酷应用

FBI背后的福尔摩斯：协助破获最大广告诈骗案

百家作者：快公司FastCompany 2019-07-11 04:28:31

塔梅尔·哈桑（Tamer Hassan），White Ops网络安全公司联合创始人兼CEO。

2019年度“全球最具创意人物100”，协助FBI破获有史以来最大规模的广告诈骗案。

“防守是不行的，你必须进攻。”

这不是一个普通的僵尸网络。

2017年2月的某一天，塔梅尔·哈桑（Tamer Hassan）正在处理常规工作，监控广告购买和销售软件，寻找潜在的安全问题。这时，他注意到一件奇怪的事情。

哈桑是White Ops广告诈骗检测和预防公司的联合创始人兼首席技术官，一直在追踪一个规模较小的僵尸网络。僵尸网络指的是遭到恶意软件感染的私人电脑网络，在所有者不知情的情况下被犯罪分子控制。他发现，这个僵尸网络突然变成了一个难以根绝的祸患。

当应用于广告时，僵尸网络（botnet，机器人+网络）会创建虚假网站，并使用自动化软件冒充真人，模拟真实的流量。它们从宝洁、联合利华等公司吸走资金，这些大型营销机构每年在全球数字广告上的支出超过2,500亿美元，其中很大一部分流向了以编程方式投放广告的软件。

这个僵尸网络乍看很正常。可每当哈桑和他的工程师同事试图阻止诈骗网站吸引程序化广告——或限制任何似乎在网站上产生虚假点击的IP地址——时，同样的活动随后就会出现在其他地方。

并且没有一个固定的模式：今天，僵尸网络会利用某人的电脑进行恶意活动，但第二天，这台电脑就又恢复了正常。更糟糕的是，这一切似乎都在加速进行，并且越来越强大。

在数字广告诈骗计划中，品牌每年被骗走65亿至190亿美元，但犯罪分子很少被追究责任，这类诈骗因此成为全世界风险最低、报酬最高的犯罪形式之一。

然而，其影响范围远远超出了营销人员的广告预算。今时今日，从洗碗机到总统选举，一切信息都有赖于数字完整性，打击广告欺诈重在增强人们对互联网本身的信任。

这些犯罪分子用盗取来的钱资助恶意软件的传播，它为许多其它类型的网络犯罪创造了平台，比如身份盗窃、勒索软件、间谍软件、计算机病毒等等，这类IT安全威胁正是导致近年来征信巨头Equifax、万豪酒店和雅虎发生大规模数据泄露的罪魁祸首。

据McAfee安全技术公司和战略与国际研究中心在2018年发布的一份报告中估计，网络犯罪每年给企业造成的损失高达6,000亿美元。

哈桑在旧金山湾区长大，8岁时，他收到一台Tandy电脑，开始自学编程。他在科罗拉多州空军学院攻读工程学时，911恐怖袭击发生了，“我知道，我必须利用所学的一切来保护其他人。”他说道。

在接下来的几年里，他担任战斗搜救飞行员，驾驶“铺路鹰”（Pave Hawk）直升机，在伊拉克和阿富汗敌后拯救军人和平民的生命。他说，“这种经历塑造了我应对任何挑战的方式。在敌占区执行救援任务，唯一确定的是目标。剩下的部分充满了不断变化的变量、机会和权衡。”

在空军服役12年后，哈桑决定将自己的编程背景与军事经验结合起来，并于2012年携手两名联合创始人成立了White Ops。这家公司已经发展到100多人，总部位于纽约，在世界各地设有办事处，目前为止已经筹集了3,300万美元。它的技术类似防盗报警器，服务于Trade Desk广告技术公司等客户。

Trade Desk是一家帮助营销机构管理和提供程序化数字广告服务的公司。一旦出现任何新的欺诈企图，White Ops就会警告客户，并立即阻止犯罪分子收集虚假广告浏览量。该公司的创立理念是：安全不只是建一堵墙保护客户，而应该设法提高犯罪的难度和成本。

因此，White Ops不是简单要求人类解答验证码问题（输入数字和字母，以证明你不是机器人，这是一种可以被大规模诈骗的工具），而是开发了一项技术，用上千种不同的方式询问机器人，比如根据执行代码时细微的时间差别，就能看出代码的指令来源于人类还是机器。

然而，这个神秘的僵尸网络——根据它的3个主要属性：速度、规模和复杂性，哈桑和White Ops的程序员将其命名为“3ve（形同Eve）”——并没有给出答案。短短几个月里，它的规模日益庞大，创建了逾1万个假冒网站，日均炮制多达4万个新IP地址，以产生虚假流量，并获得广告收入。此外，3ve还感染并危害了170多万台来自普通用户和企业的设备，相当于整个菲尼克斯市的人口参与了它的犯罪活动。

原来，3ve完全绕过了White Ops的安全软件。犯罪者知晓该公司的防御策略。哈桑后来了解到，“我们实际上是用这个[3ve]代码编写的，”也就是说，犯罪分子为其僵尸网络编写了程序，避开了White Ops。每当他和团队试图加强客户的防御能力时，这个僵尸网络似乎都在学习更多关于White Ops的原理，并据此掩盖自己的行动。

哈桑指出，科技公司通常不愿与执法部门合作，即使是在与明显的潜在犯罪作斗争时，因为它们不想被视为政府的代理人。此外，科技公司之间竞争激烈，往往不愿相互求助。然而，考虑到3ve的性质，White Ops主动向外求助，召集了包括谷歌（它发现，谷歌当时也遭到了3ve的困扰）在内的一批业内精英，与FBI（美国联邦调查局）合作将其击倒。

Verizon Media集团的信任和安全主管班纳特·曼努埃尔（Bennet Manuel）是这场联合行动的成员之一，他表示：“塔梅尔是这次行动的关键人物。”他指的是业界各方之间“前所未有的合作”。

该工作小组发现，3ve能够检测出电脑用户是否激活了反恶意软件或反病毒软件，并且绕开这些设备。它避开了旧金山等地区的电脑，因为当地精通技术的人群集中，被检测到的几率更高。一旦发现易受攻击的电脑，它才会连接其任务控制中心，即位于达拉斯和其他地区的商业数据中心的1,900多台电脑服务器。

此时，3ve将向毫无戒心的电脑开启一个隐藏的浏览器，开始在它创建的5,000多个虚假网站上加载广告。这些服务器被编入了机器人程序，能够模仿人类行为，使用模拟鼠标向下滚动，在虚假的浏览器中浏览虚假的网页。它会启动视频播放，然后中途停止。唯一真实的东西是广告，而营销人员却在不断亏损。

哈桑想尽一切办法隔绝3ve。他与Trade Desk合作，实时检查每一个可投标出价的广告印象，确保人类用户能真正看到它们投放的广告。他为领先的视频、移动、原生广告甚至是互联电视广告的供应商配备了White Ops的竞标前技术Media Guard。

哈桑使用White Ops的预测分析功能阻止广告被发送给机器人，这种操作成功的范围越大，他就越有可能阻止3ve的扩散。

18个月以来，哈桑一直在观察3ve，记录它的行为，并通过追踪它，协助FBI立案（同时尽可能地阻止它）。2018年10月22日清晨，哈桑接到了电话：第一次逮捕行动已经完成。他通过一个加密的文本频道向其他伙伴发送了激动的表情包信息。在接下来的一个月里，FBI对位于马来西亚、保加利亚和爱沙尼亚的8名嫌疑人中的3人提出了指控，罪名包括电信欺诈、入侵电脑、严重身份盗窃和洗钱。其余五人仍逍遥法外。

今年4月，哈桑升任该公司的CEO。过去几个月里，他与他的团队拆解了3ve的技术基础设施，并更多地了解它的原理，以迎接下一场不可避免的战斗。由于相关刑事诉讼仍在进行，他无法透露他从3ve身上学到的具体经验教训。但当笔者进一步追问时，哈桑指出，这段经历验证了White Ops的理念。

“防守是行不通的，你必须进攻。”他说，“如此一来，这场仗才有打赢的可能。”

文 | 快公司编辑部

翻译 | 李美玉

编辑 | 一块糕

图片 | 网络

挖掘创新是《快公司》一以贯之的行事方法论，然而，关于“创新是什么”，“创新在哪儿”的议论往往莫衷一是。其实，创新本就是一场没有边界和限制的头脑风暴，每一次刷新都是颠覆。我们一直在寻找创新路上的并肩者，他们与众不同，不墨守成规，他们是这场风暴的中心。如果您身边有这样不懈尝试的“风暴发起者”，欢迎报名2019中国商业最具创意人物100榜单。