Redazione 360com | 22 novembre 2017
RUBRICHE

Ad fraud: scovala se ci riesci. Intervista a un fraudster pentito

Di Riccardo Guggiola, media, programmatic e data management consultant

 

Chiamatelo pure “il lato oscuro”. La digital industry è spaventata dall’ad fraud. Chiunque investa una parte del suo budget nella pubblicità online vuole evitare che i suoi soldi finiscano nelle tasche di qualche truffatore. Ho intervistato un vero hacker che, potenzialmente, avrebbe potuto guadagnare migliaia di euro al giorno solamente inserendo qui e la stringhe di codice a scapito dei brand.

 

Il problema dell’ad fraud raccontato da un ex hacker

Nel 2016 sono rimasto sconvolto da un articolo di Forbes secondo cui un gruppo di russi ha guadagnato 3-5 milioni in un solo giorno falsificando 300 milioni di video impression. Avevano costruito un complesso sistema in grado di far credere all’ad server di erogare impression su ESPN e Vogue – per menzionare alcuni degli editori coinvolti – ma in realtà queste venivano consegnate su falsi domini. Questa pratica si chiama domain spoofing.

Ho scavato in questo problema e ho trovato molti articoli scritti dai “buoni” in guerra contro l’ad fraud. Qualcuno di loro apparteneva ai “Good Fellows”, lavorava in modo fraudolento, poi ha deciso di aiutare gli advertiser. La persona che ho intervistato afferma di essere uno tra quelli che si è convertiti al bene. Ha preferito rimanere anonimo, quindi lo chiameremo Frank, come nel film “Catch Me If You Can”. Tra lui e il protagonista del capolavoro di Steven Spielberg ci sono molti tratti simili: Frank Abagnale è uno scaltro giovanotto che ha commesso truffe milionarie falsificando assegni, per poi schierarsi con l’FBI e dar la caccia ai truffatori.

 

Riccardo: Frank, da quanto tempo hai lasciato il lato oscuro?

Frank: Dalla fine del 2015. Quando ho avuto l’idea per una startup e ho avuto bisogno di promuovere il mio prodotto online, mi sono accorto che stavo investendo dei soldi che finivano in ad fraud, stando ai primi report

R: Quindi stavi sprecando il tuo budget per colpa del sistema che tu stesso hai creato?

F: Non esattamente dal mio. Ci sono così tanti casi di ad fraud in giro per la rete che è impossibile trovarli e rimuoverli tutti. Ho deciso di smettere di guadagnare soldi in questo modo e di provare a costruire un prodotto in grado di aiutare il mercato pubblicitario

R: Vuoi raccontarcelo?

F: Preferisco di no, siamo qui per parlare di ad fraud!

Frank mi è sembrato un po’ irritato quando gli ho chiesto del suo progetto, forse perché è rimasto scottato dal suo stesso fuoco o forse perché non vuole dare indizi che porterebbero a riconoscerlo

 

I tipi di ad fraud spiegati da un hacker

 R: In quale dei tipi di frode eri impegnato?

F: La mia attività fraudolenta era principalmente basata sul click fraud e sul cookie stuffing. Poi, quando sono entrato in un gruppo di hacker, ci siamo concentrati sul domain spoofing, che abbiamo scoperto essere molto più remunerativo

 R: Puoi addentrarti un po’ nella spiegazione di queste pratiche?

 F: Sono stato pagato dagli affiliati per fare click fraud, che è indubbiamente la più facile: usavo un bot capace di andare sulle pagine web, cliccare e seguire determinati percorsi. Di solito le ad box sono collocate sul lato destro della pagina, e il bot è capace di cliccare automaticamente sulle ads, generando click e falsificando i numeri dei report

R: Ho sentito dire oggi le click fraud non sono poi così facili…

F: Giusto, i bot che lavorano sulle pagine web sono facili da scovare per gli strumenti di ad verification. Infatti ora assumono manovalanza a basso costo per cliccare sulle ads

R: Hai detto che “assumono”, ma a chi ti riferisci?

F: Diciamo il peccato ma non il peccatore. Anche se sono sicuro che già conosci alcuni di “loro”. Ci sono alcune company che operano anche sul traffico italiano.

R: Hai menzionato il cookie stuffing, è ancora popolare?

F: Il cookie stuffing consiste nell’attaccare cookie multipli agli utenti senza che questi lo sappiano e sì, è ancora molto popolare. Ci sono molti modi per mettere in pratica il cookie stuffing, ma è piuttosto complicato. Richiede traffico umano, è questo è un limite se pensi che i robot possono generare potenzialmente un traffico 300 volte maggiore rispetto a una persona. Mi sono divertito a fare domain spoofing, invece. Facevamo soldi, ma ovviamente in maniera molto minore rispetto a Methbot o Hypobot. (Frank si riferisce alle news sull’attacco riportato da WhiteOps nel 2016. L’Hypobot è una specie di evoluzione, con un impatto ancora maggiore)

R: Ti sei divertito? Perché il domain spoofing è così affascinante?

F: Diciamo che è affascinante perché è il modo più facile di fare soldi con l’ad fraud: produce traffico non umano ed è scalabile rapidamente

R: E cosa ne pensi dell’iniziativa ADS.txt di IAB?

F: Non faccio più parte del lato oscuro, mi hanno chiesto di partegipare al progetto, ma mettere una stringa di codice sulle property degli editori non sarà la soluzione all’ad fraud. I bot sono costruiti in modi sempre più sofisticati. Non c’è ancora la certezza di sapere in anticipo se le impression possano essere fraudolente. Si può dire solo dopo che l’impression sia stata erogata e i soldi siano stati spesi

Frank si riferisce all’analisi pre-bid che molti tool di ad verificatione effettuano prima che l’impression sia erogata. Comunque, l’analisi pre-bid viene fatta su un campione della inventory, lasciando ai truffatori la chance di eludere i controlli

 

La soluzione all’ad fraud secondo un esperto del settore

R: I brand non possono avere fiducia nel digiale in questo modo, ci dev’essere una soluzione all’ad fraud. Può essere rappresentata dalla blockchain?

F: Stiamo lavorando su questo all’interno nostra company. È strano: solo qualche anno fa ero dall’altra parte, e ora combatto per il bene del budget spending. Credo che la blockchain sia verosimilmente una soluzione alla maggior parte delle tipologie di ad fraud. Avere le informazioni appuntate su un registro renderà difficile operare sulle pagine degli editori attraverso il domain spoofing. Niente sarà d’aiuto contro l’ad injection però.

R: Quindi l’ad injection resterà, nonostante il probabile consolidamento della blockchain nell’ad tech?

F: L’ad injection fa partire chiamate dal client side, quando in pratica un utente ha scaricato lo strumento di erogazione delle ads. Finché il software resta installato e nascosto nel sistema operativo, il flusso di ads continua ad apparire, generando impression che magari l’utente non vede nemmeno, ma il registro pubblicitario continua a segnare.

R: Lunga vita al programmatic, nonostante le frodi?

F: Sono un grande fan dell’automation: il programmatic advertising è un potente metodo di compravendita delle impression. Sta a noi utilizzare gli strumenti giusti e fare affari in maniera intelligente

Nessuna risposta a "Ad fraud: scovala se ci riesci. Intervista a un fraudster pentito"