La campagna di frode pubblicitaria di Google ha utilizzato contenuti per adulti per guadagnare milioni
La campagna di frode pubblicitaria di Google ha utilizzato contenuti per adulti per guadagnare milioni
Si stima che una massiccia campagna di frode pubblicitaria utilizzando Google Ads e "popunder" su siti per adulti abbia generato milioni di impressioni pubblicitarie su articoli rubati, facendo guadagnare ai truffatori circa $ 275.000 al mese.
La campagna è stata scoperta da Malwarebytes, che l'ha segnalata a Google e l'ha rimossa per aver violato le norme che vietano gli annunci Google su siti per adulti.
Sebbene l'operatore della campagna sia sconosciuto, le prove raccolte da Malwarebytes suggeriscono che l'attore sia probabilmente di origine russa.
Il truffatore ha organizzato campagne pubblicitarie su siti per adulti che ricevono un traffico massiccio utilizzando annunci "popunder".
Questi annunci sono incredibilmente economici e si aprono come "pop-up" dietro la finestra del browser aperta, quindi l'utente non li vedrà fino a quando non chiudono o spostano la finestra principale del browser.
In genere, i "popunder" vengono utilizzati da servizi di appuntamenti online, webcam per adulti e altri portali di contenuti per adulti.
In questo caso, il truffatore crea portali di notizie dall'aspetto legittimo con contenuti prelevati da altri siti, che vengono utilizzati come pubblicità "popunder".
Tuttavia, invece di mostrare il contenuto della pagina, sovrappongono un iframe che promuove un sito per adulti "TXXX".
Per generare entrate pubblicitarie da questi popunder, gli attori incorporano anche un annuncio Google nella parte inferiore della pagina, violando le norme pubblicitarie di Google, come mostrato di seguito.
La sovrapposizione è ottenuta da un iframe costruito dinamicamente che utilizza un pesante offuscamento del codice per eludere l'analisi automatica da parte dei robot di rilevamento delle frodi di Google. L'iframe punta a txxx.tube, un sito di contenuti per adulti legittimo, che utilizza per importare contenuti per adulti.
"Una volta che un utente mette a fuoco la scheda (era un popunder), improvvisamente la rotazione della pagina si interrompe e ciò che l'utente vede è quello che sembra un altro sito Web per adulti (l'iframe)", spiega Malwarebytes.
"Un clic in un punto qualsiasi della pagina (l'utente potrebbe voler selezionare una delle miniature e guardare un video specifico) attiva invece un vero clic su un annuncio Google."
Gli articoli caricati in background (sotto l'iframe dei contenuti per adulti) vengono rubati da siti legittimi, principalmente tutorial, articoli e guide.
Queste pagine contenevano in media cinque Google Ads, a volte includendo anche annunci video che generano entrate più consistenti.
Il truffatore imposta il contenuto di sfondo in modo che si aggiorni con un nuovo articolo e una nuova serie di annunci ogni nove secondi, quindi se la pagina rimane aperta per un paio di minuti, vengono generate più impressioni pubblicitarie fraudolente.
Analoghe metriche web riportano che la pagina fraudolenta genera circa 300.000 visite al mese con una durata media di 7 minuti e 45 secondi.
Sulla base di ciò, Malwarebytes ha stimato che le impressioni dell'annuncio siano di 76 milioni al mese e le entrate di $ 276.000 al mese (basate su un CPM di $ 3,50).
Questo numero è una stima per il sito specifico e, come spiega Malwarebytes, probabilmente ce ne sono di più.