塔梅尔·哈桑(Tamer Hassan),White Ops网络安全公司联合创始人兼CEO。
2019年度“全球最具创意人物100”,协助FBI破获有史以来最大规模的广告诈骗案。
“防守是不行的,你必须进攻。”
这不是一个普通的僵尸网络。
1
2017年2月的某一天,塔梅尔·哈桑(Tamer Hassan)正在处理常规工作,监控广告购买和销售软件,寻找潜在的安全问题。这时,他注意到一件奇怪的事情。
哈桑是White Ops广告诈骗检测和预防公司的联合创始人兼首席技术官,一直在追踪一个规模较小的僵尸网络。僵尸网络指的是遭到恶意软件感染的私人电脑网络,在所有者不知情的情况下被犯罪分子控制。他发现,这个僵尸网络突然变成了一个难以根绝的祸患。
当应用于广告时,僵尸网络(botnet,机器人+网络)会创建虚假网站,并使用自动化软件冒充真人,模拟真实的流量。它们从宝洁、联合利华等公司吸走资金,这些大型营销机构每年在全球数字广告上的支出超过2,500亿美元,其中很大一部分流向了以编程方式投放广告的软件。
这个僵尸网络乍看很正常。可每当哈桑和他的工程师同事试图阻止诈骗网站吸引程序化广告——或限制任何似乎在网站上产生虚假点击的IP地址——时,同样的活动随后就会出现在其他地方。
并且没有一个固定的模式:今天,僵尸网络会利用某人的电脑进行恶意活动,但第二天,这台电脑就又恢复了正常。更糟糕的是,这一切似乎都在加速进行,并且越来越强大。
2
在数字广告诈骗计划中,品牌每年被骗走65亿至190亿美元,但犯罪分子很少被追究责任,这类诈骗因此成为全世界风险最低、报酬最高的犯罪形式之一。
然而,其影响范围远远超出了营销人员的广告预算。今时今日,从洗碗机到总统选举,一切信息都有赖于数字完整性,打击广告欺诈重在增强人们对互联网本身的信任。
这些犯罪分子用盗取来的钱资助恶意软件的传播,它为许多其它类型的网络犯罪创造了平台,比如身份盗窃、勒索软件、间谍软件、计算机病毒等等,这类IT安全威胁正是导致近年来征信巨头Equifax、万豪酒店和雅虎发生大规模数据泄露的罪魁祸首。
据McAfee安全技术公司和战略与国际研究中心在2018年发布的一份报告中估计,网络犯罪每年给企业造成的损失高达6,000亿美元。
3
哈桑在旧金山湾区长大,8岁时,他收到一台Tandy电脑,开始自学编程。他在科罗拉多州空军学院攻读工程学时,911恐怖袭击发生了,“我知道,我必须利用所学的一切来保护其他人。”他说道。
在接下来的几年里,他担任战斗搜救飞行员,驾驶“铺路鹰”(Pave Hawk)直升机,在伊拉克和阿富汗敌后拯救军人和平民的生命。他说,“这种经历塑造了我应对任何挑战的方式。在敌占区执行救援任务,唯一确定的是目标。剩下的部分充满了不断变化的变量、机会和权衡。”
在空军服役12年后,哈桑决定将自己的编程背景与军事经验结合起来,并于2012年携手两名联合创始人成立了White Ops。这家公司已经发展到100多人,总部位于纽约,在世界各地设有办事处,目前为止已经筹集了3,300万美元。它的技术类似防盗报警器,服务于Trade Desk广告技术公司等客户。
Trade Desk是一家帮助营销机构管理和提供程序化数字广告服务的公司。一旦出现任何新的欺诈企图,White Ops就会警告客户,并立即阻止犯罪分子收集虚假广告浏览量。该公司的创立理念是:安全不只是建一堵墙保护客户,而应该设法提高犯罪的难度和成本。
因此,White Ops不是简单要求人类解答验证码问题(输入数字和字母,以证明你不是机器人,这是一种可以被大规模诈骗的工具),而是开发了一项技术,用上千种不同的方式询问机器人,比如根据执行代码时细微的时间差别,就能看出代码的指令来源于人类还是机器。
然而,这个神秘的僵尸网络——根据它的3个主要属性:速度、规模和复杂性,哈桑和White Ops的程序员将其命名为“3ve(形同Eve)”——并没有给出答案。短短几个月里,它的规模日益庞大,创建了逾1万个假冒网站,日均炮制多达4万个新IP地址,以产生虚假流量,并获得广告收入。此外,3ve还感染并危害了170多万台来自普通用户和企业的设备,相当于整个菲尼克斯市的人口参与了它的犯罪活动。
原来,3ve完全绕过了White Ops的安全软件。犯罪者知晓该公司的防御策略。哈桑后来了解到,“我们实际上是用这个[3ve]代码编写的,”也就是说,犯罪分子为其僵尸网络编写了程序,避开了White Ops。每当他和团队试图加强客户的防御能力时,这个僵尸网络似乎都在学习更多关于White Ops的原理,并据此掩盖自己的行动。
4
哈桑指出,科技公司通常不愿与执法部门合作,即使是在与明显的潜在犯罪作斗争时,因为它们不想被视为政府的代理人。此外,科技公司之间竞争激烈,往往不愿相互求助。然而,考虑到3ve的性质,White Ops主动向外求助,召集了包括谷歌(它发现,谷歌当时也遭到了3ve的困扰)在内的一批业内精英,与FBI(美国联邦调查局)合作将其击倒。
Verizon Media集团的信任和安全主管班纳特·曼努埃尔(Bennet Manuel)是这场联合行动的成员之一,他表示:“塔梅尔是这次行动的关键人物。”他指的是业界各方之间“前所未有的合作”。
该工作小组发现,3ve能够检测出电脑用户是否激活了反恶意软件或反病毒软件,并且绕开这些设备。它避开了旧金山等地区的电脑,因为当地精通技术的人群集中,被检测到的几率更高。一旦发现易受攻击的电脑,它才会连接其任务控制中心,即位于达拉斯和其他地区的商业数据中心的1,900多台电脑服务器。
此时,3ve将向毫无戒心的电脑开启一个隐藏的浏览器,开始在它创建的5,000多个虚假网站上加载广告。这些服务器被编入了机器人程序,能够模仿人类行为,使用模拟鼠标向下滚动,在虚假的浏览器中浏览虚假的网页。它会启动视频播放,然后中途停止。唯一真实的东西是广告,而营销人员却在不断亏损。
哈桑想尽一切办法隔绝3ve。他与Trade Desk合作,实时检查每一个可投标出价的广告印象,确保人类用户能真正看到它们投放的广告。他为领先的视频、移动、原生广告甚至是互联电视广告的供应商配备了White Ops的竞标前技术Media Guard。
哈桑使用White Ops的预测分析功能阻止广告被发送给机器人,这种操作成功的范围越大,他就越有可能阻止3ve的扩散
18个月以来,哈桑一直在观察3ve,记录它的行为,并通过追踪它,协助FBI立案(同时尽可能地阻止它)。2018年10月22日清晨,哈桑接到了电话:第一次逮捕行动已经完成。他通过一个加密的文本频道向其他伙伴发送了激动的表情包信息。在接下来的一个月里,FBI对位于马来西亚、保加利亚和爱沙尼亚的8名嫌疑人中的3人提出了指控,罪名包括电信欺诈、入侵电脑、严重身份盗窃和洗钱。其余五人仍逍遥法外。
今年4月,哈桑升任该公司的CEO。过去几个月里,他与他的团队拆解了3ve的技术基础设施,并更多地了解它的原理,以迎接下一场不可避免的战斗。由于相关刑事诉讼仍在进行,他无法透露他从3ve身上学到的具体经验教训。但当笔者进一步追问时,哈桑指出,这段经历验证了White Ops的理念。
“防守是行不通的,你必须进攻。”他说,“如此一来,这场仗才有打赢的可能。”
