Злоумышленники используют Win32/Boaxxe.BE для организации кликфрода / ESET NOD32 corporate blog / Habr

В этом анализе мы хотим рассказать об интересном семействе вредоносных программ Win32/Boaxxe.BE, которое используется злоумышленниками для направления трафика на рекламные сайты с использованием различных техник кликфрода. Таким образом злоумышленники получают материальную выгоду от рекламодателя, который платит за клики. Первая часть анализа освещает инфраструктуру партнерской сети, которая используется для распространения этой вредоносной программы, во второй части мы сосредоточимся на технических аспектах вредоносного кода.

Дистрибуция и получение прибыли

Win32/Boaxxe.BE распространялся с сайта партнерской программы partnerka.me, который начал свою работу в сентябре 2013 г. Владельцы или клиенты партнерки (партнеры) платят злоумышленникам за установки этой вредоносной программы на компьютеры пользователей. На скриншоте ниже представлена панель управления одного из партнеров (т. н. филиал партнерки), который фиксирует статистику, связанную с дистрибуцией вредоносного кода.

Раздел «Промо» указывает на вредоносную программу, которая должна быть дистрибуцирована через филиал.

Сам исполняемый файл с вредоносной программой доступен либо через прямое скачивание (Скачать), либо через специальный download URL (ссылка на скачивание), который имеет вид «web5.asia/promos/download?token=TOKEN&sub_id=SUB-ID». Параметр TOKEN представляет из себя значение размером 20 байт, которое идентифицирует филиал партнерки (партнера). Параметр SUB-ID также может быть использован для идентификации различных исполняемых файлов, которые распространяются этим филиалом.

В разделе «Промо», на той части веб-страницы, которая располагается ниже кнопок скачивания, показан рейтинг обнаружения файлов вредоносной программы со стороны антивирусных продуктов. Мы наблюдали смену бинарных файлов вредоносной программы каждый час, что позволяет избегать обнаружения со стороны антивирусных сканеров. Как это обычно бывает в подобного рода случаях, одна и та же вредоносная программа просто перепаковывается для того, чтобы убрать детект.

Не вдаваясь в технические подробности отметим, что исполняемые файлы вредоносной программы содержат идентификатор партнерской программы, позволяя C&C-серверу правильно сообщать о филиале, с которого была установлена вредоносная программа. Идентификатор филиала представляет из себя двухбайтовое значение, которое увеличивается на единицу для каждого нового зарегистрированного аккаунта в партнерской программе. За четыре месяца нашего мониторинга было зафиксировано создание сорока новых партнерских аккаунтов.

Страница со статистикой имеет вид.

Колонка Installs подсчитывает количество успешных установок вредоносной программы. Назначение колонки Blocked не совсем ясно поскольку мы не наблюдали ненулевые значения для нее. Для понимания других колонок нужно отметить, что Win32/Boaxxe.BE реализует два различных типа кликфрода:

• Инициированный пользователем кликфрод: пользователь вводит поисковый запрос в браузере и вредоносный код подставляет в релевантных результатах поиска рекламные сайты. Такая практика реализована в различных семействах вредоносных программ, например, Win32/TrojanDownloader.Tracur и Win32/Goblin (aka Win32/Xpaj). Статистика по этому виду кликфрода фиксируется в следующих столбцах:
  
  • Active: количество компьютеров, зараженных Win32/Boaxxe.BE, и которые использовались для просмотра веб-страниц в этот день.
  • Searches: количество ключевых слов, которые использовались в поисковом запросе.
  • Clicks: количество совершенных перенаправлений пользователя (выполненных им кликов).
  • PPC Profit: сумма, заработанная данным партнером через кликфрод.
  
  
• Автоматический кликфрод: Win32/Boaxxe.BE имеет в своем составе возможности по скрытному посещению рекламных сайтов без ведома пользователя.
  
  • Live: количество зараженных компьютеров, которые выполняют кликфрод.
  • CPV Actions: количество автоматических действий по кликфроду, выполненных вредоносной программой.
  • CPV Profit: сумма, заработанная партнером через кликфрод.
  
  

Веб-сайт также предоставляет URL на объект JSON, который содержит вышеприведенную статистику для ее обработки непосредственно партнером. Интересно, что для доступа к этой статистике не используется аутентификация, таким образом нужно просто знать двадцатибайтный маркер филиала для получения к ней доступа. Например, мы получили статистику одного из партнеров, который использовал свой аккаунт в партнерской программе с 7-го декабря. В этом случае партнер получил более трех тысяч установок (3,332) с денежной прибылью (PPC Profit) в размере $50 и $200 за автоматический кликфрод (CPV Profit). Ниже показана статистика этого партнера.

Неудивительно, что за автоматически осуществляемые клики (CPV Actions) злоумышленники заработали больше чем за обычные клики, осуществляемые пользователем вручную. Автоматические клики генерируются непрерывно вредоносным кодом пока работает операционная система. Отношение CPV Actions / CPV Profit дает нам примерное значение $0.0005 за клик и Clicks / PPC Profit равен $0.015. Очевидно, что перенаправление реального пользователя является более прибыльным для злоумышленников.

Веб-страница панели управления содержит раздел оплаты и поддержки услуг через создание тикетов для партнера.

Ниже на рисунке наглядно представлена схема, которой пользуются злоумышленники.

Как мы уже объясняли, вредоносные файлы для заражения пользователей распространяются партнерами сети partnerka.me. После заражения пользователи будут вынуждены просматривать рекламные сайты либо в автоматическом режиме (скрытно), либо во время переходов по ссылкам в поисковой системе. Зараженные машины используют механизмы поиска дорвеев, которые для поискового запроса возвращают список рекламных сайтов. Поставляемые URL ссылки обычно запускают цепочку перенаправлений через сайты, которые связаны с собой отношениями рекламодатель-публикатор (каждый веб-сайт в цепочке платит предыдущему за полученный трафик).

В конце, рекламируемые сайты, среди которых могут быть и легитимные, платят обратно рекламной сети за трафик. Эти сети берут комиссию и выплачивают часть сервису дорвеев за полученные данные. Наконец, partnerka.me получает оставшуюся часть денег, берет свою долю и выплачивает часть партнерам (филиалам).

Мы полагаем, что владельцы партнерской сети не имеют отношения к созданию Win32/Boaxxe.BE, их сервис только используется для дистрибуции этой вредоносной программы. Были отмечены и другие версии Boaxxe in-the-wild, которые имели дополнительные функции в своем составе: защитные механизмы или иную реализацию существующих модулей, но при этом они используют перенаправления на те же рекламные сети.

Скриншот ниже показывает статистику ежедневных обнаружений Win32/Boaxxe.BE с момента открытия partnerka.me в сентябре 2013.

Интерес злоумышленников в этом вредоносном инструменте достаточно высок, что соответствует росту количества филиалов по его распространению. Пиковые показатели активности также соответствуют статистике отдельных филиалов, например, один из них начал массированную спам кампанию по распространению в конце декабря.

Вредоносные расширения браузеров для выполнения кликфрода

Процесс установки вредоносного кода Win32/Boaxxe.BE приведен ниже на рисунке. Этот процесс включает в себя три этапа.

Win32/Boaxxe.BE изначально может представлять из себя установщик (NSIS Installer), который содержит исполняемый файл и вспомогательный файл setup.dat. Задача установщика извлечь из себя оба файла и запустить исполняемый файл, который после проверок окружения ОС на предмет эмуляторов или отладчиков извлекает из себя BMP файл изображения. Пример изображения представлен ниже.

Данные этого якобы изображения затем расшифровываются уже в новый исполняемый файл, который запускается на исполнение. Такая техника используется для введения в заблуждение аналитиков и автоматические системы анализа вредоносных объектов, которые могут решить, что данный файл не предназначен для исполнения. При преобразовании файла «изображения» в исполняемый, он расшифровывается через RC4, а затем распаковывается с использованием aPlib. Наконец, в исполняемом файле настраиваются инструкции переходов CALL и JMP с использованием специального метода E8/E9.

На втором этапе Win32/Boaxxe.BE выполняет установку специальных расширений для браузеров, через которые в последующем он получит полный доступ к процессу браузера и будет осуществлять кликфрод. Метод получения доступа к браузеру различен для разного вида браузеров, например, как показано выше, для доступа к Google Chrome и Mozilla Firefox используется механизм расширений браузеров, а в случае с Internet Explorer для процесса браузера используются специальные перехваты в памяти. Ниже дается пояснение о том каким образом вредоносный код использует свои расширения для получения доступа к Chrome и Firefox.

Расширения для браузера Google Chrome обычно распространяются через подписанные. CRX файлы, которые могут быть установлены просто через открытие такого файла в браузере. Но для целей разработки также возможно установить т. н. «unpacked» расширение, это означает что можно скопировать файлы расширения в нужный каталог и модифицировать настройки Chrome для его загрузки. Именно этот метод и используется в Win32/Boaxxe.BE. Процесс начинается с расшифровки с использованием RC4 различных данных, которые содержатся в теле исполняемого файла.

Одним из таких блоков данных является манифест расширения, который представляет из себя объект JSON.

Имя расширения в манифесте будет выбрано на основе списка установленных в ОС приложений с использованием символов из значения, которое зависит от аппаратного обеспечения компьютера (hardware-specific). Таким образом на каждом зараженном компьютере файл расширения будет с новым именем. Этот манифест регистрирует два файла JavaScript. Первый «background» будет работать в контексте процесса расширения на протяжении всего времени его работы. Второй скрипт будет внедрен в каждую веб-страницу, URL которой соответствует параметру «matches» (в примере выше, он будет работать для всех веб-страниц). Параметр «permissions» задает необходимый уровень доступа к указанным веб-страницам (для всех) и Chrome API для управления браузером.

Сам код расширения находится в трех различных файлах. Первым является background скрипт, который состоит из около 100 строк обфусцированного кода и содержит основную логику работы расширения.

Вторым скриптом является content-script со следующим содержанием.

Он просто отправляет сообщение с текущим URL и referrer получающей стороне и исполняет ответ.

Еще одним файлом является объект JSON, называемый JSON_PAYLOAD, который состоит из четырех полей.

Перед сохранением файлов скриптов на диск, все параметры в форме переменных «@@STRING@@» в background-скрипте будут изменены на необходимые значения.

• Параметр «TOKEN» меняется на закодированную с помощью base64 и RC4 (с ключом «tokencryptkey») строку. Строка может принимать вид «u:14AB8569 w:1234 p:1 c:5b b:32 v:0».
  
  
• Параметр «LOGIC» меняется на закодированное через base64 и RC4 содержимое JSON_PAYLOAD с использованием предыдущего значения «TOKEN» в качестве ключа.

В конце, все три файла сохраняются в директории расширений Chrome.

Установка расширения в Chrome осуществляется через модификацию extensions.settings JSON объекта, который содержится в файле с установками, в каталоге установки Chrome. Этот файл содержит информацию обо всех установленных расширениях браузера. Win32/Boaxxe.BE для регистрации своего расширения вставляет туда следующие строки:

После всех этих операций необходимый для злоумышленников JavaScript код будет загружен в Chrome. Следует отметить, что Google объявила запрет на установку подобного рода расширений для браузера начиная с января 2014 г., если сам браузер не используется в режиме разработчика.

Ниже представлены файлы, ответственные за расширение для Firefox.

• install.rdf, представляет из себя манифест расширения
  
  Поля «id», «name», «version» и «creator» будут заполнены значениями, которые зависят от оборудования (hardware-dependent). Для нашего примера эти поля будут принимать значения «id» как «{1234}» и «имя» как «Microsoft Office».
• Файл chrome.manifest расшифровывается и представляет из себя следующие данные.
  
  Этот файл объявляет код расширения JavaScript в первой строке («component»), а затем гарантирует, что расширение будет загружено и получит уведомление при запуске браузера. При записи содержимого файла скрипта на диск переменные типа @@STRING@@ подставляются соответствующими значениями. В конечном итоге на диск, в директорию с браузером, сохраняются три файла install.rdf, chrome.manifest и файла JavaScript.
  

Для установки расширения в Firefox, вредоносный код предпринимает следующие операции в директории «Profile» браузера: регистрирует путь к расширению в файле «extensions.ini» и проверяет присутствие расширения с таким же идентификатором в базе SQLite «extensions.sqlite».

В случае присутствия такого идентификатора, вредоносный код обновляет таблицу таким образом, чтобы она указывала на новое расширение. Если такой идентификатор отсутствует, то расширение вставляется в таблицу.

Полезная нагрузка

На последнем этапе установки, Win32/Boaxxe.BE выполняет извлечение своей полезной нагрузки, которая хранится на удаленном сервере. Для ее загрузки используется отправляемое на сервер сообщение, которое представлено ниже.

Верхняя часть сообщения, выделенная красным, состоит из четырех полей:

• поле контрольной суммы;
• размер полезной нагрузки;
• тип сообщения;
• ID партнера.

Часть сообщения, выделенная синим, содержит следующую вспомогательную информацию.

Сообщение зашифровано через RC4 с использованием 244-байтного псевдо-произвольного ключа. Этот ключ дополнительно подвергается шифрованию с помощью публичного ключа RSA, который содержится в файле вредоносного кода. Далее этот зашифрованный ключ и само зашифрованное сообщение подвергаются дополнительному шифрованию с использованием base64.

Удаленный сервер отвечает html-страницей, которая содержит в своем теле данные, зашифрованные с использованием base64. После расшифровки мы получаем два исполняемых файла. Первый DLL1 представляет из себя библиотеку «трамплина», которая будет зарегистрирована через автозапуск для старта в контексте процесса regsvr32.exe. Ее основная цель заключается в расшифровке другой DLL и в поддержании своего присутствия в контекстах всех процессов системы. Второй файл DLL2 является фактической полезной нагрузкой Win32/Boaxxe.BE и будет храниться на жестком диске в зашифрованном виде (RC4). Ключ для шифрования через RC4 формируется через значения серийного номера диска и других аппаратно-зависимых данных. Иными словами, не обладая информацией об аппаратном обеспечении компьютера будет трудно расшифровать библиотеку (такой тип криптографического ключа также известен как ключ окружения, «environmental key»).

После операции запроса полезной нагрузки с сервера, столбец с количеством установок на статистике панели управления партнера сети partnerka.me увеличится на единицу. Но это произойдет только в том случае, если такой запрос поступает впервые с данного компьютера.

Следует отметить, что вредоносный код обнаруживает запущенные на компьютере AV-продукты через имена их процессов и затем отправляет эту информацию на сервер при получении файлов полезной нагрузки (параметр v). Это позволяет удаленному серверу применить вспомогательные механизмы, которые позволят снизить вероятность обнаружения полезной нагрузки. Например, в случае работы на компьютере антивирусного продукта ESET, полученная полезная нагрузка защищена через коммерческий протектор Themida.

Библиотека DLL1 всегда будет работать в системе в контексте процесса regsvr32.exe, она также регистрирует обработчик на сообщение WH_CALLWNDPROC. Таким образом эта библиотека, в дальнейшем, будет загружаться во все GUI-процессы, которые получают такое сообщение. Каждый раз загружаясь в адресное пространство нового процесса, DLL1 будет расшифровывать DLL2 и вызывать ее главную функцию. Эта DLL2 ответственна за выполнение различных функций, среди которых собственный кэш DNS, пользовательский модуль кликфрода и автоматический кликфрод.

Когда DLL2 загружается в адресное пространство процесса браузера (IE, Firefox, Chrome) он создает и поддерживает собственный DNS кэш, который хранит соответствия между названиями доменов и IP адресами. Основное назначение такого кэша заключается в том, чтобы избежать обнаружения активности вредоносного кода со стороны систем анализа трафика в сети. Сам кэш опирается на две структуры данных. Первая представляет из себя сам кэш DNS_CACHE, который состоит из записей фиксированной длины 0x60 байт. Пример такой структуры показан ниже.

Каждая запись содержит информацию, относящуюся к одному доменному имени, который может быть как легитимным (т. е. не относится к Boaxxe), так и вредоносным. Запись состоит из:

• Имени домена, которому предшествует его длина в первом байте.
• Поле назначения домена «domain purpose» (отмечено красным) используется для отделения легитимных доменов от вредоносных.
• Поле IP-адреса (отмечен синим). Как мы объясним ниже, этот адрес фактически не совсем тот, который ассоциирован с доменом напрямую.
• Поле «уже отрезолвен» (отмечен зеленым).
• Временная метка (timestamp) последнего успешного резолва домена (отмечен черным) в формате Windows OLE x64.

Следующая структура является более сжатой версией предыдущей.

Этот ассоциативный контейнер (map) имеет емкость в 256 элементов, каждый из которых размером в 24 байта. В качестве ключа выступает значение контрольной суммы (отмечен синим) имени домена, хранящегося в кэше, далее следует IP-адрес, ассоциированный с ним, и наконец два поля временной метки, которые описывают интервал времени, когда домен был активным. Вся структура хранится в определенном ключе реестра и регулярно обновляется из кэша DNS в памяти. Таким образом вредоносный код может накапливать информацию о сопоставлении доменов, сохранять ее на необходимое ему время и использовать по мере необходимости.

Когда DLL2 запускается в первый раз на компьютере, в контексте процесса regsvr32.exe, кэш DNS пуст. При этом набор из около пятисот легитимных доменов, в зашифрованном виде, хранится в библиотеке DLL2. Затем программа выбирает некоторое подмножество имеющихся доменов на основе аппаратно-зависимого значения для заполнения кэша. Таким образом на разных зараженных компьютерах будет производится разная выборка определенного количества легитимных доменов. В процессе загрузки DLL2 в адресное пространство процесса браузера, в первый раз, он добавляет в кэш несколько (обычно четыре) вредоносных доменов, в соответствие со значением идентификатора партнера (affiliate ID).

Вредоносная программа преследует определенные цели выбирая легитимные домены произвольно для конкретного компьютера. Это делается для того, чтобы вредоносный код невозможно было идентифицировать по одинаковым сериям DNS запросов в случае отслеживания трафика со стороны систем анализа. Таким образом, сложно построить надежное обнаружение Win32/Boaxxe.BE на основе шаблона DNS запросов.

Вредоносный код будет регулярно проверять каждую запись в своем кэше и обновлять ее в том случае, если с момента последнего обновления прошло 24 часа. Как и следовало ожидать, для обновления записи он использует DNS запрос, но полученный IP адрес не будет совпадать с тем, который используется вредоносным кодом в действительности. На самом деле последние три байта полученного IP-адреса будут зашифрованы с использованием RC4 и ключом «ANKS» для получения настоящего IP-адреса, связанного с доменом.

Рассмотрим пример: если вы выполните DNS запрос для домена thegreerfive.biz (вредоносный домен, используемый Win32/Boaxxe.BE), то получите IP адрес 31.240.6.70 в качестве ответа (1F F0 06 46 в шестнадцатеричном виде). Но настоящий адрес сервера, который ассоциирован с этим доменом равен 31.193.0.178 (1F C1 00 B2), поскольку применяя RC4 с ключом «ANKS» к байтам F0 06 46 дает нам C1 00 B2.

Как вы уже поняли, операторы, ответственные за управление инфраструктурой Win32/Boaxxe.BE, контролируют только настоящие IP адреса, т. е. адреса, полученные с применением алгоритма шифрования, который применяется к адресу из реальной записи DNS. Таким образом, простой анализ доменов, с которыми контактирует вредоносная программа совершенно бесполезен без ключа, с помощью которого можно получить настоящие адреса.

Реализация кликфрода

Инициированный пользователем кликфрод представляет из себя процесс перенаправления пользователей на нужные злоумышленникам веб-ресурсы, когда он выполняет поисковый запрос. Это позволяет Win32/Boaxxe.BE привлечь трафик для рекламных сайтов. Такое привлечение выполняется осмысленно для конкретного поискового запроса. Логика работы этой мошеннической схемы представлена ниже на рисунке. Синий текст указывает на действия пользователя, а красный на действия вредоносной программы.

На первом этапе пользователь выполняет поисковый запрос с использованием ключевого слова K и получает в качестве ответа список соответствующих этому слову сайтов. В то же время, Win32/Boaxxe.BE отправляет слово K в свою собственную поисковую систему, которая также возвращает список соответствующих сайтов. В случае отсутствия сайтов, относящихся к данному ключевому слову, перенаправление не выполняется. На втором этапе пользователь выполняет клик (переход) на выбранном сайте и получает содержимое соответствующей веб-страницы. Если у пользователя установлен Win32/Boaxxe.BE, то он осуществляет принудительный клик на соответствующей ссылке из возвращенного списка. На практике у пользователя нет времени, чтобы увидеть веб-страницу, на которую он перешел, вместо этого он попадает на веб-страницу, инициированную вредоносным кодом.

Как мы указывали выше, операции кликфрода, инициированные пользователем для Chrome и Firefox, реализованы в расширениях браузеров, а для Internet Explorer вредоносный код использует перехваты в памяти процесса.

Операции, используемые в расширениях, похожи для обоих браузеров, поэтому мы опишем этот процесс только для Google Chrome. Как мы упоминали выше, расширение для Chrome состоит из двух файлов JavaScript: фонового скрипта (background script), экземпляр которого будет всегда активен, и скрипт содержимого (content script), экземпляр которого будет работать для каждой веб-страницы.

При запуске фоновый скрипт будет расшифровывать JSON_PAYLOAD и вычислять его поле «с» (см. выше), в котором содержится логика работы расширения. Этот код объявляет массив, содержащий поисковые системы, поддерживаемые вредоносным кодом. Все они получают от пользователя ключевые слова в качестве параметров через запрос GET, который анализируется вредоносным кодом. Список поисковых систем, который использовался вредоносным кодом в декабре, приведен ниже.

Возьмем в качестве примера URL поискового запроса «www.google.com/search?q=cat», очевидно, что он будет соответствовать первой строке таблицы и ключевое слово «cat» будет извлечено вредоносным кодом из URL, а затем отправлено поисковому движку Win32/Boaxxe.BE, которым является searchpagex.com (searchpagex.org в случае с Firefox) в течение последних месяцев.

Кроме этого, вредоносный код поддерживает так называемый белый список сайтов: Wikipedia, Facebook, Twitter. В случае присутствия этих сайтов в GET запросе, пользователь не будет перенаправлен на домен Boaxxe. Такая возможность позволяет ему быть более скрытным, поскольку в случае перенаправлений с этими сайтами, пользователь сразу может заподозрить вредоносную активность в браузере.

Boaxxe регистрирует обработчики событий с использованием Chrome API для обработки каждого URL, посещаемого пользователем. С использованием этих обработчиков, которые содержатся в content script, вредоносная программа реализует логику перенаправлений. Ответом поискового движка Win32/Boaxxe.BE является JSON объект, который содержит адреса URL в виде «searchpagex.com/c?t=BASE64ID». При посещении одного из этих URL происходит цепочка перенаправлений с привлечением рекламной сети, которая заканчивается веб-сайтом, непосредственно относящимся к ключевому слову. Одновременно с этим процессом перенаправлений, расширение будет каждый час проверять URL, указанный в параметре «с» поля объекта JSON_PAYLOAD для запроса его новой версии.

Для реализации пользовательского кликфрода в Internet Explorer, Win32/Boaxxe.BE выполняет перехват следующих API функций: HttpAddRequestHeadersA, CreateWindowExW и DrawTextExW. Обработчики этих функций находятся в теле вредоносной программы и в дальнейшем предоставляют URL адреса, которые пользователь должен посетить, что выполняется в отдельном потоке Boaxxe.

Этот поток реализует аналогичную логику той, которую мы описывали в случае с расширением для Chrome. Он выполняет сопоставление поступающих URL адресов со списком поисковых систем и получает из запроса ключевые слова. Отличие состоит в том, что он посылает извлеченные ключевые слова не на собственный поисковый движок, а на вредоносный IP-адрес, который хранится в кэше DNS. Ответ от сервера зашифрован с использованием RC4 и имеет следующий вид.

Параметр «u» используется для идентификации URL, на который пользователь должен быть перенаправлен, а параметр «r» содержии информацию об источнике перенаправления (referrer). Этот URL источника перенаправления указывается поисковым движком Win32/Boaxxe.BE. Использование этого поля referrer позволяет операторам вредоносного кода получать выгоду от рекламной сети. Таким образом осуществляется имитация перехода пользователя с использованием поискового движка дорвея.

Автоматический кликфрод представляет из себя скрытное посещение веб-ресурсов вредоносным кодом без участия пользователя. Для выполнения этого действия код Win32/Boaxxe.BE, работающий в контексте regsvr32.exe, запускает на исполнение браузер Internet Explorer. Этот новый процесс невидим для пользователя из-за активного параметра «-Embedding», с которым запущен браузер.

Boaxxe изменяет различные параметры Internet Explorer, например, чтобы отключить навигационные звуки или снять ограничения на загрузку файлов. Он также создает поток, который постоянно отслеживает время своего исполнения и память, используемую процессом; если количество потребляемой памяти или время исполнения велики, то процесс принудительно завершается. Вредоносный код также перехватывает функцию MessageBeep, которая может использоваться для воспроизведения звуковых эффектов.

Кроме этого, Win32/Boaxxe.BE добавляет к собственному DNS кэшу новые записи, ассоциированные с идентификатором партнера. Затем он посылает одному из них запрос, используя при этом шифрование RC4/base64 и получает в качестве ответа информацию, необходимую для выполнения автоматического кликфрода. Пример ответа приведен ниже:

Описание важных параметров ответа дано ниже.

Исходя из сообщения, приведенного выше, процесс браузера посетит URL адрес, указанный параметром «u» с источником ссылки (referrer), который представлен параметром «r». Исходный URL для посещения начинает цепочку перенаправлений из четырех или пяти промежуточных ссылок (с помощью HTTP статуса 302). Каждая из посещаемых в цепочке страниц анализируется для извлечения из нее ссылок, на которые, в дальнейшем, будет осуществлено перенаправление. Глубина рекурсии или количество перенаправлений задается параметром «n».

В процессе выполнения этих операций поток периодически засыпает на определенное количество времени, указываемое параметром «t». Вероятно, это сделано для имитации человеческого поведения при посещении различных сайтов. После посещения рекламных страниц вредоносный код выполняет HTTP GET запрос к одному из легитимных известных сайтов (Google, Facebook, Twitter и т. д.). Это позволяет вредоносному коду более эффективно маскировать кликфроды в потоке сетевого трафика.

Заключение

Мы постарались в деталях описать работу вредоносного кода Win32/Boaxxe.BE, основным назначением которого является генерация кликов (кликфрод) с последующим извлечением злоумышленниками материальной выгоды от рекламодателя. Вредоносная программа содержит несколько механизмов для сокрытия своего трафика, включая его шифрование, использование запросов к легитимным веб-сайтам и использование своего кэша DNS.

SHA-1 семплов

Кликфрод — Википедия

Материал из Википедии — свободной энциклопедии

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 11 июня 2015; проверки требуют 10 правок. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 11 июня 2015; проверки требуют 10 правок.

Кликфрод — один из видов сетевого мошенничества, представляющий собой обманные клики на рекламную ссылку лицом, не заинтересованным в рекламном объявлении. Может осуществляться с помощью автоматизированных скриптов или программ, имитирующих клик пользователя по рекламным объявлениям pay per click. Скликивать ^[1]объявления могут недобросовестные веб-мастера со своих же сайтов либо конкуренты рекламодателей.

По данным BusinessWeek, значительно участились случаи кликфродов рекламных объявлений. Аналитики утверждают, что 10—15 процентов кликов на рекламу — ложные. При этом специалисты считают, что наиболее проблемной в этом плане является контекстная реклама^[2]. Крупнейшие онлайн-рекламодатели Запада решили объединиться для борьбы с данной тенденцией. Потери составляют почти 1 млрд долларов в год^[3].

• Технические клики — переходы по ссылкам, совершённые роботами индексации сайтов
• Клики рекламодателей — переходы по ссылкам, совершаемые рекламодателями по собственным объявлениям с целью поднятия CTR.
• Клики конкурентов — переходы по ссылкам, совершаемые сотрудниками конкурирующих структур.
• Клики со стороны недобросовестных веб-мастеров — переходы по ссылкам, совершаемые вебмастерами или созданными ими системами с целью увеличения доходности рекламной площадки^[4]

• Большое число переходов с одного IP-адреса.
• Большое количество посетителей, которые быстро покидают сайт.
• Высокое количество переходов на сайтах определённого партнёра.
• Снижение уровня конверсии при увеличении количества переходов.
• Увеличение количества переходов на все ключевые слова.^[5]

50% клик-фрод на Яндекс.Маркете или как обнаружить клик-фрод, используя стандартные инструменты

Серьезно задумываться о проблеме клик-фрода начинаешь только тогда, когда расхождение данных собственной статистики более чем на 30% расходится с данными рекламной системы.

В нашем случае, последней каплей стало расхождение внутренних счетчиков со статистикой Яндекс.Маркета более чем на 50%. Неужели действительно более 50% ботов, за которых списывается с нашего баланса?

Мы решили это проверить, анализируя данные логов нашего сервера, Яндекс.Метрику и Google Analytics.

Начнем по порядку. Итак,

Кликфрод (клик-фрод) — один из видов сетевого мошенничества, представляющий собой обманные клики на рекламную ссылку лицом, не заинтересованным в рекламном объявлении. Может осуществляться с помощью автоматизированных скриптов или программ, имитирующих клик пользователя по рекламным объявлениям Pay per click. (Tnx 2 Wiki)

Как обнаружить клик-фрод?

Многие из нас запускают рекламные кампании, годами с ними работают и даже не думают, о клик-фроде. Но в определенный момент начинают происходить странные вещи:

• увеличивается трафик, но не меняется конверсия
• статистика рекламной системы начинает резко отличаться от показаний собственных счетчиков
• обнаруживаются какие-то странные закономерности в статистике кликов рекламных систем

В нашем случае именно так и произошло!

Мы знали, что проблем с доступностью нашего сервера быть не должно, все работало как часы. Используемая нами связка Аналитикс — Метрика показывала примерно одинаковые данные на каждом счетчике.

Нас насторожил тот факт, что разница нашей статистики и статистики каждой из рекламных систем была не более 10-15%, а по Маркету периодически выпрыгивала за 30% (о чем напоминала Метрика) и в один прекрасный момент достигла 50%.

За отчетный период Яндекс.Метрика и Google Analytics показали примерно одинаковое число входов с Маркета, но это число намного (более 40%) отличалось от статистики Маркета.

Несколько слов о том, как мы отслеживали рекламу:
все рекламные ссылки были помечены utm-метками, причем, мы могли отследить как клики суммарно по категории, так и клики по конкретным товарам;
мы смотрели отчет по источникам трафика в GA и отчеты «Источники -> рекламные системы» и «Источники -> Метки» в Метрике.

Кстати, расхождение данных мы заметили и в самом Маркете в отчете «Заказы» (+1 в пользу установленной Метрики):

Очевидно, что содержимое этой таблички с описанными в ней причинами расхождения меня не удовлетворили, и я тут же начал разбираться. Подобная проблема происходила не в первый раз, и мы как только ее заметили, тут же проверили и настройки и доступность сайта.

Для того, чтобы понять, а были ли эти клики на самом деле, мы решили проанализировать логи сервера.

Анализ логов показал, что действительно количество запросов сервера с нужным реферрером было практически равно кликам по статистике Маркета (менее 1% разницы).
То есть клики есть, а пользователей нет!

Мы начали анализировать более глубоко, и нам сразу же бросился в глаза один странный факт. Было очень много одинаковых запросов, имеющих одинаковые данные о системах, одинаковые браузеры и разрешения экранов. При этом прослеживалась определенная логика кликов, нажимались одни и те же страницы товаров. Более того браузер пользователей вызывал подозрение.

Удивил также тот факт, что все IP принадлежали региональным операторам сотовой связи:

Следующим этапом мы посмотрели, видят ли наши счетчики переходы с этих IP.
И попали в цель — счетчики фиксировали крайне мало переходов с IP мобильных операторов. Более того, исключив с помощью ВебВизора в Метрике живых пользователей мы как раз получили недостающую цифру «потерянных» кликов с Маркета.

ВебВизор все же записал некоторые посещения «ботов»:

Очевидно, что такие посетители не заинтересованы в покупках у нас на сайте 😉

Так что это за клики?

Подведем итоги. Мы имеем:

• клики с IP мобильных операторов, подходящие по региону (кстати, мобильный Интернет хорош тем, что постоянно отдает разные IP)
• все они сделаны на устройствах, которые отдают серверу одинаковые параметры (браузера, разрешения, системы)
• это клики, которые не фиксируются счетчиками и не выполняют скрипты
• прослеживаются похожие сценарии действия (страницы, задержки в запросах, количество запросов)

ВЫВОДЫ:

1. Налицо типичный вариант клик-фрода!
2. По сути, подобную систему очень легко организовать, имея несколько мобильных устройств.

Возникает вопрос к Яндекс.Маркету?

Неужели нельзя отсечь столь простой способ накрутки? Или же это никому не интересно?

Outro

На сегодняшний день клик-фрод съедает огромную часть бюджетов рекламодателей. Но доказать это, или тем более вернуть свои деньги бывает крайне сложно. На данный момент, в нашей ситуации «Яндекс.Маркет» обещал разобраться, но мы решили его опередить и разобрались сами. Посмотрим, получится ли что-то вернуть.

Я надеюсь, наш опыт поможет и вам 😉

¡No pasarán! — фильтрация склика  — Новости рекламных технологий Яндекса

В этой статье мы отвечаем на вопросы, как устроена система многоступенчатой защиты от фрода в Директе и как она развивается, обучаясь на новых примерах склика. А в следующих постах расскажем о других технологиях, которые позволяют добиться высокого качества рекламного контакта. Например, об автоматической проверке видимости баннеров.

Что такое фрод

Фродом называют самые разные формы мошенничества с использованием информационных технологий, поэтому для начала разберёмся с терминами. Система антифрода Директа фильтрует три основных типа некачественного трафика:

1.    Склик (кликфрод) — накрутка кликов с целью потратить бюджет рекламодателя. Возможность такого мошенничества вызывает больше всего вопросов и опасений.

По разным оценкам, в рунете на склик приходится от 10 до 30% трафика. Наши показатели обычно держатся в районе 20%. Эту цифру стоит читать так: «каждый пятый клик притворяется настоящим». А вот тезис «20% рекламного трафика оказались подделкой» не вполне честный — в реальности мошеннический трафик отсеивается, не влияя на статистику и бюджеты рекламодателей. 

2.    Скрутка — накручивание показов. Например, чтобы испортить CTR конкурентов. Как и поддельные клики, фальшивые показы не засчитываются системой. 

3.    Повторные и случайные клики. При просмотре объявления пользователь нередко делает сразу несколько кликов: по заголовку, визитке, быстрым ссылкам. Наверняка вы знаете, что в таком случае рекламодателю нужно заплатить только за один переход по рекламе. Отследить остальные, «повторные» — серьёзная задача для системы антифрода. Ещё клики бывают случайными: когда человек нечаянно нажал не на ту ссылку и сразу закрыл страницу. Повторных и случайных кликов фильтруется больше всего, хотя они и не являются мошенничеством.

В первых двух случаях речь идёт о злоумышленниках. Они бывают разными: одни скликивают чужую рекламу вручную, а другие используют роботов — программы, которые автоматически переходят по ссылкам и притворяются людьми. Директ успешно борется и с теми, и с другими.

Как устроен антифрод

Технология антифрода в Директе — это система фильтрации некачественного трафика, где на разных уровнях отсеиваются разные типы фрода. От простого к сложному:

Шаг 1. Защита от роботов в режиме реального времени. На верхнем уровне воронки автоматически отсеиваются все очевидные боты, которых в сети очень много. Если вы переживали, что платите за роботный трафик, расслабьтесь — боты первыми оказываются за бортом.

Реальный график работы системы антифрода. Красная линия — отфильтрованный трафик, синяя — качественный трафик, отражаемый в статистике. Синяя линия почти не реагирует на колебания красной, так как система моментально отсекает практически весь фродовый трафик.

Шаг 2. Онлайн-фильтрация, работающая на базе технологии машинного обучения Матрикснет. Эта система анализирует каждый клик, сверяясь со списком из 250 разных характеристик. При анализе учитываются сиюминутные признаки (время суток, сезон, география клика и так далее), а также некоторые события до клика и типичные паттерны поведения, которые свойственны людям и «человекообразным» роботам.

Мы не раскрываем факторы, которые применяются для оценки качества трафика, чтобы не облегчать задачу мошенникам. Борьба с ними идёт постоянно: злоумышленники совершенствуют свои навыки и учатся обходить фильтры, а специалисты Яндекса обучают систему на новых случаях фрода и совершенствуют защиту рекламодателей. 

Бывает, что на этапе онлайн-фильтрации вместе с некачественным трафиком отсеивается немного кликов пользователей, которые не имели в виду ничего плохого. Иногда люди очень похожи на ботов — например, когда студенты ищут информацию по какой-нибудь редкой теме: они систематически прокликивают все ссылки в выдаче и вводят парадоксальные цепочки запросов. Таких честных пользователей обычно единицы.   

Фильтры меняются вместе с поведением пользователей — специальная служба асессоров Яндекса анализирует долгосрочные тренды в трафике, и если поведение пользователей меняется, правила работы антифрода также могут измениться. Например, раньше, чтобы узнать значение иностранного слова, люди вводили запросы [слово перевод]. А сейчас многие привыкли набирать только само слово: его перевод на русский сразу появляется в колдунщике Яндекс.Словарей,* и куда-то кликать уже не нужно. Запросы без единого перехода похожи на поведение роботов, «скручивающих» показы — но система антифрода видит разницу между ботами и обычными пользователями. 

Шаг 3. Офлайновый анализ поведения пользователей. Благодаря первым двум шагам фильтрации, львиная доля некачественного трафика отсеивается до того, как успевает повлиять на статистику и деньги рекламодателей. Но на этом работа антифрода не заканчивается: весь трафик проходит через дополнительные офлайновые фильтры. 

Если в момент клика Директ анализирует разные типы данных по отдельности (домен, запрос, регион и т.д.), то на следующих этапах можно объединить все эти факторы и увидеть картину целиком, построив граф поведения пользователей. Аномальные уплотнения на графе сигнализируют, что пользовательское поведение отличается от нормы и помогают обнаружить сложные случаи фрода. Система антифрода использует распределенные алгоритмы кластеризации данных и каждый день изучает порядка 4 000 000 000 событий.

Несколько лет назад этот этап фильтрации вырос буквально из одной сложной задачи — борьбы со скликом в тематике уничтожения клопов. Так что за офлайн-фильтры стоит сказать спасибо “клоповой мафии”. 

По итогам офлайнового анализа событий система антифрода регулярно вычищает остатки некачественного трафика. Расходы на этот трафик автоматически возвращаются на баланс рекламной кампании, а отфильтрованные показы и клики удаляются из всех основных отчётов статистики. 

Количество недействительных кликов можно увидеть в отчётах Статистика по дням и Общая статистика отдельной строкой за весь выбранный период, а время на возврат обычно не превышает двух суток.

Может ли кто-то обойти все фильтры?

Гипотетически возможно всё. Мошенники постоянно пытаются изобрести новые способы склика — такая у них работа. А мы регулярно усиливаем меры безопасности на своих рекламных сервисах. 

Расследование проводится по каждой жалобе на подозрительный трафик. И если клики действительно недобросовестные, мы возвращаем деньги за них и в кратчайшие сроки устраняем уязвимость — для защиты рекламодателя создаются дополнительные фильтры и на их основе совершенствуется вся система антифрода. 

Кроме того, в Яндексе есть специальные службы мониторинга, которые помогают превентивно отслеживать фрод. Если общий объем трафика и процент отфильтрованных кликов начинают заметно отклоняться от нормы, наши аналитики сразу получают сигнал. Так они могут начать искать источник и цель атаки мошенников, не дожидаясь заявки от рекламодателя.

Абсолютное большинство попыток скликать рекламу обезвреживаются автоматически. Подтверждённые случаи фрода, которые за прошлый и позапрошлый год обнаружились только при ручной проверке, можно посчитать по пальцам одной руки. 

Чаще по заявкам мы перепроверяем и корректируем статистику показов в Рекламной сети Яндекса (РСЯ). На тематических площадках, как и на поиске, применяется очень много различных фильтров. Но к всплескам показов они относятся мягче, поскольку в РСЯ объявление может по вполне адекватным причинам поймать волну интереса к своей тематике, а число показов здесь все равно не влияет на цену клика. 

Для площадок в РСЯ работает отдельная служба модерации, которая не принимает в сеть сайты с сомнительным качеством трафика.

Что делать, если вы заметили всплеск показов или переходов по рекламе? 
Для начала убедитесь, что у этого всплеска нет никаких разумных объяснений. Некоторые рекламодатели подозревают склик при любых скачках статистики. При расследовании таких историй специалисты чаще всего находят будничные причины отклонений от привычных показателей.

Например:

1. Изменились настройки размещения, и вашей ставки стало хватать для показа на более заметных позициях. Ещё вы могли расширить аудиторию за счет новых фраз или регионов показа. Частая причина «горбов» в статистике — работа стратегии «Недельный бюджет»: как только система видит возможность получить больше переходов по оптимальной цене, она сразу же старается её использовать. 

2.  Не забывайте, что вы делите трафик с конкурентами. Технические работы или поломки на популярных ресурсах часто влекут за собой вопросы про склик от рекламодателей в той же тематике. На всякий случай проверьте, всё ли хорошо у соседей по выдаче. Особенно если среди ваших ключевых слов есть названия конкурирующих брендов.

3. Сезон подкрался незаметно. Это бывает. Серьёзно. Прежде чем пугаться всплеска переходов по фразе “майонез оптом”, проверьте, не случился ли он накануне Нового года. 

4.    Громкая реклама в офлайне. Не обязательно ваша, но подогревшая интерес к вашему товару. В канун праздников некоторые крупные магазины особенно активно рекламируют скидки. 

5.    Самые разные обстоятельства за пределами вашего бизнеса. Волны интереса к той или иной тематике довольно часто идут от от новостей и телепередач. Например, вот этот выпуск программы Елены Малышевой резко повысил число показов и кликов по запросу “люминиры”. А до эфира этот запрос считался редким. 

Иногда по вашим ключевым фразам ищут что-то ну совсем не связанное с вашим бизнесом. Возьмем хоть историю с поездами. Пару лет назад в Директ с жалобой на склик обратились производители железнодорожных вагонов. Оказалось, внезапный приток трафика на их сайт связан с растущей популярностью Subway Surfers — игры для мобильных, где персонажи бегают в подземке, уворачиваясь от поездов. В итоге автофокус решил проблему рекламодателя, дополнив список минус-слов запросами об играх. 

Предугадать такие форс-мажоры невозможно. А вот знать ситуацию на вашем рынке и следить за тем, что вообще происходит в мире — полезная привычка, которая помогает вовремя скорректировать настройки показов. Раздел “Фразы по дням” в статистике кампании поможет вам с поиском причин роста трафика. Посмотрите, по каким запросам получили много переходов, и поищите всплески интереса к тем же фразам на сервисе подбора слов.  В отдельной статье — “О важности обстоятельств для специалиста по контекстной рекламе” — можно изучить больше примеров того, как внешние факторы провоцируют рост рекламных показов и кликов. 

6.    Что касается роста иностранного трафика (популярный вопрос прошлого года), чаще всего он объясняется тем, что пользователи активно стремятся обойти региональную блокировку контента и используют сервисы, которые подменяют “прописку” DNS-сервера. 

В любой непонятной ситуации вы можете обратиться за помощью или советом. Если вы перепроверили статистику и не нашли объяснений внезапному росту интереса, напишите заявку, чтобы рекламную кампанию дополнительно проверили на фрод. Мы серьезно относимся к качеству трафика и поможем вам разобраться, что произошло. Обязательно укажите в заявке номер кампании в Директе и период, когда у вас выросло число показов или кликов. 

Эти данные не стоит заменять снимками отчётов Метрики — расследование ускоряют именно сведения о том, какую кампанию перепроверить и за какие даты. С номером кампании на руках специалисты могут сами посмотреть статистику по ней и проверить возможные причины всплеска. 

Если у вас остались вопросы по следам этой статьи или есть пример реального всплеска статистики, в причинах которого не удалось разобраться, пожалуйста, пришлите нам подробности в клуб Директа. Мы перепроверим кампанию вместе со специалистами из службы антифрода. 

*Яндекс.Словари прекратили работу в марте 2016 года — вместо них доступен Яндекс.Переводчик.

Кликфрод

Кликфрод – одно из самых негативных явлений для рекламодателей в интернете. Его действие заключается в незаинтересованности того, кто нажимает на рекламу того или иного продукта, при этом не проявляя заинтересованности к самому продукту. Часто для кликфрода используются, программы и скрипты. Но они распространяются только на конкретный вид рекламы, который называют pay per click. Это значит, что рекламодатели платят ресурсу, где размещена реклама за каждый клик на объявление.

Размер проблемы

Проблема достигла глобальных размеров, ущерб от кликфрода каждый год достигает около миллиарда долларов. По подсчётам Business week около 10-15% кликов на рекламу являются ложными. В США онлайн рекламодатели объединились в борьбе с данным явлением. Явление очень опасное не только для рекламодателей, но и для тех, кто ее размещает, поскольку с возрастанием кликфрода владельцы рекламных площадок в интернете теряют доверие, что может привести к сильному сокращению их прибыли.

Выгода

Конкуренты

Для кого же выгодно использовать кликфрод? Первыми заинтересованными являются конкурентные рекламодатели, которые с помощью кликфрода истощают бюджет конкурентов. Но его очень просто определить. Когда начальство отдаёт команду подчинённым скликивать рекламу конкурента, то сразу же появляется аномальное количество кликов на рекламу, часто все клики исходят из одного IP адреса. Но если конкурент целенаправленно занимается этим, то он может установить программы, которые постоянно меняют IP адрес и после такого рекламодатель может сильно пострадать в финансовом плане.

Веб-мастера

Также кликфрод выгодный, для владельцев ресурсов, где размещается реклама, таким образом, они получают больше прибыли от рекламы. Они могут использовать, как и программы, боты которые скликивают рекламу так и персонал, который вручную будет кликать на рекламу.

Метод выявления

Что бы выявить кликфрод, нужно знать какие у него признаки.

• Это большое посещение рекламы с одного IP адреса.
• Большое количество посетителей, которые сразу же после открытия покидают сайт, это значит, что никакой заинтересованности не было. Также много посещений из сотрудничающих сайтов, или сайтов у которых один владелец, тогда можно заблокировать этого партнёра, хотя возможно, что он не принимал участия в скликивании.
• Увеличение кликов с поисковых систем по некоторым ключевым словам. Эти запросы не могут настолько часто использоваться, сколько вы получаете кликов на свою рекламу. Тут выход состоит в том, что размещение рекламы по запросам, которые не так часто используются, это значительно снижает риск попасть под скликивание.
• Снижение уровня конверсии по соотношению с количеством посещения сайта, очевидно, что в таком случае посещение сайта осуществляются для того что бы просто увеличить посещаемость с некоторых ресурсов, на которых размещена ваша реклама.
• Но главной проблемой в выявлении кликфрода, остаётся то, что на данный момент практически невозможно определить, какой процент скликивания происходит с участием возможных клиентов, а какой ботами.

Планы

Сейчас планируется создание системы, которая сможет постоянно вычислять с каких IP адресов и как часто происходят посещения. Более эффективно будет проводиться борьба, если объединить систему веб-аналитики с теми системами по борьбе с кликфордом, которые существуют на данный момент.

Кликфрод | ФИЗЗЛ — как я заработал $$$ 😛

Выявление фальшивых кликов можно произвести по признакам, которые отличают клик-бота или незаинетереосванного в покупке пользователя от пользователя, который заинтересован в том, что написано в обьявлении и возможно рассчитывает что-то купить или совершить некоторое выгодное рекламодателю действие (например, заполнить анкету, скачать триальную версию софта, зарегистрироваться где-то и т.д.).

Часто PPC приходится сталкиваться с тем, что паблишер просто сам начинает кликать по обьявлениям на свём сайте при этом не задумываясь о том, что он под темже айпишником заходил только что в мемберку PPC (очевидно, что некий посетитель сайта не может там оказаться). Даже если он догадывается включить прокси, то он слишком часто кликает по обьявлениям и при этом не ведёт себя заинтересованно на сайте рекламодателя. Таких глупых паблишеров PPC очень быстро вычисляют и банят без выплаты денег. В общем-то, я знаю людей, которые собственноручно кликают по эдсенсу и зарабатывают 2000-3000$$ в месяц особо не напрягаясь (конечно, они не просто тупо кликают по обьявлениям, там есть нюансы, благодаря которым их не банят. И я об этом расскажу).

С такими как я PPC, видимо, сталкивается реже 🙂 Что касается признаков, которые отличают нормальный траф от фродового, то здесь ко мне претензий быть не может. Благодаря тому, что я к тому-же занимаюсь чёрной и серой оптимизацией сайтов под поисковики (Black Hat SEO — в гугле много чего по нему можно найти, тут я не буду про это рассказывать, ибо это уже совсем другая история) я знаю достаточно о поведении качественного траффика и могу научить своих ботов действовать точно также. На моих обьёмах (как-нить отсканю чеки от гугла 😉 ) невозможно успешно работать не имея хотябы трети нормального траффика, т.к. рекламодатели уже часто присматриваются к траффику конкретно с моих сайтов и этот траффик должен по крайней мере что-то покупать (нерешаемая проблема ботов в том, что они никогда ничего не купят 😀 ). У гугла есть такая фишка как conversion tracking (очень советую подробно изучить эту фичу), которая позволяет рекламодателю отслеживать отдачу с каждого домена, откуда идёт траффик и делать выводы о его качестве. Это серьёзный шаг по борьбе с кликфродом, но, к счастью, большинство рекламодателей не умеют пользоваться трэкингом конверсий в полной мере и большинство просто думает — «раз у меня окупается траффик с PPC гугла в целом, значит всё окей, волноваться неочем». И в этой мысли кроется главный плюс PPC (с точки зрения кликфродера 😀 ). Он заключается в том, что зачастую стоимость траффика с PPC в целом (при правильной его конвертации) существенно меньше той прибыли, которую он приносит рекламодателю. Бывает по-разному, конечно, деньги просрать и уйти в минус много ума не надо и такое случается с новичками-рекламодателями. А раз в целом траффик окупается, да ещё и окупается очень хорошо, за счёт источников качественного траффика (которые, кстати, продают свой траф зачастую просто забесценок), то рекламодатель не думает о том что надо смотреть каждый источник траффика в отдельности (этих источников траффика может быть очень много, но каждый из них в отдельности приносит довольно мало траффика). Нельзя забывать и о том, что если рекламодателем является компания, где рекламой занимается человек по найму (это очень частая ситуация), то ему вообще нафиг не надо что-то там выяснять. Вложенные деньги в рекламу приносят доход, рекламные бюджеты растут, руководство довольно, ну и мы довольны 🙂 Таким образом, индустрия кликфрода получает свои немалые деньги

Постоянная ссылка Добавить комментарий

Всё что я тут пишу предназанчено для людей, которые настроены работать и заработывать тысячи долларов в месяц. Не смотря на то, что тема не является трудной, в ней всё равно придётся хорошо разобраться и думать самостоятельно. Если у тебя нет сил вдумчиво прочитать этот блог от начала до конца, то закрой этот блог, тебе тут делать нечего!

Клик фрод (или сliсk frаud) — это по сути наёбывание PPC партнёрок (Pay Per Click — Оплата за клик). Такими PPC партнёрками являются Google Adsense — партнёрская программа гугла и целая куча мелких PPC партнёрок (ещё их называют PPC хабами, т.к. являются по сути посредниками, но об этом позже) Umax Search, PeakClick, Klikrevenue и другие. Я сам не работаю с этими мелкими PPC, т.к. в плане денег они гораздо менее интересны партнёрской программы гугла. Да и если уж наёбывать (кликфрод это именно наёбывание, надо смотреть правде в глаза), то не русских парней, владельцев кликревеню и умакс сёрча, а монстроподобного гугла с миллиардными доходами. Если обсудить неденежную сторону проблемы, то я верю, что приношу пользу России наёбывая гугл и буржуйских рекламодателей и в итоге полученные деньги трачу в России и даю работу русским программистам.

Ну, моральную составляющую этого дела можно обсуждать долго; лучше я продолжу свой рассказ о PPC
Модель PPC в гугле (я рассмотрю её, т.к. считаю её наиболее интересной. Остальные PPC работают по очень схожим схемам) устроена так (если ты знаешь как устроена схема работы реклмного проекта гугла, то пропускай следующие 2 абзаца):

1. Рекламодатель кладёт деньги на счёт в гугле, составляет обьявление и определяет ключевые слова для этого обьявления. Например, он включил в список ключевых слов «авто». Как только деньги попали на счёт гугла аккаунт считается рабочим и рекламодатель начинает получать траффик (т.е. посетителей на свой сайт, который он указал в обьявлении) с самого google.com, где будет показываться его реклама рядом с выдачей по кейвордам, которые он указал как соответсвующие его обьявлению. Например если юзер ввёл запрос «авто», то справа он увидит рекламу нашего рекламодателя, которого мы только что рассмотрели. Возможно юзер кликнет по этой рекламе и попадёт на сайт рекламодателя. За этот клик рекламодатель заплатит некую сумму денег (от 5 центов до 100 долларов). Обьявление рекламодателя будет показываться также и на партнёрских сайтах гугла, т.е. на сайтах паблишеров (о них в следующем пункте). Специальный робот гугла анализирует все страницы, где должны стоять обьявления рекламодателей. Если, например, данная страница часто содержит слово «авто»,то на этой странице скорее всего покажется обьявление нашего рекламодателя. Если на этой странице есть посетители, то они возможно кликнут по обьявлению нашего рекламодателя. Тогда рекламодатель заплатит некую сумму денег (от 5 центов до 100 долларов) и эти деньги поделятся между паблишером, которому принадлежит страница, на которой был совершён клик и гуглом, который всё это дело организовал. Причём гугл получает 50-70% от стоимости клика.

2. Со стороны паблишера (под этим термином подразумевается человек, который владеет сайтом, где будет показываться реклама гугла) схема выглядит так: паблешер отправляет свои данные для регистрации акканутна на Google AdSense. В этих данных он, в том числе, указывает свои ФИО, мыло и адрес (после того, как паблишер наберёт на аккаунте 50$ на этот адрес придёт письмо от гугла с кодом активации аккаунта — реальное письмо, не email. Без этой активации деньги получить не удасться). Для того чтобы гугл зарегистрировал аккаунт нужно показать более-менее приличный сайт (в качстве сайта подойдёт и блог, который можно сделать за несколько минут, запостив там несколько взятых с других сайтов статеек).

Короче, схема довольно проста. Если всё ещё не понятно, то рекомендую почитать хелп на гугле.

Вернёмся к кликфроду. Обьём кликфрода по всему миру оценивается экспертами (хз что там за эксперты, то я эти цифры много где видел) в 10-15%, т.е. это значит, что как минимум каждый десятый клик фальшивый. Индустрия PPC рекламы имеет оборот более $10 млрд в год, т.е. оборот кликфрода составляет как минимум $1 млрд. Это огромные деньги, небольшую часть которых получаю я. При достаточном желании можешь получать и ты 🙂

В следующих постах я расскажу как можно заработать на кликфроде. Расскажу также кое-какие свои схемы кликфрода, которые приносят мне деньги

Постоянная ссылка Добавить комментарий

Кликфрод (Click Fraud): что это такое?

– Автор: Игорь (Администратор)

В рамках данного обзора, я расскажу вам что такое кликфрод, кому он выгоден, как с ним борются и некоторые важные аспекты.

Как и в любой области, в рекламной сфере существуют серые и черные методы, использующиеся для достижения определенных целей. Одним из таких методов является кликфрод или в простонародье скликивание. С момента своего появления и по нынешнее время, этот подход представляет собой огромную проблему как для рекламных сетей, так остальных участников.

Поэтому далее рассмотрим этот вопрос подробнее.

 

Кликфрод (Click Fraud) это

Кликфрод, скликивание (Click Fraud) — это вид интернет-мошенничества, подразумевающий искусственные переходы по рекламе.

Чтобы понять суть, рассмотрим небольшой гипотетический пример. Допустим, существует некий Вася. В целях монетизации, у него в сайте используются контекстная реклама, например, от Яндекс.Директ или Google AdSense. Со временем, Вася замечает, что пользователи как-то неактивно щелкают по баннерам. И у него возникает мысль: «я же могу сам щелкать по баннерам и это позволит увеличить доход».

Это и называется кликфродом, когда человек специально накручивает переходы по рекламе.

Стоит отметить, что в нынешнее время ручными кликами практически не занимаются, так как это банально неэффективно. Обычно, используют ботов — специальные программы или скрипты, которые выполняют определенные действия. Например, схема вида «открыть страницу — пощелкать мышкой в разных местах — щелкнуть по рекламе — повторить сначала через N времени».

 

Кому выгоден кликфрод?

Исходно, кликфрод применялся только для подъема уровня дохода. Однако, в нынешнее время скликивание применяется для совершенно разных целей. Вот несколько из них:

1. Повышение уровня монетизации. Повторюсь для полноты. Кстати, подобное может происходить не только со стороны владельцев сайтов, но и самих рекламных сетей (например, если это неизвестные «модные» проекты и им необходимо продемонстрировать высокий CTR; простыми словами, что выгодно размещать рекламу у них или через них).

2. Блокировка отображения рекламы конкурентов. Суть в следующем. Если рекламная сеть обнаруживает, что один из блоков «слишком» часто щелкают, то его отображение могут заблокировать на некоторое время. Но, чтобы рекламное место не простаивало, то в это время отображается, например, баннер конкурента.

Примечание: Стоит понимать, что алгоритмы сетей несколько сложнее, но основная суть примерно такая.

3. Блокировка площадок. Если в какой-то площадке часто встречается кликфрод рекламы, то такую площадку могут временно отключить от рекламной сети. Соответственно, это п