Szerző: Dojcsák Dániel

2013. január 24. 08:43:00

Black Hat Analytics: csalás a weben sok pénzért

Ahol pénz van, ott csalás is van. Phil Pearce, a brit Conversion Works szakértője a héten zajló Superweek konferencián mutatta be, milyen rosszindulatú módszerek ismertek a webanalitika világában. Ezekre persze nem rábeszélni akarja a közönséget, épp ellenkezőleg, mindenkit óva int még az enyhébb csalásoktól is.

Ahogy egyre érettebb a webes világ, ahogy egyre több funkció érhető el a neten, ahogy a társadalom egyre szélesebb rétege támaszkodik rá, úgy növekszik folyamatosan a csalások és visszaélések száma is - ebben ez esetben nem a bankkártya-lopásokra vagy más biztonsági fenyegetésekre kell gondolni, hanem a webhasználati statisztikák meghamisítására, és ezáltal tisztességtelen bevételszerzésre. A hamis konverziók terjedése ugrásszerűen nőni fog, jönnek a bothadseregek, amik valódi felhasználói aktivitást színlelve manipulálnak statisztikákat, torzítanak adatbázisokat és vezetnek félre elemzőket. Sajnálatos módon a szabályozás és a kontroll még gyenge, az online hirdetési rendszer licitalapú működése azonban sokakat érdekeltté tesz a hamisításban.

Csalás pénzért

Mi is a Black Hat Analytics? Minden olyan tevékenység, ami torzítja, törli vagy etikátlan módszerekkel hamisítja, felülírja a webes elemzőrendszerek adatait, s teszi mindezt technikai vagy jogi kiskapuk kihasználásával anyagi vagy versenyelőnyökért. A lista hosszú, s sok olyan elem is van rajta, amivel az internetezők gyakran találkozhatnak, vannak ártalmatlanok és komoly károkat okozók is, mondta el a Superweek konferencián Phil Pearce.

A motiváció: pénz. Az ún. affiliate hálózatok, vagyis egy termék vagy szolgáltatás értékesítését jutalékért végző oldalak növelni akarják a „CPA” (Cost per acquisition) értéket, hogy nagyobb bevételre tegyenek szert, illetve újabb felhasználókat akarnak behúzni a rendszerükbe. Az online újságok olvasottságot akarnak és a felületeiket értékesebbnek akarják láttatni - itt a manuális klikkeléssel növelt reklámkattintásoktól a komoly botnet-hálózatokig mindenféle példa megtalálható a statisztikák manipulálására. A bannerhálózatok, hirdetési rendszerek, popup-birodalmak pedig azt szeretnék, ha minél több számítógépen ott lennének, ha kevesebb kihelyezett cookie-t törölnének le, vagy legalább azok visszakerülnének a helyükre.

A Black Hat Analytics eszköztárában gyakori a visszafelé mutató referrer link vagy az azt listázó naplók módosítása, spamelése - itt főleg rosszindulatú keresőoptimalizálási technikákra kell gondolni. Különböző JavaScript-eszközökkel támadható maga a Google Analytics naplója is, illetve semmi akadálya annak sem, hogy a felhasználó böngészőjében változtasson meg valaki adatokat, például egy CSS-hack segítségével a böngészőelőzmények ellophatóak vagy manipulálhatóak. Divatos trükk a "zombi cookiek" használata, amik a törlés után újraélednek és folytatják tovább eredeti tevékenységüket. A legizgalmasabb talán az úgynevezett „evercookie”, ami a számítógépen az összes létező módszerrel és helyre eltárolja magát, újabb cookie-kat hoz létre, s a legtöbb törlési kísérlet után visszatér és újra beássa magát. Ez akkor is jelen marad, ha a felhasználó a böngészőből elérhető funkciókkal töröl minden előzményt és beállítást.

Ennél égetőbb probléma a konverzióhamisítás, illetve a keresőhirdetések esetén a hamis forgalommal való visszaélés egyes kulcsszavak licitárának növelésére vagy csökkentésére. Gyakori szintén a hivatkozások (referer) hamisítása, akár úgy is, hogy egy teljesen másik domain kerül be a statisztikákba - ez utóbbiak már támadó jellegű megoldások. A Google Analytics statisztikákat azonban sokan szeretik saját kerítésen belül is illegális módszerekkel módosítani. Nem ritka a visszafordulások arányának csökkentése mesterséges (bot) forgalommal, de adja magát az egy kattintásra kettő vagy több oldalletöltés generálása, vagy éppen egy oldalletöltéssel párhuzamosan előfordul, hogy tucatnyi követő cookie aktiválódik.

A fekete kalapos, tiltott, de legalábbis etikátlan eszközök besorolásakor a szakértők elsődlegesen a szándék alapján különböztetik meg az eseteket. A leggyakoribbak véletlen hibák, inkább figyelmetlenségből, a következmények nem átgondolásából fakadó problémák, míg a másik csoport nyilvánvalóan a szándékos, rosszindulatú visszaéléseké. Megkülönböztethetőek a célpont szerint is az esetek, hiszen vannak a saját weboldalon történő akciók, illetve a konkurensek, más weboldalak elleni támadások. A manipuláció oka is különböző lehet, egyik oldalon a hamis adatok elhitetése áll, a másikon pedig a forgalom terelése. Az sem mindegy, hogy egy támadás egy niche rést érint vagy masszív skálájú, illetve az esetek vizsgálatakor számít, hogy az adatok érintetlenek maradtak vagy módosítva lettek.

A jó fiúkat mészárolják le először

Necces és tiltott módszereket azonban nem csak a bűnözői csoportok, botnet-üzemeltetők és illegális bandák használnak, sőt, a legnagyobb ügyek épp a legismertebb webes szolgáltatók háza tájáról kerülnek elő. A Facebook esetében például a kijelentkezés gomb nem törölte a "3rd party" cookie-kat, így a felhasználó továbbra is azonosítható maradt. Bizonyára emlékeznek még sokan arra, hogy a Google kijátszotta a Safari tiltását és a Doubleclick hirdetési rendszer külső cookie-jait becsempészte a gépekre. Az is felejthetetlen volt, amikor a Google Buzz publikálta a felhasználói névjegyzékeket, de azt is érdemes megemlíteni, hogy a Netflix a felhasználói fiókok törlését követően is megtartotta a statisztikákat és előzményeket.

A Google Franciaországban bukott le azzal, hogy a Wi-Fi hálózatok szkennelésekor a sugárzott adatokat is elmentette, az Apple pedig titokban naplózta az iPhone-ok lokációs adatait a cellainformációk mentésével. Ez utóbbi ügyben folyamatban van már a per, de várhatóan a Facebook, a Twitter és a Path mobilalkalmazásai miatt is bírósági eljárás jön, hiszen ezek kivétel nélkül a felhasználó beleegyezése nélkül töltöttek fel személyes információkat a szolgáltató szerverére. Az ilyen eseteken felül gyakori és főleg a webes kereskedelemben és hirdetési piacon a Pagerank-hamisítás, a visszamutató linkekkel való spamelés és több más olyan módszer, ami a keresőforgalmat próbálja manipulálni.

Durvább esetek

Vannak nem csak etikátlan, de súlyosabb bűncselekmények, ezek általában adathalász kísérletek, amik más weboldalak analitikai adatait próbálják megszerezni, de az is előfordul, hogy biztonsági réseket kihasználva cookie-k révén tesznek a felhasználók számára elérhetetlenné bizonyos oldalakat a versenytársak megbízásából. Vírusokkal pedig teljes egészében meg lehet hamisítani a Google Analytics kódot, amivel már bármit lehet kezdeni, csak a fantázia szab határt a rosszindulat kiteljesedésének. A számítógépeken nem túl bonyolult a DNS-mérgezés nevű eljárás, amivel teljes egészében átirányítható a felhasználó, minden lépése rögzíthető.

Pearce előadása szerint a legtöbb és leggyakoribb eset alapjában véve jóindulatú és az adatok is pontosak maradnak, nem történik manipuláció, csak épp a felhasznált eszköztár hibádzik valahol. A szakértő szerint az egyébként jó minőségű adatokkal operáló, de vétlen hibákat előhozó eseteket az innováció tudja visszafogni, amiben nincs hiba, hiszen a piac dinamikusan fejlődik. A hamisításokat, adatlopásokat és rosszindulatú manipulációt viszont erős szabályozás, büntetés tudja kordában tartani.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A szakértő szerint a gond az, hogy annak ellenére, hogy valamilyen szinten mindenki érintett, leggyakrabban a „jófiúkat mészárolják le”. A perek a nagy márkák ellen indulnak, ahol többnyire ártatlan, ártalmatlan dolgok történnek, de ezek a cégek ismertek, itt keletkezik nagy sajtóérdeklődés. Hamarabb válik izgalmassá, hogy egy tervezési hiba folytán a Google Buzz közzéteszi az ismerősök listáját, mint az, hogy egy bűnözői csoport  milliónyi PC-használó adatait lopja vagy botnet hálózattal hamis forgalom alapján bevételt csal magának.

Ennél is cifrább, amikor egyetemi kutatások során publikálnak adatvédelmi szervezetek pénzéből szponzorált projektek követő technológiákat vagy épp azok működését megakadályozó eszközöket. Eközben viszont a szabályozók és a hatóságok érdeklődése csekély, nem foglalkoznak egyelőre a webbel ilyen szempontból. Szomorú, hogy maga a Google sem tett túl sok proaktív lépést a felhasználási feltételek betartatására.

Kevés az intervenció

Sokkal jellemzőbb, hogy a Google csak utólag avatkozik be és többnyire akkor töröl Analytics-fiókokat, ha azok kijátsszák az adatvédelmi szabályzatot, személyes adatokat, nevet, e-mail címet, banki azonosítókat vagy egyéb tiltott adatokat jegyeznek. Ezek is leginkább azért szúrják a szolgáltató szemét, mert Európában szigorú szabályok vannak a személyes adatok külföldre továbbításának megakadályozására, s mivel az Analytics-szerverek az Egyesült Államokban (is) vannak, ezért beépült egy ilyen korlátozás.

Maga az átláthatóság és a hitelesség viszont egyelőre nem érdekli a piacot. Azon ritka esetekben, amikor bírósági ügy indul, akkor a várható szankció a pénzbírság, aminek mértéke függ az érintett felhasználók számától, az elkövetett gonoszság fokától és a márka ismertségétől. Míg a magyar ingatlanbazar.hu 10 millió forintos büntetést kapott azért, mert nem tette lehetővé a felhasználói fiókok törlését, addig a Facebook 15 millió dollárt fizetett azért, mert a kijelentkezéskor nem törlődtek a cookie-k.

A jövőben várhatóan a szabálytalanságok egyre hamarabb napvilágra kerülnek és a terület fontosságának növekedése magával hozza a súlyosabb szankciókat is. Az egyre fejlettebb eszközök és az alapvetővé váló iparági gyakorlat segít elkerülni a véletlen hibákat is. Pearce ennek ellenére azt javasolja, hogy mindenki ellenőrizze partnereinek hitelességét, kiváló leírások vannak arra vonatkozóan, hogyan fülelhetőek le a csaló Analytics-fiókok. A HTML-kódok átböngészése a weboldalak saját adatainak manipulálását általában felfedi, egyszerű csalni, de egyszerű megbukni is vele.

a címlapról