Ana akım reklam dolandırıcılığı planında kullanılan yetişkinlere yönelik popunder kampanyası



Uygun maliyetli ve yüksek trafiğe sahip yetişkin portallarından yararlanan bir tehdit aktörü, XXX sayfası görünümü altında Google reklamları göstererek reklamcıları gizlice dolandırıyor.

Bu blog yazısı Jérôme Segura tarafından yazılmıştır.

Çevrimiçi reklamcılık, 2022 için 600 milyar ABD dolarının üzerine çıkması öngörülen harcamalarla multi milyar dolarlık bir endüstridir. Suçluların bu ekosistemi ellerinden gelen her şekilde kötüye kullanmak için ellerinden gelenin en iyisini yapmaları şaşırtıcı değildir.

En büyük tehditlerden biri ve reklamverenlerin her zaman akıllarına gelen bot trafiğidir çünkü gerçek gözbebekleri tarafından asla görülmeyecek reklamlarla boşa para atmakla eşdeğerdir. Bununla birlikte, reklam dolandırıcılığı botlardan daha fazlasıdır ve aslında trafik gerçek gibi görünse bile kötüye kullanım olabilir.

Örnek olarak, bir dolandırıcının yüksek trafiğe sahip yetişkinlere yönelik web sitelerinde uygun maliyetli bir popunder kampanyası yürüttüğü ve ardından Google Ads aracılığıyla para kazandığı akıllı bir reklam dolandırıcılığı şemasıyla karşılaştık. Başlangıçta dikkatimizi çeken şey, arama devinin kabul edilebilir içerik politikasına kesinlikle aykırı olduğu için, yetişkinlere uygun görünen bir sayfada bir Google reklamı görmekti. Çoğu tam ekran pornografik bir iç çerçevenin arkasına gizlenmiş, daha birçok reklamla dolu sahte bir blogu gizlemenin akıllıca bir yolu olduğu ortaya çıktı.

Farkında olmayan ziyaretçiler popunder açılış sayfasını tetikleyip diğer sekmelerinde gezinmeye devam ettikçe, yem web sitesi sürekli olarak yeni içerik ve tabii ki yeni reklamlarla yenileniyor ve ayda milyonlarca reklam gösterimi sağlıyor.

Bu geçersiz trafiği bildirdik ve bu reklam kampanyasını hızla sonlandırdığı için Google’a teşekkür etmek istiyoruz.

En iyi yetişkin sitelerinde popunder kampanyası

Yetişkinlere yönelik web sitelerinin çok fazla trafik oluşturduğu bir sır değil. En çok ziyaret edilen ilk 20 web sitesinden 3’ünün yetişkin endüstrisinden olduğunu ve daha popüler olanın ayda tahmini 2,8 milyar ziyaret aldığını biliyor muydunuz?

Bir dolandırıcı, en uygun maliyetli biçimlerden biri olan ve popunder olarak bilinen bir reklam biçimini kullanarak, yetişkinlere yönelik başlıca reklam ağlarından biriyle bir reklam kampanyası oluşturdu. Ziyaretçinin coğrafi konumuna ve diğer parametrelere bağlı olarak BGBM (bin gösterim başına maliyet) 0,05 ABD Doları kadar düşük olabilir.

Açılır pencere, bir kullanıcı bir web sayfasında herhangi bir yeri tıkladığında tetiklendiği için bir “pop-up” gibidir, ancak ortaya çıkan reklamın açık pencerenin arkasında görünmesi dışında. Ayrıca tipik bir banner reklam gibi değil, aslında tam bir sayfadır ve genellikle hedefi yüksek bir dönüşüm oranına sahip olmak için net ve ilgi çekici bilgiler sağlamak olan bir açılış sayfası olarak anılır. Yetişkin endüstrisi için yaygın popunder örnekleri arasında çevrimiçi flört hizmetleri, yetişkinlere yönelik web kameraları veya sadece bir yetişkin portalı yer alır.

İlk başta, bu popunder’ın sadece Txxx adlı başka bir yetişkin web sitesini tanıttığı anlaşılıyor. Ancak birkaç şey birbirini tutmuyor: sayfanın başlığı ve adres çubuğu tamamen alakasız bir şey gösteriyor ve sayfanın alt kısmında bir Google reklamı gibi görünen bir şey görebiliyoruz.

Sorun şu ki, Google’ın reklamcılık politikaları, tahrik etmeyi amaçlayan sansürsüz cinsel eylemler içeren metin, resim, ses veya video gibi müstehcen içeriğe izin verilmediğini belirtiyor. Teknik olarak konuşursak, yetişkinlere uygun içerik yalnızca bir WordPress blogunun üstüne yerleştirilmiş bir iframe’dir ve alttaki reklam gerçekten arka planda gizlenmiş olmalıdır.

Algılanmayı önlemek için, kod büyük ölçüde gizlenmiştir ve iframe dinamik olarak oluşturulmuştur:

Reklam afişleri yerleştirmek için SEO dostu içerik

Dolandırıcı, tam ekran bir XXX iframe altına yasal içerik yükleyerek (ör. tesisat sorunlarınızı nasıl çözeceğiniz) aslında Google’ı kandırıyor. Sadece bu da değil, sayfa aynı zamanda yeni bir makaleyi sunmak için içeriğini düzenli aralıklarla yeniliyor ve Google Ads’de daha fazla para kazanmak için yine XXX yer paylaşımının arkasına gizlenmiş durumda. Sekme popunder olarak başlatıldığından, bu kullanıcının bilgisi olmadan gerçekleşir.

Bu sıradan bir giriş sayfası değil, aslında diğer sitelerden çalınan düzinelerce makalenin bulunduğu tam bir blog.

  • 10-ev-ısıtma-ipucu
  • Mutfağınıza bir profesyonel gibi stil vermenin 10 yolu
  • Oluk koruma sistemlerini kurmanın 4 ana faydası
  • Kaliforniya’da en yaygın 8 çatı sızıntısı nedeni
  • kendi evinizi inşa etmeyi planlamadan önce bütçenizi hesaplayın
  • 3 günde kendi evini inşa et
  • ülkede kendi evini inşa et
  • california’daki evinizin çatı havalandırmasına ihtiyacı var mı
  • en iyi dış mekan aydınlatması için ev sahibi rehberi
  • kendi evinizi inşa etmek için bir ipoteğin maliyeti ne kadardır?
  • los angeles bölgesinde yeni bir ev inşa etmenin maliyeti ne kadar
  • kar-ve-buz-çatınızı-nasıl-etkiliyor
  • güneş panelleri çatınızı nasıl daha uzun süre dayanabilir
  • alçıpan-beton-bloğa-nasıl-yapıştırılır
  • california’da modern yemek odası nasıl yapılır

Ortalama olarak (sayfanın tamamında gezinirken), yaklaşık 5 Google reklamı ve hatta bazen daha kazançlı olan video reklamları vardır.

Milyonlarca reklam gösterimi

Bu tek sahte web sitesi için üst düzey ölçümlere (Benzerweb’den alınan) baktığımızda bazı ilginç rakamlar görüyoruz. Aylık toplam ziyaret sayısı 300 bine yakın (ve önceki ay verilerine göre ikiye katlanıyor). Ancak daha ilginç olan ölçü, ziyaret başına görüntülenen sayfa sayısıdır ve bu sayı 51’in üzerindedir.

Bir insan 51 makaleyi ortalama 7 dakika 45 saniyede nasıl tarayıp okuyabilir? Cevap basit: yapmazlar. Popunder sayfası Google Ads ile birlikte sürekli olarak yeni makaleler yüklerken, diğer aktif sekmede kullanıcı büyük ihtimalle kendi işiyle meşguldür. Google’ın sunucularına yapılan reklam isteklerine dayalı olarak bunun nasıl göründüğüne dair hızlı bir tarama yaptık:

Rakamlar demografiye ve diğer ayarlara göre değişiklik gösterse de, sayfanın dakikada ortalama 35 reklam gösterimi oluşturduğunu tahmin ediyoruz. Hesabını yaparsak ve toplam aylık ziyaret sayısını (281,9K) ortalama süreyi (7:45 dakika veya 465 saniye) çarparsak, ayda toplam 76.465.375 reklam gösterimi elde ederiz. Elde edilen gelirin tam olarak hesaplanması farklı faktörlere bağlı olacaktır, ancak 3,50 ABD doları BGBM ile bu plan teorik olarak ayda 276.629 ABD doları getirebilir.

Bu reklamlar hiç kimse tarafından görülmeyeceğinden, tüm bu gösterimlerin tamamen geçersiz trafikten (IVT) kaynaklandığını düşünebiliriz. Ancak bu, tipik bir bot trafiği değildir, çünkü isteksiz katılımcılar gerçek IP adresleri, tanımlama bilgileri ve diğer tarayıcı ayarları olan gerçek kullanıcılardır. Ancak, ziyaret başına beklenmedik şekilde yüksek sayfa sayısı gibi eşantiyonlar da vardır. Karşılaştırma için, en popüler yetişkin sitesi ortalama 9 sayfaya ve ziyaret başına 9 dakikaya sahiptir.

Bu reklam sahtekarlığı şemasında, tıklama hırsızlığı şeklinde gelen bir değişiklik daha var. Bir kullanıcı sekmeye odaklandığında (bu bir popunder idi), aniden sayfa döndürme durur ve kullanıcının gördüğü şey başka bir yetişkin web sitesine (iframe) benzer. Sayfada herhangi bir yere yapılan tıklama (kullanıcı küçük resimlerden birini seçip belirli bir videoyu izlemek isteyebilir), bunun yerine bir Google reklamına gerçek bir tıklamayı tetikler.

Önceki istatistiklere dayalı olarak, popunder, kullanıcı o sekmeyi kapatmadan veya sayfayı tıklamadan önce ortalama 7 dakika 45 saniye boyunca sessizce bloglar ve reklamlar arasında dolaşır ve bu da reklamverenin tıklama başı maliyetini (TBM) artırır.

(Sahte) gerçek haber siteleri

Tuzak site, Google’ı dolandırmak için oldukça karmaşık ve anlaşılmaz bir kod kullandı ve muhtemelen tek seferlik olarak geliştirilmemişti. Öne çıkan ‘povtor’ adlı bir metin dizisine dayalı bir imza yazdık ve VirusTotal’da bir retrohunt araması yaptık. Povtor, Rusça’da ‘tekrar’ anlamına gelir ve bu, tehdit aktörünün muhtemelen Rus olduğuna ilişkin anlayışımıza uygundur.

Retrohunt araması, ortak bir noktaları olan siteler için bir dizi isabet getirdi: daha önce süresi dolmuş alanlarda kayıtlı haber portalları. Daha önce belirli bir siyasi parti için yalnızca önyargılı haberleri öne çıkaran etki kampanyaları görmüş olsak da, burada durumun böyle olduğuna inanmıyoruz. Haber makaleleri dengeli ve gerçek görünüyor, bu da başka bir güdüye işaret ediyor.

Bu yine çeşitli yerlerden içerik alma ve reklam amaçlı SEO dostu siteler oluşturma ile aynı çalışma şeklidir. Yine de, haber siteleriyle ilgili bu özel planın aşırı derecede başarılı olduğu görünmüyor.

Çalınmadığı sürece içerik kral olabilir

Dolandırıcılar sürekli olarak minimum çabayla çevrimiçi para kazanmanın yollarını arayacaklar. Yetişkin trafiğinden yararlanmak, kullanıcı kapatana kadar birkaç dakika açık kalacak bir açılış sayfası çalıştırmak için mükemmel şekilde uygun olan açılır pencere biçimi sayesinde büyük hacimli ve uygun maliyetli kampanyalar sağlar.

Ziyaretçiler gerçekten web sitesine gitmiyor ve tam sayfa iframe tarafından maskelenmiş reklamları bile göremiyor. Ancak, bu kullanıcılar bot değildir ve doğru tarayıcı ayarlarına ve ağ özelliklerine sahiptir, bu da muhtemelen geçersiz trafiği tanımlamayı zorlaştırır.

Sayfanın alt kısmında görüntülenen bir Google reklamı olmasaydı (diğer tüm reklamlar XXX iframe’in arkasına gizlenmişti), bu sahtekarlığı muhtemelen tespit edemezdik. Web trafiği analizinde bile, diğer tüm içerikler gerçek gibi göründüğünde bir iframe’in varlığı açıkça göze çarpmıyor.

Belki de içeriğin kendisi, güvenlik modellerinin en iyi şekilde çalışacağı yer olabilir. Bir dolandırıcının kendi başına yüz blog makalesi yazması pek olası değildir; en azından bu miktarda içeriği üretmesi için bir üçüncü taraf kiralamak daha mantıklı olacaktır. Bu nedenle, kopyaları tespit etmek ve taklitçi siteleri belirlemek, kimlik avı sayfalarından sahte kara SEO web sitelerine kadar iyi sonuçlar verebilir.

Google’a bildirdikten sonra, web sitesinin artık reklam yüklemediğini ve bunun yerine boş iframe’ler gösterdiğini doğruladık.



Source link