Le département de la Justice des États-Unis (DOJ), Google et d’autres entreprises ont détaillé comment elles ont découvert et démantelé une opération massive de fraude à la publicité numérique nommée 3ve (prononcée Eve).

Il s’agit d’un botnet qui a exploité jusqu’à deux millions d’ordinateurs piratés, afin d’effectuer des clics sur des publicités numériques diffusées sur 5 000 contrefaçons de sites web, rémunérés sur 60 000 comptes dans les agences de publicité.

Le DOJ a inculpé huit personnes : sept Russes, Aleksandr Zhukov, Boris Timokhin, Mikhail Andreev, Denis Avdeev, Dmitry Novikov, Sergey Ovsyannikov, Aleksandr Isaev et Yevgeniy Timchenko, un Kazakh. Ovsyannikov a été arrêté en Malaisie, Zukhov en Bulgarie et Timchenko en Estonie. Ils attendent leur extradition. Les autres courent toujours.

Les charges retenues incluent : fraude informatique, piratage, vol aggravé d’identités et blanchiment d’argent.

Ont été saisis 31 domaines web et 89 serveurs.

Methbot

Entre septembre 2014 et décembre 2016, les criminels supposés se sont fait passer pour un réseau publicitaire. Ils ont conclu des accords avec d’autres réseaux publicitaires, recevant des paiements en échange du placement de publicités sur des sites web. Ils ont loué plus de 1 900 serveurs à Dallas et ailleurs pour verser des publicités sur 5 000 faux sites web imitant des vrais.

Les serveurs étaient programmés pour agir comme des humains, de manière que les clics frauduleux ne soient pas détectés : surfant le web dans un faux navigateur, se déplaçant avec une fausse souris, démarrant et arrêtant des lecteurs vidéo, se connectant à Facebook.

Ils ont également loué 650 000 adresses IP, et attribué plusieurs adresses à chaque serveur, puis illégalement enregistré les adresses comme si elles appartenaient à des particuliers abonnés à divers fournisseurs d’accès Internet.

Cette escroquerie aurait rapporté plus de 7 millions d’euros.

3eve

Entre décembre 2015 et octobre 2018, les criminels supposés ont créé un autre faux réseau publicitaire.

Ils ont créé une infrastructure sophistiquée de serveurs de commande et de contrôle, pour piloter jusqu’à près de deux millions d’ordinateurs infectés par leur propres logiciels malveillants: Boaxxe, Miuref et Kovter. Ironie du sort, le premier vecteur d’infection des victimes était le clic sur de vraies publicités, payées par les criminels, mais des publicités malicieuses.

Sans que les victimes ne s’en rendent compte, leurs ordinateurs téléchargeaient des pages webs contrefaites et y incrustaient des publicités, dans un navigateur caché tournant en tâche de fonds.

Ce faux réseau publicitaire a ainsi généré des milliards de clics, et volé plus de 29 millions d’euros.

 

Les personnes impliquées dans le démantèlement du réseau ont été surprises par la sophistication des méthodes des criminels, agissant comme des professionnels d’entreprise. Il a fallu porter une attention toute particulière aux contre-mesures afin de ne jamais alerter les criminels qu’ils étaient sur leurs traces et qu’ils récoltaient des preuves.

Pour venir à bout de cette organisation, il aura fallu le soutien du FBI, tout comme la coopération de compétiteurs : les réseaux publicitaires Google, Adobe, the Trade Desk, Amazon Advertising, et Oath, et les entreprises de cybersécurité White Ops, Malwarebytes, ESET, Proofpoint, Symantec, F-Secure, McAfee, et Trend Micro.

 

Globalement, la publicité numérique représente un chiffre d’affaires annuel de près de 250 milliards d’euros. La World Federation of Advertisers estime que cette année, 17 milliards d’euros seront volés par des escrocs. La fraude publicitaire serait l’un des crimes les plus profitables et les moins risqués.