วิธีสร้างเงินล้าน ตอนที่ 1: แก๊งค์อาชญากรรม นายหน้าค้าทราฟฟิกจอมปลอม และการขโมยคลิก

07 Sep 2010

กรุงเทพฯ--7 ก.ย.--คอร์ แอนด์ พีค

วิธีสร้างเงินล้าน ตอนที่ 1: แก๊งค์อาชญากรรม นายหน้าค้าทราฟฟิกจอมปลอม และการขโมยคลิก

ข้อมูลโดย เฟเก้ ฮักเกอบอร์ด (นักวิจัยด้านภัยคุกคามขั้นสูง) บริษัท เทรนด์ ไมโคร อิงค์

แก๊งค์อาชญากรไซเบอร์ส่วนใหญ่ไม่ได้สนใจแค่การหารายได้ให้ได้เร็วที่สุดหรือเกษียณอายุงานก่อนกำหนด แต่พวกเขาก่ออาชญากรรมไซเบอร์ในรูปแบบของธุรกิจร่วมทุนที่จริงจังและให้ผลตอบแทนที่ดีเยี่ยม และมีความสุขกับการขยายเครือข่ายอาชญากรรมของตนอย่างต่อเนื่อง ในขณะที่พยายามซ่อนการดำเนินการที่เป็นอันตรายไว้ในส่วนต่างๆ ของโลก ในบทความนี้เราจะอธิบายถึงวิธีการที่เครือข่ายอาชญากรหาเงินจากเหยื่อเพียงไม่กี่ดอลลาร์ แต่จากจุดนี้เองที่ทำให้พวกเขาสามารถหาเงินเข้ากระเป๋าได้ปีละนับล้านดอลลาร์ การดำเนินการดังกล่าวเป็นรูปแบบธุรกิจที่เกี่ยวข้องกับนายหน้าจอมปลอม (หรือคนกลางในการหาคนเข้าเว็บ) และการลวงให้หลงเชื่อโดยใช้ชื่อแบรนด์ต่างๆ ที่มีชื่อเสียง

เครือข่ายของอาชญากรไซเบอร์เหล่านี้ประกอบด้วยเซิร์ฟเวอร์มากกว่า 100 เครื่องที่โฮสต์อยู่ในศูนย์ข้อมูลต่างๆ ทั่วโลก แก๊งค์อินเทอร์เน็ตบางแก๊งค์มีสินทรัพย์สภาพคล่องนับล้านดอลลาร์ ซึ่งทำให้พวกเขาสามารถลงทุนเพื่อก่ออาชญากรรมใหม่ๆ ได้อย่างมากมาย โดยที่สามารถได้รับผลตอบแทนกลับคืนมาอย่างมหาศาล และนำมาซึ่งความเสียหายอย่างมากด้วยเช่นกัน

ได้แสดงให้เห็นถึงขนาดของบ็อตเน็ตหนึ่งตัวในระหว่างเดือนมีนาคม 2553 ถึงสิ้นเดือนกรกฎาคม 2553 จากภาพจะพบว่าจำนวนของบ็อตเน็ตผันผวนอยู่ตลอดเวลา ซึ่งขณะนี้มีบ็อตกำลังทำงานอยู่ทั้งสิ้น 150,000 จุด แม้ว่านี่จะไม่ใช่บ็อตเน็ตที่มีเครือข่ายขนาดใหญ่ แต่ก็สามารถทำเงินได้ปีละนับล้านดอลลาร์เลยทีเดียว

โทรจัน Browser Hijacker หรือตัวปล้นบราวเซอร์จะยึดครองการทำงานของบราว์เซอร์และดำเนินการนำเหยื่อออกจากไซต์ที่พวกเขาต้องการเยี่ยมชมไปยังเว็บไซต์ลวงต่างๆ นอกจากจากนี้ผลลัพธ์ที่ได้จากเครื่องมือค้นหาก็มักจะถูกปล้นการทำงานจากมัลแวร์ประเภทนี้ด้วย นั่นคือการค้นหาโดยใช้เครื่องมือค้นหายอดนิยม อย่าง Google, Yahoo! หรือ Bing จะยังคงทำงานอย่างเป็นปกติ แต่เมื่อเหยื่อคลิกผลลัพธ์การค้นหาหรือลิงก์สนับสนุนที่ปรากฏ พวกเขาก็จะถูกนำไปยังไซต์อื่นแทนเพื่อให้วายร้ายสามารถทำเงินจากการคลิกในแต่ละครั้งของพวกเขาได้

ตัวปล้นบราวเซอร์เป็นวิธีการที่ได้รับความนิยม เนื่องจากการคลิกลิงก์ของผลลัพธ์จากการค้นหาที่ถูกดัดแปลงจนจับไม่ได้นั้น สามารถทำเงินและเป็นวิธีที่ง่ายในการหารายได้จากความสำเร็จของเครื่องมือค้นหาที่ดำเนินงานอย่างถูกต้อง ด้วยเครือข่ายบ็อต 150,000 จุด แก๊งค์วายร้ายจะสามารถทำเงินได้ปีละหลายล้านดอลลาร์จากการปล้นผลลัพธ์การค้นหาเพียงแค่อย่างเดียว โดยราคาต่อคลิกที่ขโมยมาได้นั้นจะขึ้นอยู่กับคำสำคัญที่ใช้เป็นหลัก เราพบว่ามูลค่าโดยเฉลี่ยต่อคลิกจะอยู่ที่ 0.01 - 0.02 ดอลลาร์ แต่ก็สามารถเพิ่มขึ้นได้มากกว่า 2 ดอลลาร์ต่อคำหรือวลี อย่างเช่น “home-based business opportunities” หรือ “loans” ในตารางด้านล่างคือข้อมูลของบ็อตเน็ตที่สามารถปล้นคลิกได้มากกว่า 1 ล้านคลิกภายในเวลาหนึ่งวัน (20 กรกฎาคม 2553)

สำหรับคลิกที่ขโมยมาได้นั้น เหล่าร้ายจะทำการรวบรวมและนำไปส่งต่อให้กับนายหน้าค้าทราฟฟิก จากนั้นนายหน้ารายดังกล่าวก็จะนำทราฟฟิกนี้ไปขายต่อให้กับบริษัทที่ถูกต้องอย่าง Yahoo!, Google หรือ Ask.com ตัวอย่างเช่น เราพบว่าการคลิกผลลัพธ์ที่ได้จากการค้นหาของ Yahoo! ถูกขายกลับไปยัง Yahoo! ผ่านนายหน้าค้าทราฟฟิกคนกลางรายหนึ่ง และอีกตัวอย่างหนึ่งก็คือคลิกที่โดนขโมของ Google ถูกนำไปขายต่อให้กับ LookSmart

อย่างไรก็ตาม การขายทราฟฟิกที่ขโมยมาแก่บริษัทที่ถูกต้องอย่าง Google, Overture (Yahoo!) หรือ LookSmart ไม่ใช่เรื่องง่ายๆ เนื่องจากบริษัทเหล่านี้มีเครื่องมือขั้นสูงสำหรับตรวจจับการโกงอยู่ ดังนั้น นักปล้นทราฟฟิกส่วนใหญ่จึงต้องดำเนินการโดยใช้นายหน้า ซึ่งจะร่วมมือกับพวกเขาในการปรับข้อมูลสรุปของทราฟฟิกให้เหมาะสมและค้นหาผู้ซื้อที่เหมาะสมที่สุด นายหน้าค้าทราฟฟิกบางรายจึงไม่สามารถเชื่อถือได้และมีส่วนร่วมในแผนการหลอกลวงอีกด้วย ตัวอย่างเช่น นายหน้าค้าทราฟฟิกที่ชื่อว่า “บริษัท ออนวา จำกัด” (Onwa Ltd.) ในเมืองเซนต์ปีเตอร์เบิร์ก ประเทศรัสเซีย เป็นบริษัทที่มีความรู้อย่างมากในการโกง ทราฟฟิกและนำไปจำหน่ายต่อ โดยสามารถเขียนและขายซอฟต์แวร์ส่วนหลังสำหรับอำพรางไม่ให้เครื่องมือค้นหาลวงตรวจพบว่าคลิกที่ได้มานั้นมาจากการโกงคลิก (บริษัท ออนวา จำกัด ยังมีธุรกิจในเครืออีกหลายแห่งในสหราชอาณาจักรและซีเชลส์)

นอกจากนี้ บริษัท ออนวา จำกัด ยังได้สร้างโครงสร้างพื้นฐานของตนเองขึ้นมาสำหรับสนับสนุนเว็บไซต์ต่างๆ ที่มีเป้าหมายเพื่อลวง Google โดยเฉพาะด้วย นายหน้ารายนี้น่าจะเริ่มธุรกิจตั้งแต่ปี 2548 หรืออาจเร็วกว่านั้นตั้งแต่ปี 2546 สำหรับชื่อของบริษัทอื่นๆ ที่กลุ่มบริษัทนี้ใช้งานอยู่ ได้แก่ “Uttersearch” “RBTechgroup” และ “Crossnets” และในรูปที่ 3 คือตัวอย่างหน้าเพจองค์กรของพวกเขา

สำหรับข้อมูลเพิ่มเติมสามารถคลิกไปอ่านได้ที่: http://blog.trendmicro.com/making-a-million%e2%80%94criminal-gangs-the-rogue-traffic-broker-and-stolen-clicks/#ixzz0wDpsZMNb

และโปรดติดตามบทความจากเทรนด์ ไมโคร ตอนที่ 2 ที่ชื่อว่า “ขอบเขตของภัยคุกคาม”

สื่อมวลชนสอบถามข้อมูลเพิ่มเติมได้ที่ บริษัท คอร์ แอนด์ พีค จำกัด ที่ปรึกษาประชาสัมพันธ์

บุษกร สนธิกร โทร +66 (0) 2439 4600 ต่อ 8202 อีเมล [email protected]