En 2016, l’entreprise de sécurité White Ops a découvert une vaste campagne de fraude publicitaire baptisée Methbot et menée par un groupe de pirates dénommé AFT13. Cette campagne assez atypique en son genre se démarque des autres par les sommes récoltées par les pirates. Selon White Ops, les pirates qui seraient d’origine russe empocheraient entre 3 et 5 millions par jour en enregistrant les vidéos des annonceurs sur des centaines de milliers de faux sites pour ensuite utiliser des robots pour visionner ces vidéos des millions de fois, faisant ainsi croire aux annonceurs que leurs annonces sont visionnées par des personnes qui sont intéressées par leurs produits alors qu’il n’en rien du tout.Après la mise à nu de ces pratiques, l’on aurait cru que ces pratiques allaient cesser, mais tant s’en faut. Récemment, l’entreprise de sécurité Adform a publié un rapport concernant la découverte d’une nouvelle compagne d’escroquerie qu’elle a nommée HyphBot. Des personnes malveillantes ont mis en place de nombreux sites dont un grand nombre était des reproductions de sites d’éditeurs haut de gamme afin de nouer des partenariats avec des annonceurs pour afficher leurs publicités sur ces faux sites. Selon les découvertes d’Adform, ces pirates ont créé plus de 34 ;000 domaines et plus d’un million d’URL et les ont utilisés pour enregistrer les publicités des annonceurs.
Bien que les annonces de ces entreprises commanditaires de campagnes publicitaires ne seront pas vues par leurs cibles, les pirates ont poussé le bouchon encore plus loin en utilisant un réseau de robots pour simuler des clics de visionnage des vidéos des annonceurs comme s’ils étaient effectués par des personnes. Ces robots qui seraient exécutés à partir de plus d’un demi-million d’adresses IP (principalement aux États-Unis et accessoirement au Royaume-Uni, Canada et Pays-Bas) généreraient jusqu’à 1,5 million de requêtes par jour. Pour les annonceurs, les montants investis dans ces campagnes devraient se rentabiliser avec les utilisateurs qui seront poussés à adopter leurs produits après avoir eu accès à leurs éléments publicitaires.
Mais au regard de ce rapport, ces entreprises se sont fait purement et simplement escroquer. Bien que l’entreprise Adform ait déclaré qu’elle n’a pas tous les éléments pour définir de manière précise les montants perdus par les entreprises victimes de cette supercherie, elle avance toutefois que sur la base du pic de 1,5 milliard de requêtes, les pirates pourraient percevoir entre 262 500 et 1,28 million de dollars par jour. Pour Adform, le réseau de robots utilisés par les pirates serait l’un des réseaux les plus vastes jamais découverts dans la publicité numérique.
Après avoir analysé les données collectées dans ses investigations, Adform note des points communs entre Methbot, le réseau de robots découvert l’an dernier et utilisé pour escroquer les annonceurs et HyphBot qui vient d’être exposé par l’entreprise. Comme caractéristiques communes, Adform explique que les réseaux de robots proviennent en grande partie des États-Unis, génèrent du faux trafic en grande partie sur les vidéos et exécutent les requêtes en majorité à partir d’ordinateurs de bureau.
Toutefois, certaines différences constatées font croire à Adform que HyphBot est un réseau de robots différent de Metbot. En effet, tandis que les requêtes de HyphBot proviennent principalement d’un navigateur Chrome installé sur Windows 7 ou 8 pour ordinateur de bureau, Methbot pour sa part exécutait ses requêtes à partir d’un navigateur personnalisé et non Chrome. En outre, Methbot avait un ensemble très limité de plages d’adresses IP (le nombre d’adresses IP était élevé, mais elles pouvaient être empilées dans 161 plages d’adresses IP), alors que pour HyphBot, les adresses IP sont beaucoup plus dispersées et ne tombent pas dans les plages de Metbot, rapporte Adform. Enfin, l’entreprise de sécurité souligne que pour HyphBot, les adresses IP génèrent 30 fois plus de trafic que les modèles (y compris les transactions de campagne directes). Elle ajoute que soit l’échelle de ce schéma est 30 fois supérieure à ce que suggère l’analyse initiale, soit les robots fonctionnent sur des machines infectées et une partie du trafic est un trafic valide généré par des personnes.
Pour se prémunir contre ces faux trafics, Adform suggère de bloquer les adresses IP et les cookies infectés utilisés par les robots pour lancer les requêtes. Pour ce qui concerne les domaines usurpés, un blocage manuel devra se faire si l’on souhaite ne pas bloquer les domaines contenant des annonces publicitaires.
Source : CNBC, Rapport Adform (PDF)
Et vous ?
Pensez-vous que les conclusions du rapport sont surfaites ;? Ou plutôt conformes à la réalité ? Quelles solutions pouvez-vous recommander pour lutter contre ces campagnes d’escroquerie ;?Voir aussi
Des hackers russes gagneraient jusqu’à 5 millions $ par jour grâce à l’opération Methbot, une vaste campagne de fraude publicitaire Le malware Tubrosa utilisé pour générer des vues factices sur des vidéos sur la plateforme YouTube