Этот пост в блоге раскроет внутреннюю работу постоянной операции по мошенничеству с рекламой, которая в значительной степени зависит от маскировки, чтобы выкачивать доллары у медийных и нативных рекламодателей. Мы также исследуем размытую границу между вредоносной рекламой и мошенничеством с рекламой.
глагол: cloak
для сокрытия контента, предоставляемого (веб-сайтом или веб-сервером) в зависимости от объекта, который его запрашивает
Dandelion Group, названная так из-за интенсивного использования домена weedlio[.]com, часто входит в экосистему медийной рекламы через, казалось бы, традиционный рекламный тег (как это делает большинство мошенников). Тег выглядит примерно так:
Это тонко и достаточно типично, чтобы остаться незамеченным, но происходит некоторое неправильное направление. Намного легче увидеть, если мы увеличим масштаб и разберем его:
<iframe src="about:blank" id="aXH5y3BEBJ3_RlPmTJxOQuw" frameborder=0 marginwidth=0 marginheight=0 scrolling=no allowtransparency=true width=300 height=250></iframe>
<script type="text/javascript">
var all_urls = ['hxxps://weedlio.com/g/2jrVhZ0']
, all_urls_length = all_urls.length
, random_url_number = Math.floor(Math.random() * all_urls_length)
, random_url = all_urls[random_url_number];
document.getElementById("aXH5y3BEBJ3_RlPmTJxOQuw").src = random_url;
</script>
JavaScript здесь полностью лишен какой-либо практической значимости. Это красная сельдь для маскировки легитимности рекламных технологий, упакованная так, чтобы напоминать очиститель кеша, к которому мы все привыкли. Однако сгенерированное здесь случайное число никогда не применяется, и все 6 строк кода можно записать так:
document.getElementById("aXH5y3BEBJ3_RlPmTJxOQuw").src = 'hxxps://weedlio.com/g/2jrVhZ0';
Все, что это делает, это устанавливает место назначения рекламного iframe. Давайте визуализируем это:
На первый взгляд мы сталкиваемся с рекламой в нативном стиле, но, конечно же, происходит нечто большее… и что не так с этим шумным доменом [.]com? Давайте проверим, что на самом деле показывает iframe, когда этот креатив выигрывает ставку:
Это не совсем творческий тег. Это документ HTML, который отправляет нетипичное перенаправление, но давайте сделаем паузу, чтобы признать, что метатеги служат очень важной цели.
Это директива, которая сообщает браузеру, как следует передавать реферер, или, точнее, что его вообще не следует передавать:
<meta name="referrer" content="never">
Помните, что отсутствие реферера часто является показателем органического трафика!
Это говорит сканерам (таким как googlebot) не индексировать страницу и не переходить по ссылкам внутри:
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
В качестве последнего удара у нас есть код, который отправляет скрытый запрос POST с двумя параметрами, называемыми ref_spoof и auth, по следующему URL-адресу:
hxxps://rumbumptious.com/7-of-the-most-extreme-vacation-destinations/?utm_source=snap_influencers
Вот скриншот страницы, отображаемой как POST-запрос после отправки скрытой формы:
А вот скриншот страницы, отображаемой при прямой загрузке:
Давайте проверим их рядом в контексте области просмотра:
Увидев изображения выше, должно быть совершенно ясно, что скрытая страница маскируется под обычный контентный сайт, но на самом деле это выгребная яма с набитой рекламой.
Методы, описанные выше, на самом деле не редкость. Маскировка была любимым инструментом SEO-манипуляторов на протяжении большей части десятилетия, если не дольше, но The Dandelion Group выделяется своим масштабом и настойчивостью.
Только во второй половине 2018 года мы определили примерно 35 доменов, которые следуют описанному выше шаблону all_urls и действуют либо как стартовая площадка для креатива, либо как заполненная страница (или и то, и другое):
hxxp://anw.starpulse.com hxxp://assets.brosive.com hxxp://buzznow.co hxxp://buzzwarp.com hxxp://cafefame.com hxxp://carsreviews.co hxxp://carsstar.co hxxp://epicguide.com hxxp://funnyanimalnews.com hxxp://gossipbuzz.com hxxp://postsugar.com hxxp://therugged.com hxxp://thingsfinance.com hxxp://truckhub.co hxxp://urlish.com hxxp://weedlio.com hxxp://www.bitcoinusprice.com hxxp://www.videoswebsites.com hxxp://www.webbuildernews.com hxxps://buzzwarp.com hxxps://cafefame.com hxxps://carsstar.co hxxps://funnyanimalnews.com hxxps://motorweb.co hxxps://postsugar.com hxxps://thingsfinance.com hxxps://truckhub.co hxxps://urlish.com hxxps://viralshare.us hxxps://www.culinarydiy.com hxxps://www.enewsgossip.com hxxps://www.gamingnewsweb.com hxxps://www.moviesnewsweb.com hxxps://www.viralmediatrends.com hxxps://www.webbuildernews.com hxxps://www.rumbumptious.com/
Weedlio[.]com был наиболее частым виновником этой группы с почти 100 уникальными «рекламными тегами», но новые сайты, домены для размещения рекламы и кампании продолжают появляться на регулярной основе.
Эти домены фигурировали в более чем 3500 уникальных сканирований в нашей системе, большинство из которых относятся к кампаниям, проводимым со значительными объемами в мире медийной рекламы.
Вот визуализация нашего обнаружения weedlio[.]com во время масштабного продвижения The Dandelion Group в четвертом квартале в конце прошлого года:
Деятельность Dandelion Group, описанная выше, в значительной степени представляет собой случай мошенничества с рекламой, но его влияние гораздо шире, чем вы можете себе представить в традиционной модели мошенничества.
Очевидными жертвами здесь являются рекламодатели и платформы, которые платят за то, чтобы их реклама отображалась за пределами видимого окна iframe, но и законные издатели также являются жертвами.
К большинству программных объявлений прикреплены какие-либо теги проверки качества, видимости или нечеловеческого трафика. Теги развертываются платформами на стороне покупателя или самими рекламодателями для отслеживания эффективности кампании, но также измеряется качество инвентаря.
Хотя такие объявления не будут помечены как трафик, не связанный с трафиком людей, объявления, размещенные в iframe, безусловно, будут ужасно ранжироваться по видимости. Когда мошеннические кампании, подобные описанной выше, проводятся на издателе в большом масштабе, репутация издателя может быть испорчена, поскольку он выступает в качестве источника непросматриваемого трафика. Это делает инвентарь издателя менее привлекательным для покупателей и снижает цену за тысячу показов и общий доход.
