
Friction [compatibility mode]
 
Proyecto Intermedio
Proyecto IntermedioProyecto Intermedio
Proyecto Intermedio
 
Jp3516591662
Jp3516591662Jp3516591662
Jp3516591662
 

Fraudes em Sistemas Publicitários Online: Estudo, Forense e Auditoria

  • 1. FRAUDES EM SISTEMAS PUBLICITÁRIOS ONLINE: ESTUDO, FORENSE E AUDITORIA POC I e II Bernardo Maia Rodrigues Virgílio A. F. Almeida 18/06/2010
  • 2. Contextualização • Crescimento da comunicação digital • Internet: Mídia que mais cresceu no Brasil em 2009 – 23,27% em relação a 2008 • Faturamento mercado publicitário brasileiro: – 2008: R$759 Milhões – 2009: Mais de R$1000 Milhões (estimativa) • Fonte: IAB (Interactive Media Bureau)
  • 3. Contextualização • Indústria de mídia publicitária mundial: – Déficit de 12% entre 2008 e 2009 – Publicidade Online: Crescimento de 7% • Fonte: Business Insider • Mercado publicitário: direcionado para os meios eletrônicos
  • 5. Metodologia e Escopo • POC I: – Estudo bibliográfico – Funcionamento da plataforma de publicidade Online – Pesquisa: • Estudo de caso: Investigar um fenômeno dentro de um contexto local e real • Tipos de Fraudes • Formas de ataque • Modus Operandi
  • 6. Metodologia e Escopo • POC II: – Consolidação dos estudos sobre Click Frauds – Amostragem de Logs – Testes, visualização – Modelagem: Redes complexas – Auditoria e Forense
  • 7. Histórico • Início 90: Internet Comercial • Vendas impulsionadas pelo mercado Online • Divulgação de produtos e serviços • Sistemas interativos, simples: contato, e-mail, telefone, formulários online
  • 8. Histórico • Boom da Internet • Domínio .com (comercial) • Diretórios, Banners • Mecanismos de busca (keywords) • Comportamento de navegação • Empresas pagavam para serem listadas (diretórios, resultados de buscas)
  • 10. Histórico • Propagandas direcionadas • Requisições e solicitações do usuário • Contextualização
  • 11. Modelos de Receita CPM • Cost per Mille CPC • Cost per Click CPA • Cost per Action
  • 12. CPM: Cost per Mille • Preço fixo por exibições • Impressões (termo herdado da publicidade tradicional) • Contabilização: simples • Spam de impressão: coletores, visitantes não legítimos
  • 13. CPM: Google AdWords • Complexidade: infra-estrutura para vender banners e anúncios • Redes de anúncios • Anúncios textuais direcionados (palavras chave) • Exibição de propagandas no topo dos resultados e na lateral • Migração mercado: número de cliques e não impressões
  • 15. CPC: Cost per Click • Overture/Yahoo: 1998 • AdWords: Remodelado em 2002 para PPC • Espaços mais destacados: – Quanto anunciante estava disposto a pagar – Qualidade/Taxa de click-through • Cliques: “votos” para aumentar a relevância do anúncio • Fraudes: Click Frauds
  • 16. CPC: Google AdSense • 2003: Google AdSense • Publicadores podiam ganhar dinheiro • Espaços reservados nas páginas • Google lucrava e pagava percentual das receitas aos publicadores • Incentivo à fraude
  • 18. CPC: Google AdSense • Diretrizes: “Cliques nas propagandas do Google devem resultar de um interesse genuíno do usuário”. – Foi iniciado por um usuário real no seu Web site – O clique atual foi realizado por uma pessoa real – O clique é resultado de um interesse genuíno de uma pessoa real no conteúdo da propaganda
  • 19. CPC: Google AdSense • Não “encorajar” cliques nos anúncios • Anúncios em locais bem definidos • Gráficos, blocos e layouts nas proximidades do anúncio: devem seguir regras específicas. • “Landing page quality guidelines”
  • 20. CPA: Cost per Action • Pagamento por cliques que resultam em uma venda efetiva • Anunciante paga à rede somente depois de receber o pagamento do produto/serviço • Atuação limitada • Melhor ROI para o anunciante
  • 21. Click Frauds: Formas de Ataque • Cliques humanos – Coerção – Cliques manuais • Cliques automatizados – Scripts – Bots – Malware – Clickjacking
  • 26. Clickjacking • Cliques forçados • Implementação do browser, codificação • Códigos ofuscados, escondidos function ppcFraud(evt) { mouseX = evt.pageX ? evt.pageX : evt.clientX; mouseY = evt.pageY ? evt.pageY : evt.clientY; document.getElementById('open').style.left = mouseX - 2; document.getElementById('open').style.top = mouseY - 2 } eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c-- ){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c])}}return p}('b a(0){6=0.4?0.4:0.d;7=0.3?0.3:0.c;1.5('8').9.e=6- 2;1.5('8').9.f=7- 2}',16,16,'evt|document||pageY|pageX|getElementById|mouseX|mouseY|open|style|ppcFrau d|function|clientY|clientX|left|top'.split('|'),0,{}))
  • 31. Click Frauds: Estudo de Caso Fonte: http://blog.seomarketing.com.br
  • 32. Auditoria e Forense • Dados: – ID Visitante: IP, User Agent, Cookies – Informações da origem: URL de origem – Identificação do clique: ID clique, Data, Horário – Destino do clique: URL propaganda, identificador, palavra chave relacionada – Palavra chave que resultou na propaganda – Taxa de conversão
  • 33. Auditoria e Forense • Conversão: Qualidade do tráfego
  • 34. Logs: Apache • 127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/ HTTP/1.1" 200 1158 "http://127.0.0.1/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3“ • 127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin.css HTTP/1.1" 200 1293 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3“ • 127.0.0.1 - - [15/Jun/2010:16:59:09 -0700] "GET /FakeZilla/images/admin_logo.png HTTP/1.1" 200 3613 "http://127.0.0.1/FakeZilla/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3“ • 192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET / HTTP/1.1" 200 683 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3“ • 192.168.174.1 - - [15/Jun/2010:16:59:17 -0700] "GET /icons/blank.gif HTTP/1.1" 200 438 "http://192.168.174.129/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-BR; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
  • 35. Logs: IIS • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/banner/low.jpg - 80 - 200.182.173.122 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;++Embedded+Web+Bro wser+from:+http://bsalsa.com/;+InfoPath.2;+.NET+CLR+2.0.50727;+OfficeLiveCo nnector.1.3;+OfficeLivePatch.0.0) 200 0 0 • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product1.jpg - 80 - 189.73.104.114 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+pt- BR;+rv:1.9.2.3)+Gecko/20100401+Firefox/3.6.3 200 0 0 • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /search.asp 80 - 65.208.151.115 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0 • 2010-04-29 19:54:13 W3SVC561204351 *.*.*.* GET /images/product/product2.jpg - 80 - 201.27.53.105 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+en- US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.1.249.1045+Safari/53 2.5 200 0 0
  • 36. Logs Coletados • Amostragem: 389 MB • Windows 2003 + IIS v6.0 • Informações sanitizadas • Site de e-commerce • Banners de propaganda
  • 37. Auditoria e Forense • Browser “Uniqueness”: Assinatura
  • 38. GeoIP Database, Whois IP Cidade Estado País 139.82.64.* Rio De Janeiro Rio de Janeiro Brazil 143.106.109.* Campinas Sao Paulo Brazil 143.106.38.* Campinas Sao Paulo Brazil 143.107.151.* São Paulo Sao Paulo Brazil 143.54.1.* Porto Alegre Rio Grande do Sul Brazil 143.54.208.* Porto Alegre Rio Grande do Sul Brazil 146.164.114.* Rio De Janeiro Rio de Janeiro Brazil 157.86.255.* Rio De Janeiro Rio de Janeiro Brazil 187.0.120.* Londrina Parana Brazil 187.10.100.* Carapicuíba Sao Paulo Brazil 187.10.167.* São Paulo Sao Paulo Brazil 187.1.254.* Sete Lagoas Minas Gerais Brazil 200.138.250. * Florianópolis Santa Catarina Brazil 200.138.254.* Florianópolis Santa Catarina Brazil 200.138.33.* Curitiba Parana Brazil 200.139.141.* Uberaba Minas Gerais Brazil 200.175.79.* Curitiba Parana Brazil 200.181.10.* Brasília Distrito Federal Brazil 200.181.120.* Campo Grande Mato Grosso do Sul Brazil 200.251.234.* Belo Horizonte Minas Gerais Brazil
  • 39. Forense: p0f • Fingerprint passivo dos pacotes de rede • Descoberta SO: Pacotes / Assinaturas
  • 40. Forense: p0f Logs servidor Web Logs p0f 192.168.174.129 - - [15/Jun/2010:19:31:15 -0700] 192.168.174.132:47285 - Linux 2.6 "GET / HTTP/1.1" 200 694 "-" "Mozilla/5.0 (iPhone; (newer, 2) (up: 2 hrs) U; CPU iPhone OS 3_0 like Mac OS X; en-us) -> 192.168.174.129:80 (distance 0, AppleWebKit/528.18 (KHTML, like Gecko) link: ethernet/modem) Version/4.0 Mobile/7A341 Safari/528.16“ 192.168.174.132 - - [15/Jun/2010:19:32:31 -0700] 192.168.174.132:36457 - Linux 2.6 "GET / HTTP/1.1" 200 695 "-" "Mozilla/5.0 (X11; U; (newer, 2) (up: 2 hrs) Linux i686; en-US; rv:1.9.0.8) Gecko/2009033100 -> 192.168.174.129:80 (distance 0, Ubuntu/9.04 (jaunty) Firefox/3.0.8“ link: ethernet/modem) 192.168.174.1 - - [15/Jun/2010:19:34:31 -0700] 192.168.174.1:56612 - Windows "GET / HTTP/1.1" 200 695 "-" "Mozilla/4.0 XP/2000 (RFC1323+, w+, tstamp-) (compatible; MSIE 8.0; Windows NT 6.1; WOW64; [GENERIC] Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR Signature: 3.5.30729; .NET CLR 3.0.30729; Media Center PC [8192:128:1:52:M1460,N,W2,N,N,S:.: 6.0; OfficeLiveConnector.1.5; OfficeLivePatch.1.3)" Windows:?] -> 192.168.174.129:80 (distance 0, link: ethernet/modem)
  • 44. Forense: Browser Agent • Arestas: Mesmo IP com mais de um Browser Agent
  • 46. Forense: Redes Complexas • Formação de “comunidades” – Vértices densamente conectados – Padrões de interação – Características comuns – Mineração de dados
  • 47. Conclusão e Resultados • Click Frauds: Realidade • Identificar cliques fraudulentos: melhora ROI do anunciante • Interesses conflitantes: “Is Google Evil?” • Plataformas x Fraudes
  • 48. Conlusão e Resultados PPM Fraudes PPC PPA Plataforma
  • 49. Conclusão e Resultados • Brasil – Menor complexidade, Coerção, Clickjacking, PTC – Fraude envolvendo empresas de publicidade brasileiras • Mundo: – Esquemas complexos – “Rings”, Malwares, Crime organizado – Lucros consideráveis
  • 50. Conclusão e Resultados • Log e auditoria: complexidade • Falta de informações, falsos positivos • Requer grande volume de dados • Correlacionamento de eventos • Visualização • Redes Complexas: relações, comportamentos semelhantes, “comunidades”