Valami oknál fogva a hirdetési csalásokkal szemben mindenkinek magasabb az ingerküszöbe: míg egy Colonial Pipeline elleni zsarolóvírus-támadásra mindenki felkapja a fejét, a hirdetési csalásokra jóval kevesebben figyelnek fel. Pedig komoly pénzeket vesz ki a hirdetők, a platformok és a közönség zsebéből is.

Keith Weed, aki tíz éven át, 2019-ig volt az Unilever marketingért és kommunikációért felelős vezetője (CMCO), már 2015-ben kifakadt egy előadásában a hirdetési rendszerek biztonsága és kontrollálhatatlansága miatt. Szerinte több robot van az interneten, mint hús-vér ember. De akkor miért fizetnek a hirdetők? – tette fel a kérdést Weed. Szerinte olyan iparági szabványok kellenek, melyek lehetővé teszik a hirdetési csalások kiszűrését.

Ám az azóta eltelt években nem sokat javult a helyzet, ráadásul a hirdetési csalásokra szakosodott hekkerek megjelentek más csatornákon is, például az ún. connected TV-ken (Amazon Fire TV, Apple TV stb.). A Forrester február elején megjelent elemzése szerint továbbra is milliárd dolláros nagyságrendben nyúlják le csalók a hirdetési piacot, károsítva a hirdetőket, a hirdetési felületek (online kiadványok, szolgáltatások) tulajdonosait és a felhasználókat egyaránt.

Az IT-biztonság senkiföldjén

Ahogy szaporodnak a digitális csatornák, egyre több a csalási forma is, ám mivel a marketingesek és az IT-biztonsági szakemberek is másra figyelnek, kialakul egy olyan, biztonsági értelemben "senkiföldje", amire szinte alig jut figyelem.

A marketingosztály réme a hirdetési csalás és a malvertising. Ezeket a támadásokat jellemzően bothálózatokkal hajtják végre. Lényegében hamis kattintási és konverziós műveletekkel csalnak ki hirdetőkből teljesítményalapon marketingpénzeket. Vagy ott vannak a rosszindulatú hirdetések, melyek a hirdetési felületek tulajdonosait támadják: ezek a hirdetések rosszindulatú kódot tartalmaznak, és/vagy gyengíthetik a felhasználói élményt.

Az IT-biztonságért felelős szakemberek viszont elsősorban olyan támadásokra figyelnek, mint a hitelesítő adatok megszerzése (pl. hamis űrlapok segítségével), a kártyacsalások, a webes felderítésre – a biztonsági hiányosságok botokkal automatizált feltérképezésére – épülő támadások.

A két terület közös halmaza az ún. e-kereskedelmi csalás, amely beékelődik a vásárlás folyamatába, és így a termék nem az azt eredetileg megrendelő vásárlóhoz jut, hanem hekkerekhez. A streamigszolgáltatások elterjedésével megjelentek új e-kereskedelmi csalástípusok is. Például egyes zeneszámok értékelésének mesterséges növelése, ami lényegében az előfizetők manipulálására épít. Mivel a felhasználók gyakrabban találkoznak a magasra értékelt zenékkel, gyakrabban is kattintanak rá, így az adott zene tulajdonosa magasabb bevételhez jut.

Mint a jelentés írja, voltaképpen sem a marketingesek, sem a biztonsági szakemberek nincsenek tisztában a kockázatok nagyságával, mert azokat silószerűen kezelik: a marketingesek és a biztonságiak is csak az őket közvetlenül érintő területre koncentrálnak. Egy botmenedzsment- és hirdetési csalás elleni megoldásokat szállító cég becslése szerint a biztonsági csapatok az esetek 90 százalékában nem ülnek be olyan megbeszélésekre, melyeken az e-kereskedelmi és digitális hirdetési csapatok hirdetési csalásokkal foglalkoznak. Egy másik vendor pedig arról beszélt a kutatóknak, hogy ők a marketingvezetőkkel tárgyalnak, akik az esetek 90 százalékában az információbiztonsági vezetőt nem vonják be az egyeztetésekbe.

Gurulnak elfele a dollárok

Ennek a hozzáállásnak súlyos következményei vannak, melyeket esetleg csak hosszú idő után ismernek fel az érintettek.

1. A marketingre fordított pénzek jelentős része kárba vész. És itt nem csak a hirdetésekre közvetlenül elköltött összegre kell gondolni, hanem arra az energiára is, amit az így begyűjtött hamis leadek követésére fordít a marketingcsapat.

2. Hibásak lesznek az elemzések. Egy ilyen meghekkelt kampány adataiból csak rossz következtetések vonhatók le. Ha például a kampányteljesítmény alapján állít össze tervet a marketingcsapat az ügyfélhűség javítására, nagy valószínűséggel rossz lesz az eredmény. (A Forrester hivatkozik egy másik kutatásra, amely szerint a marketingesek 40 százaléka nem tudta, hogy a weboldal-forgalom mekkora részét generálják csalók, és közel ekkora arányban arról sem volt elképzelésük, hogy az adatbázisukban lévő leadek közül mennyi hamis.)
 

A lehetséges károk... (forrás: Forrester)

3. Rossz felhasználói élmény. Ha egy weboldalt elárasztják a rosszindulatú reklámok, az előbb-utóbb számtalan problémát okoz az odalátogatóknak (kényszerű átirányítás, rosszindulatú programok alattomos telepítése stb.). A látogató azonban nem a hekkerekre lesz dühös, hanem a weboldal tulajdonosára. És esetleg soha többé nem megy fel arra a weboldalra, ahol rossz élmény érte.

4. Elveszik a vásárlói bizalom. Ha egy ügyfelet esetleg anyagi kár is ér (pl. ellopják a hitelkártya-adatait, a vásárlásra felhasználható jutalompontjait stb.), az leggyakrabban az ügyfél bizalmának végleges elvesztésével jár. Ráadásul olyan plusz költségekkel is jár egy ilyen incidens kezelése, mint a kártyaegyenleg visszatérítése.

Csak a holisztikus megközelítés segít

A Forrester elemzése arra az egyszerű tényre hívja fel a figyelmet, hogy míg egy szervezeten belül mindenki szeret egyedüli kakasként kukorékolni a maga kis szemétdombját, a hekkereket egyáltalán nem érdeklik ezek a felelősségi határok, illetve az ezek nyomán kialakuló szervezeti silók. Sőt, az ilyen környezet számukra ideális, hiszen így támadásaikat a silók miatt kialakuló, senki által nem felügyelt pontokra építhetik.

Persze a megoldás egyáltalán nem egyszerű. A két érintett területnek ugyanis nagyon is eltérő a célja: a CISO a kockázatokat akarja csökkenteni, a marketinges meg minél több fizető ügyfelet szeretne. A CISO szigorúra hangolt védelmi rendszerekkel a támadásokat megelőzni szeretné, a CMO-t pedig az elérés, a lead-mennyiség, a konverzió stb. érdekli. Az érdekek összehangolásának fontos eszköze az ún. RACI-modell (responsible, accountable, consulted, informed) bevezetése, amely segít tisztázni a szerepeket és az elvárásokat. A modell rögzíti a fontosabb folyamatokat a vásárlási döntések, a technológiai műveletek stb. területén, tartalmaz egy ezek kezelésére vonatkozó szabályzatot, beleértve a kivételek kezelését, valamint meghatározza az incidensekre való reagáláskor a szerepköröket. Így például azt is, hogy kinek a feladata, hogy minden érintett a marketingesektől az ügyfélélményért felelős csapaton át a webfejlesztőkig és a biztonsági szakemberekig időben megkapjon minden fontos információt.

A kiberbűnözés elleni küzdelmet ma már egy szervezet minden tagjának egyaránt feladata, összegzi a tanulságokat a Forrester. Az egymásra mutogatás nem vezet eredményre, sőt!