Popunders, reklam dolandırıcılığına hizmet etmek için ideal bir araçtır. Bu durumda, göremediğiniz bir web sayfasının bir dizi reklam yüklediği ve kodun kaydırarak ve bağlantıları ziyaret ederek kullanıcı etkinliğini taklit ettiği bir planı araştırıyoruz.
WordPress, tüm web sitelerinin %43’ünden fazlasını destekleyen son derece popüler bir içerik yönetim sistemidir (CMS). Birçok web yöneticisi, reklam yayınlayarak sitelerinden para kazanır ve gelirlerini en üst düzeye çıkarmak için arama motoru optimizasyonu (SEO) tekniklerine özel dikkat çekmesi gerekir.
Ancak bazı insanlar, yasal ama bazen de hileli uygulamalara girerek trafik kazanmak için kestirme bir yol izleyecektir. Bu örnekte, web sitelerini tanıtmak için popunder trafiği satın alan birini belirledik. Popunder, çevrimiçi olarak çok yaygın bir olaydır ve mevcut sayfanın altında ikincil bir sayfanın başlatılmasından oluşur. Kendi içinde, sadece bir sıkıntı olarak kabul edilebilir ve başlatılmakta olan web sitesinin reklamcıları dolandırmak için çeşitli teknikler kullandığı durumlar dışında kötü niyetli değildir.
Bir dizi reklam yüklenirken ve yenilenirken bir sayfayı otomatik olarak kaydırarak ve içindeki bağlantıları izleyerek insan etkinliğini taklit eden aynı eklentiyi kullanan birkaç düzine WordPress blogu keşfettik. Bloglar, yalnızca bu eklenti tarafından oluşturulan belirli bir URL’den başlatıldıklarında bu geçersiz trafik davranışını sergileyecekti, aksi takdirde tamamen meşru görünüyorlardı.
Bu gönderide, bu reklam dolandırıcılığı planının arkasındaki teknik ayrıntıları ve bu WordPress eklentisinin geliştiricisine işaret eden ipuçlarını paylaşıyoruz.
Önemli bulgular
- Yaklaşık 50 WordPress blogu, Fuser-Master adlı bir eklentiyle arka kapıdan kapatılmıştır.
- Bu reklam dolandırıcılığını gerçekleştiren bloglardan biri, Ocak ayında ortalama 24:55 dakika ziyaret süresi ve ziyaret başına 17,50 sayfa ile 3,8 milyon kez ziyaret edildi.
- Bu eklenti, büyük bir reklam ağından gelen popunder trafiği aracılığıyla tetikleniyor
- WordPress siteleri altında ayrı bir sayfaya yükleniyor ve bir dizi reklam gösteriyor
- Eklenti, gerçek bir ziyaretçinin etkinliğini taklit eden JavaScript kodu içerir: sayfayı kaydırır, bağlantılara tıklar, vb.
- Kod ayrıca gerçek insan etkinliğini (fare hareketi) izler ve bu gerçekleştiğinde sahte kaydırmayı hemen durdurur.
Şekil 1: Reklam dolandırıcılığı vakasını özetleyen diyagram
Fuser-master WordPress eklentisi
Son zamanlarda, reklamları gizlemek için bir iframe kullanması dışında, bir popunder içeren reklam sahtekarlığı hakkında blog yazdık. Burada gizli hiçbir şey yoktur ve reklam sahtekarlığı ancak sayfa aşağı kaydırıldığında ve rastgele aralıklarla yukarı kaydırıldığında anlaşılabilir. Bir popunder olduğu için, kimse farkında olmadan suç ortağı olur ve hileli davranışların hiçbirini görmez.
Bu araştırmada, bu popunder’ları kolaylaştırmak için reklam ağında zaman harcamayacağız, ancak kullandıkları hata ayıklama önleme koduna dayalı olarak hangisinin olabileceğine dair oldukça iyi bir fikrimiz var. Popunder’ları reklam dolandırıcılığı için özellikle cazip kılan şey, içeriğin yüklenmesine ve bir sonraki eyleme kadar kalmasına izin vermeleridir. Bir kullanıcının ziyaret etmekte olduğu mevcut web sitesinden kolayca ayrılabileceği ana tarayıcı penceresinin aksine, açılır pencere kapatılana kadar birkaç dakika hatta saatlerce açık kalacaktır.
Popunder’ı birkaç kez tetikleyebildik ve dolandırıcıların hepsinin ortak noktası olan birkaç farklı blog kullandığını, yani “fuser-master” adlı bir eklenti kullandıklarını fark ettik. Bu eklenti için nereden indirileceği veya yazarının kim olabileceği gibi pek çok referans yoktur. Bir WordPress tema algılayıcısı olan themeinfo.com’dan yalnızca bir söz bulabildik.
Şekil 2: Fuser-master eklentisini kullanan web sitelerinin listesi
Galeride listelenen sitelerin tümü hala mevcut değil veya tamamen işlevsel değil, ancak bu, standart blogları reklam sahtekarlığı robotlarına dönüştürmek için neyin kullanıldığına dair bize hala iyi bir fikir verdi. Ana sayfalarında ziyaret edildiğinde, tüm bu blogların doğası gereği statik olduğunu tekrar belirtmekte fayda var, yani sayfanın kendi kendine kaydırıldığı bu tür zombi aktivitelerini görmüyoruz. Bir sonraki bölümde, söz konusu davranışı tetikleyen URL giriş noktasına bakacağız.
Kullanıcı kontrolü ve yönlendirme
Bu blogların tümü, doğrudan ziyaret edildiklerinde tipik görünürler, dolayısıyla hem manuel hem de insan doğrulamasından geçmeleri muhtemeldir. Ancak ilgili parametrelerle özel bir URL (giriş noktası) girildiğinde bunlar reklam sahtekarlığına dönüşür. Aşağıda, bu eklentinin kurulu olduğu tüm bloglarda kullanılan URL yolunu ve parametrelerini görebilirsiniz:
/wp-content/plugins/fuser-master/entrypoint.php?
İlk olarak, mevcut kullanıcı, reklam sahtekarlığı planına girmelerine izin verilip verilmeyeceğini belirlemek için kontrol edilir:
Şekil 3: Çerezler için önceden kontrol edin
Dolandırıcılar, Google ve Twitter’dan gelen açık yönlendirmeleri ilginç bir şekilde kullanıyor. İlgili Google arama terimlerine karşılık gelen bir diziden bir anahtar kelime seçilir ve bir Google arama URL’sine eklenir:
Şekil 4: SEO hilesi
Bu anahtar kelime rastgele seçilir ve dinamik yönlendirme URL’sini oluşturur:
Şekil 5: Yönlendirmede kullanılan anahtar kelime
Bir sonraki web isteği, bazı tanımlama bilgilerini de bırakan gerçek yönlendirme kodudur. Yönlendirme için URL ve kod, önceden ayarlanan farklı seçeneklere göre değişir:
Şekil 6: Google açık yönlendirme
Şekil 7: Twitter açık yönlendirme
Açılır pencere, blogu giriş noktası aracılığıyla etkili bir şekilde yükleyecek ve ardından, sanki birisi arama sonuçlarından birine tıklamış gibi, Google açık yönlendirmesi yoluyla yeniden girmek üzere hemen bırakacaktır. Şuna benziyor:
Şekil 8: Açık yönlendirme mekanizmasını gösteren animasyon
Sahte kullanıcı etkinliği
Daha önce de belirtildiği gibi, bloglar yalnızca kaynaştırıcı-ana eklentinin giriş noktası aracılığıyla ziyaret edildiğinde reklam sahtekarlığı özelliklerini sergileyecektir. Bunun, bir kullanıcı web’de gezinirken bir sayfaya tıkladığında ve bir açılır pencere başlatıldığında meydana geldiğini biliyoruz. Blog yeni bir pencerede açılacak arka geçerli pencere, bu da kullanıcının neler olup bittiğinden tamamen habersiz olduğu anlamına gelir.
Popunder açığa çıktığında tuhaf bir şey olduğu hemen anlaşılıyor. Bir insanın bir makale okurken ne yapacağını gerçekten taklit eden, biraz ileri geri ve biraz rastgele kaydırma fark ediyoruz. Koda baktığımızda, kullanıcı etkinliğini kontrol ettiğini görebiliriz (buna daha sonra değineceğiz) ve bu kaydırma etkinliğini yalnızca sayfada gerçek fare hareketleri algılamadıysa gerçekleştirir:
Şekil 9: Otomatik kaydırma kodu
Popunder, bu sahte kaydırma olmadan aynı blog olsaydı, yaramazlıktan şüphelenmek için hiçbir neden olmazdı. Dolandırıcılar, hedefleri reklamlar aracılığıyla para kazanmak olduğundan, herhangi bir kullanıcı etkileşimi olmayan statik bir sayfayla elbette ilgilenmezler. Bu geçersiz trafiğin, reklam dolandırıcılığını önleme çözümleri tarafından işaretlenmemesi için mümkün olduğunca geçerli görünmesi gerekir:
Şekil 10: Otomatik kaydırmayı gösteren animasyon
Bu dolandırıcılığın bir başka ilginç yönü de düzenli aralıklarla yeni bir makalenin görüntülenmesidir. Bu, okumak isteyebilecekleri diğer makaleleri takip ederek sitede devam eden bir blogun standart bir ziyaretçisi bağlamında anlamlıdır. Fuser-master’ın koduna baktığımızda, o anda yüklü olan sayfadan tüm dahili URL’leri almaya çalıştığını ve bu bağlantıları bir diziye yerleştirdiğini görüyoruz. Neler olduğunu gözlemlersek, belirli bir sayıda yukarı ve aşağı kaydırdıktan sonra farklı bir makalenin yüklendiğini ve kaydırmanın devam ettiğini görün. Bu sahte etkinlik, şu anda bilgisayarlarının başında bulunan gerçek insan tarafından kesintiye uğrayana kadar dakikalardan saatlere kadar sürebilir.
oyunu dondur
Bir noktada, gerçek kullanıcı tarayıcısını veya açılır pencerenin önündeki sayfayı kapatacaktır. Bu olduğunda, tüm sahte faaliyetler aniden durur ve blog durağan hale gelir. Bu, şüpheden kaçınmak için zekice bir numara ve bize çocukların oynadığı ‘dondurma’ oyununu hatırlatıyor. Dolandırıcılar, farenin geçerli sayfanın üzerine getirildiğini algılayabilir ve kodun çalışmasını hızla durdurabilir.
Şekil 11: Gerçek kullanıcı etkinliğini izleme
Şekil 12: Gerçek kullanıcı tespit edildikten sonra sahte etkinliğin durdurulması
Aynı web geliştiricisi bu blogları oluşturdu
İnternet Arşivini inceleyerek, bu sitelerin birçoğunun arkasında Hintli bir web geliştiricisi olduğunu belirledik. Bazı eski yazılar onun tarafından yazılmıştı ve kaydırma çubuğu stili ve test reklamları gibi düzen de aynıydı. Bu web geliştiricisinin, bunu yapacak teknik becerilere sahip olmasına ve topluluğuna dayanarak WordPress kimliğini çeşitli SEO eklentileri hakkında bir dizi gönderide yer almasına rağmen, reklam sahtekarlığı eklentisini oluşturduğunu kesin olarak kanıtlayan hiçbir şey yoktur.
Şekil 13: Başka bir yerde yeniden kullanılan benzer bir şablon kullanan demo blog
Buna ek olarak, kendi iş web sitesi de portföyündeki bu blogları içeriyor ve küçük resimlerin üzerine geldiğimizde, daha önce reklam sahtekarlığında gördüğümüze çok benzer bir kaydırma tekniğini fark etmekten kendimizi alamıyoruz.
Şekil 14: Bazı blogları gösteren portföy
Sözde müşterilerinden biriyle, sitelerinde çalışan füzer-mater eklentisi hakkında bilgi vermek için iletişime geçtik. Kendilerinden yanıt alamasak da, yaklaşık bir saat içinde eklenti WordPress kurulumlarından kaldırıldı.
Şekil 15: Fuser-master eklentisi, bildirimimizden kısa bir süre sonra silindi
Web geliştiricisi bu reklam dolandırıcılığı planından para kazanmak isterse, kendi yayıncı kimliklerine sahip olması ve müşterileri tarafından kullanılanların üzerine yazması gerekir, ancak durumun böyle olduğunu hemen doğrulayamadık. Eklentinin bir “eklenti” olarak satılması ve bazı müşterilerinin bundan tamamen haberdar olması da mümkündür, ancak bunu da kanıtlayamadık.
İncelediğimiz önceki reklam sahtekarlığı davasının aksine, bu davada yalnızca Google reklamları kullanılmıyor. Bunun yerine, yayıncı kimliklerini ve potansiyel gelirlerini belirlemeyi zorlaştıran bir dizi reklam platformundan geçiyorlar. Bu soruşturmada yer alan web sitelerinden birinin (momplaybook[.]com) Ocak ayında 3,8 milyon ziyaretçiye sahipti ve sitede ortalama 24 dakika vakit geçirerek ve sitede 17 sayfaya bakarak (Benzer Web’e göre istatistikler).
Şekil 16: Malwarebytes Tarayıcı Koruması
Aynı web sitesini ziyaret eden Malwarebytes Browser Guard, ana sayfada birkaç dakika boşta kaldıktan sonra binden fazla reklam izleyiciyi engelledi. Taleplerin çoğu, bildirdiğimiz üzere Google’ın DoubleClick ve OpenX’inden geldi.
Çözüm
Popunder’lar meşru bir reklam biçimi olsa da, formatları suistimale açıktır. Özellikle reklam dolandırıcılığı için popunder’lar, web sitelerinin yüklenmesine ve asla gerçek insanlar tarafından görüntülenmeyecek reklamlar sunmasına olanak tanır.
Bu araştırma sırasında tespit ettiğimiz eklenti nispeten basittir ve sıradan bir WordPress blogu olan herkesin kazançlarını önemli ölçüde artırmasına olanak tanır. Düzenli ziyaretçiler bloga farklı bir akışla (standart arama veya yönlendirme bağlantısı) geleceğinden, hileli davranışların hiçbiri gösterilmeyecektir. Gereken tek şey, büyük bir popunder dağıtıcı aracılığıyla reklam alanı satın almak ve kaynaştırıcı-ana eklentiyi tetikleyen özel giriş noktası URL’sini kullanmaktır.
Bu geçersiz trafik durumuyla ilgili ayrıntıları sektördeki diğer ortaklarla paylaştık.
Uzlaşma Göstergeleri
anne oyun kitabı[.]iletişim
geekextreme[.]iletişim
kadın 4[.]iletişim
yemek oyunları[.]iletişim
dorkfuel[.]iletişim
otomobil haberleri[.]açık
günaydın[.]iletişim
expat olmak[.]iletişim
klinkeltown[.]iletişim
küçük deneyim[.]iletişim
kayıp öğünler[.]org
pişmiş vesileler[.]iletişim
pişmiş vesileler[.]iletişim
parlak yan güzellik[.]iletişim
yemek kitapları ve çocuklar[.]iletişim
kase gün batımı[.]iletişim
muhabir[.]iletişim
temel guru[.]iletişim
iyi niyetli baskı[.]iletişim
inek özeti[.]iletişim
saç modelisideashub[.]iletişim
teknik canlı tel[.]iletişim
kripto sendikası[.]iletişim
çerçeve döngüsü[.]iletişim
thegamershub[.]ortak[.]İngiltere
hızlı nane[.]iletişim
çok büyük[.]BT
teknik canlı tel[.]iletişim
iyi niyetli baskı[.]iletişim
kaosandkiddos[.]iletişim
geekandtech[.]iletişim
inek özeti[.]iletişim
rec-kanada[.]iletişim
madass oyuncuları[.]iletişim
canada[.]iletişim
gezginci[.]iletişim
dişli taksi[.]iletişim
dut[.]iletişim
satın alma teknolojisi[.]iletişim
sayfa alışkanlığı[.]iletişim
tekkola[.]iletişim
teknoloji[.]iletişim
asi oyun sıkışması[.]iletişim
sol sağ politika[.]iletişim
Bitcoin’i takip et[.]iletişim