作者:趨勢科技全球安全研究副總裁Rik Ferguson
惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。
多年來,惡意廣告已經成為犯罪分子利用合法框架來散播惡意攻擊和賺取非法收入這越來越常見作法的代表例子。線上廣告生態系統的模糊性質讓攻擊者可以輕易地利用真正的廣告商來派送攻擊,而大型廣告網路的全球覆蓋率可以將任何攻擊的的潛在受害者以倍數的放大,遠遠超出犯罪份子原本預期的程度。
根據Online Trust Alliance所公佈的數據顯示,在2012年有將近100億的廣告曝光數受到惡意廣告影響,而接著在2012年到2013年間出現了225%的成長,發生209,000次的事件,產生超過124億的惡意廣告曝光數。
使用者已經漸漸地不想看到出現在網路或傳統媒體上的廣告曝光。如果濫用廣告網路的趨勢繼續下去,那麼我們可以期待看到瀏覽器廠商直接加入廣告封鎖功能,這在今日只能用第三方外掛程式做到。這將會毀掉線上廣告的商業模式。想避免這巨大改變唯一可能的做法是廣告網路正視這個問題,要確認自己所提供的內容,比方說推出前先用沙箱測試,並且要確認基礎設施的安全性,防護可能會被犯罪分子用來將自身融入這生態系的弱點,不管是在技術上和程序上,比方說,對他們所服務的客戶進行有效的身份驗證。
想了解更多關於惡意廣告在2015年所造成的影響,可以參考我們2015年第一季的資安綜合報告,「惡意廣告和零時差漏洞:重新崛起的的威脅挑戰對供應鏈和最佳實作的信任」。
[延伸閱讀:當線上廣告出現惡意攻擊行為]