Ad Fraud: Kejahatan Cyber Miliaran Dolar, Wajib Jadi Perhatian Para CISO

Cyberthreat.id - Petugas pemasaran (marketing) mungkin menganggap penipuan iklan (Ad Fraud) sebagai biaya menjalankan bisnis, tetapi dalam sudut pandang profesional keamanan informasi (InfoSec), penipuan iklan dapat menjadi langkah awal untuk serangan cyber yang lebih signifikan. Inilah yang perlu diketahui dan bagaimana cara mengambil tindakannya.

Saat ini terjadi transformasi besar-besaran dan peralihan dari browser desktop ke perangkat pintar seluler, ke Smart TV, lalu ke perangkat Internet of Things (IoT). Dan, penipuan iklan adalah bisnis bernilai miliaran dolar yang telah merajalela di Internet selama bertahun-tahun.

Haruskah kepala petugas keamanan informasi (CISO) di perusahaan yang terkena penipuan iklan mengambil peran yang lebih kuat dalam menghentikannya? Jawabnya tentu saja wajib dan harus.

Jajaran perusahaan maupun bisnis yang terpengaruh oleh penipuan iklan sangat luas dan dalam, sampai mempengaruhi setiap vertikal bisnis di seluruh dunia. 

"Perusahaan/organisasi yang mengandalkan jaringan periklanan terprogram, yang secara otomatis membeli dan menjual iklan, berada dalam risiko, kecuali jika jaringan tersebut merupakan ekosistem periklanan yang dilindungi," kata Dan Lowden, Chief Marketing Officer (CMO) White Ops, dilansir Dark Reading.

Setiap tahun selalu terjadi perdebatan tentang penipuan iklan. Apakah biayanya miliaran dolar per tahun [...] atau puluhan miliar dolar per tahun. Dalam sebuah laporan analisis tahun 2016, HP Enterprise menyebut penipuan iklan sebagai bentuk kejahatan cyber yang paling menguntungkan.

Perusahaan riset eMarketer memperkirakan penipuan iklan memakan biaya antara $ 6,5 miliar hingga $ 19 miliar pada tahun 2019. Juniper Research menyimpulkan penipuan iklan menelan biaya $ 42 miliar pada akhir tahun 2019. Pada tahun 2023, Juniper memperkirakan penipuan iklan bakal menelan biaya lebih dari $ 100 juta per hari.

Tak Banyak yang Paham

Mengganggu jaringan iklan untuk mendapatkan keuntungan finansial telah ada hampir selama jaringan iklan online itu sendiri. Praktik ini meluas ketika scammer mulai memanfaatkan bot jaringan yang membuat klik palsu di situs yang mereka miliki atau iklan yang telah mereka bayar.

Dan sekarang termasuk iklan tersembunyi (hidden ads) menargetkan jaringan iklan yang mengukur tampilan, bukan klik. Disebut juga sebagai "click hijacking", ketika penipu mengalihkan klik dari satu iklan ke iklan lainnya; dan aplikasi palsu, yang terlihat dan diberi label sebagai aplikasi yang sah.

"Teknik ini sering digunakan untuk merugikan perusahaan, membuat perang melawan penipuan iklan menjadi lebih kompleks," kata Luke Taylor, kepala operasi perusahaan keamanan adtech TrafficGuard.

CISO, kata Taylor, paling tidak harus menyerap ilmu dari dunia keamanan siber untuk mendorong atasannya agar lebih terlibat dalam tantangan penipuan iklan.

Mekanisme Pertahanan

Banyak penipuan iklan yang didasarkan pada pembuatan lalu lintas palsu sehingga terlihat nyata. Cara penipu melakukannya adalah dengan mencuri log lalu lintas untuk meniru iklan dan membuat lalu lintas yang tampak asli tetapi palsu. Taylor mengatakan CISO harus melindungi log mereka dari penjahat cyber sebagaimana melindungi data keuangan.

"Cukup mengekstrak log server Anda, itu bisa menjadi awal yang baik untuk penipuan iklan karena dapat diputar ulang seperti perilaku normal," katanya memperingatkan.

"Langkah pertama dalam keamanan siber adalah menerapkan semacam transparansi - akses ke log dan meninjau log tersebut. Siapa yang memiliki akses, siapa yang datang ke situs web Anda, seberapa besar ancamannya," ujar dia.

"Memberikan lebih banyak detail akan membantu memecahkan masalah," tegasnya.

Beberapa pengiklan berpendapat, cara untuk menyelesaikan penipuan iklan adalah dengan mempromosikan jaringan iklan yang diatur sendiri dan berbasis persetujuan. Untuk hal ini, tidak semua ahli setuju bahwa masalah akan segera terkendali. Situs web besar mengandalkan jaringan iklan yang sering kali bergantung pada pengecer iklan, sehingga sulit untuk memverifikasi setiap iklan.

Jika bagian dari masalah penipuan iklan adalah iklan itu sendiri, haruskah CISO mencegah agar iklan tidak dilihat di situs web di dalam firewall perusahaan mereka?

Pakar strategi pemasaran digital dan auditor penipuan iklan, Augustine Fou, mengatakan taktik tersebut, meski mengecewakan pengiklan, tetapi akan memastikan penipuan iklan atau iklan berbahaya tidak dapat dilihat oleh karyawan.

Pengiklan jahat dan penipu mencari kombinasi komputer dan sistem operasi tertentu, seperti Windows versi lama, atau blok alamat IP tertentu, untuk secara langsung menargetkan korban dengan periklanan berbahaya.

"Ini adalah celah yang tidak dipahami banyak orang. Ini adalah ekosistem terprogram yang sama dengan banyak celah - ini hanya salah satu yang memengaruhi keamanan. Ini adalah pintu masuk yang dapat mengarah ke hal-hal lain," kata Fou. []