Biệt đội chống gian lận quảng cáo của Google

Thứ Bảy, 24/10/2020, 15:07
Trong một căn phòng hội nghị nằm ở tầng 9 của tòa nhà trên phố St. Giles High (thủ đô London), một kỹ sư người Nga tên là Sasha mở máy tính và bắt đầu trao các hướng dẫn cho tôi (Alex Kantrowitz, phóng viên công nghệ kỳ cựu của trang tin BuzzFeedNews). Sasha ra lệnh: "Trước hết, hãy vào một số trang web. Gõ AdAge.com?".

Khi trang bắt đầu hiện ra thì một dòng mã hiển thị ngay trên màn hình một cửa sổ riêng nằm ở bên trái. Và sau vài giây, Sasha giải thích chuyện gì đã xảy ra: "Tôi sợ rằng khi ông làm việc với nhóm của tôi thì sẽ không vào đúng cái trang mà chúng tôi mới vừa chỉ. Mà nếu vào nhầm thì máy tính sẽ bị nhiễm độc. Ông đã vừa đăng nhập vào Botnet (một phần mềm dùng để gửi đi một lượng lớn thư rác)". Trên thực tế, kết nối mà tôi vừa đăng nhập đã bị hack, nó không phải AdAge.com, việc bấm vào bất kỳ trang nào trên mạng internet cũng đều khiến cho máy tính bị nhiễm virus.

Gian lận quảng cáo trong thời kỹ thuật số 

Công việc của Sasha chỉ mới bắt đầu. Ông là một thành viên của đội chống trộm tuyệt mật của Google (SAT). Đơn vị này có quân số thành viên chỉ hơn 100, tất cả họ đang trong một cuộc chiến chống lại một lượng tội phạm mạng vô danh - những kẻ đang tích cực bòn rút hàng tỷ USD ra khỏi ngành công nghiệp quảng cáo kỹ thuật số, chủ yếu thông qua việc sáng tạo ra hoạt động lưu lượng máy có tác động với con người. Điều lạ ngay trong bộ máy của Google, SAT cũng chưa từng hé môi nói với người ngoài về cách họ săn lùng các Botnet. 

Sasha, một thành viên của đội chống trộm tuyệt mật của Google (SAT) bên trong cơ quan làm việc của mình, một nhánh của Google

Nhưng sự im lặng đó đã kết thúc khi Sasha mở máy tính của mình. Đối với các "tay chơi" cả web lớn và nhỏ, gian lận quảng cáo kỹ thuật số là một vấn đề nổi cộm. Dòng chảy đồng đô la Mỹ từ quảng cáo cho đến truyền thông kỹ thuật số (từ lĩnh vực truyền hình và in ấn) đã đồng hành với sự chuyển động sang tự động hóa của kỹ thuật số, đã biến khu vực này thành một mảnh đất màu mỡ cho các "diễn viên hắc ám" trong thời đại kỹ thuật số.

Theo một cuộc nghiên cứu của hãng chống gian lận White Ops và Hiệp hội các nhà quảng cáo quốc gia cho cộng đồng tiếp thị Hoa Kỳ (ANA) thì số tiền 6,3 tỷ USD đã bị "bùng" trong hoạt động gian lận quảng cáo chỉ riêng trong năm 2015. Và Google (hãng công nghệ quảng cáo lớn nhất hành tinh) đang là đơn vị bị thiệt hại nhiều nhất do bởi quy mô khổng lồ của các thương vụ giao dịch được thực hiện thông qua các máy chủ quảng cáo, nền tảng mua tự động và trao đổi quảng cáo diễn ra mỗi ngày. 

Nếu các nhà quảng cáo tin rằng hoạt động của Google chứa đầy ắp rủi ro lừa đảo thì họ sẽ mang tiền đi nơi khác, đồng thời doanh nghiệp sẽ chùn bước. Hoạt động tính toán sự nổi bật trong quảng cáo của hãng Google đã đến từ công ty công nghệ quảng cáo Ghostery. Theo các số liệu gần đây nhất của Ghostery thì ngay trong tháng 9 năm 2013, Ghostery đã ghi nhận Google hiển thị 316 tỷ quảng cáo, công ty nhận quảng cáo lớn thứ 2 thế giới là OpenX với 84,4 tỷ quảng cáo.

Cho đến thời điểm này, Google đang sẵn sàng chống gian lận quảng cáo từ trong hậu trường, tuy nhiên thật khó để giữ mọi chuyện trong im lặng. Ông Neal Mohan, nhân vật chuyên trách về hiển thị các sản phẩm quảng cáo và video V-P Google, phát biểu: "Việc chia sẻ các quan điểm và mức độ đầu tư của chúng tôi sẽ giúp ích cho phần còn lại của ngành công nghiệp quảng cáo". 

Khi gặp nhóm của Sasha, anh ta và các thành viên của SAT đề nghị tôi gọi họ bằng tên, không gọi cả họ tên để đảm bảo lý do an toàn. Tại văn phòng SAT, 6 thành viên của nhóm chống gian lận ngồi rải rác trong căn phòng có cửa sổ xoay mặt về hướng Nam London. 

Sasha đang bắt đầu "đào" mã để tìm hiểu trang AdAge.com, cho đến khi anh ta tìm thấy vài dòng cái gọi là "khai thác", nó chính xác là chìa khóa mà bọn tin tặc dùng để mở khóa máy tính. Khi "khai thác" bật ra cánh cửa vào máy tính, các nhà điều hành sâu độc (phần mềm độc hại) có thể thiết lập các chương trình để giành quyền kiểm soát toàn bộ máy tính.

Đối với kẻ gian lận quảng cáo, việc kiểm soát máy tính là cơ hội vàng, nó cho phép hắn ta sử dụng máy tính để duyệt web trong các cửa sổ bí mật, và chủ nhân không hề hay biết. Gian lận quảng cáo thường được thực hiện thông qua các máy tính cá nhân, là một trong các chiêu phổ biến nhất. Những máy tính cá nhân bị tấn công (gọi là "máy bay không người lái") sẽ tạo ra Botnet với mục đích cao nhất là kiếm càng nhiều đô la càng tốt. 

Khống chế máy tính cá nhân giúp các nhà khai thác Botnet không bị phát giác. Nó đa dạng hóa các địa chỉ IP và vị trí địa lý, "tàng hình" các lưu lượng mà họ gửi qua internet. Các "khai thác" có thể thực hiện trên máy tính thông qua một số đường dẫn gồm mạng wi-fi, mã chứa quảng cáo (quảng cáo độc hại), chiếm quyền điều khiển bộ định tuyến tại gia, thư rác và "hack" các trang web. 

Đối với những kẻ nhám tay, kiếm tiền từ máy móc bị nhiễm virus là một thủ đoạn đơn giản. Có 2 cách căn bản để làm việc đó: quý vị bán lưu lượng web cho các nhà xuất bản (thông qua một chuỗi trung gian), những người hình dung rằng họ sẽ kiếm được nhiều hơn từ quảng cáo thay vì số tiền kiếm được từ lưu lượng; hoặc quý vị sẽ tự thành lập trang web, gửi lưu lượng đến đó và tự bán quảng cáo. Công thức kiếm tiền từ botnet nghe có vẻ nhanh hơn, tuy nhiên việc bị lật mặt cũng đối mặt với không ít phiền toái. 

Trong khi Sasha đối phó các kịch bản về lưu lượng web, thì thành viên Douglas de Jager (người phụ trách điều hành săn lùng botnet của Google) lại chịu trách nhiệm chống các gian lận trộm tiền từ quảng cáo. Douglas de Jager đã phát hiện bọn xấu trên mạng từ rất sớm, và thành lập ra Spider.io để chống lại "giang hồ mạng". 

Lúc mới được Google mua lại, Spider.io chỉ có đúng 7 người, và họ đã tăng tốc sức mạnh tính toán của Google một cách đáng kể. Kể từ khi Douglas de Jager "rửa tay gác kiếm", thế giới giang hồ mạng dậy lên sóng gió và ngày càng xảo quyệt hơn. 

Theo Douglas, Malware (phần mềm ác ý) từng được tội phạm mạng dùng để gian lận ngân hàng (nhưng phải xác thực 2 yếu tố: ví dụ như, khi ngân hàng yêu cầu lấy mã từ điện thoại di động của khách hàng trước khi khách ký trên máy tính; hoặc hỏi khách hàng có muốn gửi tiền đến đâu đó không) nhưng lại giảm lợi nhuận của tội phạm. 

Thế rồi, bọn tin tặc chuyển sang gian lận thẻ tín dụng. Kế tiếp là bọn tội phạm tham gia vào đào tiền ảo Bitcoin. Nhưng cả Bitcoin cũng không hấp dẫn. Và hiện giờ tội phạm mạng chỉ chăm chăm đánh cắp tiền từ gian lận quảng cáo kỹ thuật số.

Săn lùng những kẻ gian lận

Các thành viên tại SAT cùng để mắt quan tâm tới nhị phân phần mềm ác ý. Theo đó, nhị phân là một động cơ của Botnet, nó hướng dẫn các máy tính bị nhiễm virus cách thức duyệt trang web. Nó báo cho các máy tính biết về những trang sẽ ghé thăm, lưu lại bao lâu, làm gì ở đó và hơn thế nữa.

SAT sẽ lấy các đoạn mã thô này từ một nhúm nguồn bao gồm VirusTotal (một công ty quét phần mềm ác ý được thành lập từ năm 2012). Giải mã các nhị phân là một bước quan trọng trong cả quy trình nhằm cho phép SAT theo dấu vết của Botnet.

Vegard Johnsen khẳng định: "Nhị phân là rất tinh tế, quý vị sẽ thật sự cảm nhận có ai đó đứng sau mã khi quý vị mở máy tính. Qúy vị sẽ biết ai đó ở phía bên kia và chọn những thứ này, rồi ung dung viết mã. Chúng tôi đang nghĩ đến có những gã nấp trong bóng tối và ung dung đếm tiền". Các thành viên của SAT chuyên trách giám sát các diễn đàn mạng có dấu hiệu nghi vấn, theo dõi mấy gã bụng xấu đang mua và bán các máy tính bị nhiễm, và chễm chệ khai thác chúng. 

"Chợ đen" này được hoạt động với hệ thống kiểm tra và cân bằng riêng. Có một hệ thống ký quỹ nơi tiền được đặt ở đó và hàng hóa sẽ được chuyển giao. Mặc dù vậy, những kẻ gian lận không có áo giáp chống đạn. Bản thân các botnet cũng mắc lỗi như bản thân con người chúng ta. Và từ những lỗi này, đôi khi nhỏ bé và không đáng kể, đã cho phép Google xác nhận và vô hiệu hóa chúng.

Tín hiệu tố giác tội phạm

Những cuộc thảo luận dài về gian lận quảng cáo lại… tốn rất nhiều cà phê, nơi các "hiệp sĩ SAT" thảo luận bàn tròn để tìm ra các đối sách chống trộm. Khi các chiến binh chống lừa đảo quảng cáo của Google kết thúc quy trình thiết lập đảo ngược mã của botnet, họ sẽ để lại một bản thiết kế chi tiết về hành vi của botnet. 

Nhờ kích thước khủng của Google mà bản thiết kế chi tiết sau đó có thể được phủ lên bề mặt dữ liệu phong phú của Google để tìm ra các khối lưu lượng phù hợp. Là một phần của quy trình này, nhóm SAT sẽ tìm ra lưu lượng của cả các đặc tính của botnet và cả thứ mà nó gọi là "tín hiệu". 

Đặc điểm của "tín hiệu" cũng khá đơn giản, thường thì chúng là một hành vi lưu lượng diễn ra tự nhiên chẳng hạn như tỷ lệ nhấp chuột, tỷ lệ chuyển đổi, duyệt web và ngay cả cái trang mà chuột nhấp vào. "Tín hiệu" rất hữu ích, nhưng khi Google dán nhãn lên một lưu lượng không phải do người, hãng sẽ từ chối trả tiền cho nhà xuất bản (đơn vị phát quảng cáo). 

Đó là lý do vì sao các tín hiệu lại rất quan trọng. Tín hiệu là một dạng hành vi không tồn tại theo kiểu bình thường mà nó được làm ra từ bọn lừa đảo khi các chương trình của chúng đăng nhập vào botnet. SAT đặc biệt thận trọng trong việc chuyển giao "tín hiệu". 

Nhóm Google thường đặc biệt cẩn trọng khi chuyển giao tín hiệu vì nhiều thứ trong số chúng vẫn còn "sống" và có thể phơi bày những kẻ gian lận nếu một khi được công bố. Và đó là một lằn ranh như thế. Nhóm Google đã trưng ra một bằng chứng đáng tin cậy, đó là ZeroAccess, một dạng botnet mà Microsoft đã triệt hạ hồi năm 2013 nhưng sau đó nó đã tái sinh. 

Xét về bản chất, việc tái thiết lập cookie của trình duyệt sẽ tạo ra số 0 trong nó, tuy nhiên một căn nguyên nào đó đã khiến ZeroAccess đã tự chèn một khoảng trống vào đó. Botnet đặt lại cookie trên trình duyệt ngay trước mỗi lần duyệt web vì thế mà nó hiển thị khoảng trống khá đều đặn. 

Tín hiệu này đủ để xác định lưu lượng truy cập là do ZeroAccess tạo ra, nhưng thường thì Google sẽ yêu cầu một số lượng tín hiệu trong cùng thời gian để khẳng định rằng lưu lượng là một dạng botnet nhất định và tiêu diệt nó.

"Lính gác" Powerdrill

Với bất kỳ cuộc chiến chính tà nào đều cần phải xác định phần cứng cốt lõi của nó. Và với nhóm Google thì phần cứng quyết định đó là Powerdrill. Powerdrill là một hệ thống máy móc siêu kỳ lạ khi nó đủ bản lĩnh để xử lý nửa nghìn tỷ tế bào dữ liệu chỉ trong không đầy 5 giây! 

Các chuyên gia đang thảo luận về bảo mật ngân hàng chống rút tiền từ các hoạt động quảng cáo điện tử.

Và nó có thể tách dữ liệu đó ra dưới dạng biểu đồ giúp các chuyên gia có thể nhận diện những thứ bất thường của lưu lượng truy cập phi con người. Màn hình hiển thị ra Powerdrill cho thấy nó là sự kết nối của 4 địa chỉ IP và 1 máy chủ web. 

Rõ ràng, lưu lượng là toàn bộ công việc của một số thực thể nào đó, nó đã tạo ra 100 triệu lần nhấp vào quảng cáo chỉ trên một mạng Google trong vòng 10 ngày. Lượng truy cập này quá lớn nên nó đã làm chặn đứng kết quả của vô số chiến dịch quảng cáo trong 10 ngày đó và đến hôm nay nó vẫn tiếp tục chạy. Song oái oăm là lưu lượng này lại không phải là một phần của Botnet.

Một thành viên của SAT giải thích: "Nó thực sự là một công ty chuyên trách xác tín các quảng cáo. Công ty này thường xuyên duyệt web, lấy mẫu càng nhiều càng tốt, đồng thời liên tục nhấp nhằm ghi lại các trang chủ chốt mà quảng cáo nhắm đến. Mặc dù dịch vụ xác tín có thể nhận diện trình duyệt đó "phi con người", nhưng nó chọn cách không làm vậy, vì thế mà tự nó trở thành một lưu lượng truy cập hợp pháp cho nhiều công ty quảng cáo.

Văn Chương (Tổng hợp)
.
.