LA GUIDA COMPLETA

Click fraud, la truffa dei falsi clic sulle inserzioni pubblicitarie dei siti Web: cos’è e come difendersi

Mediante la tecnica del click fraud i truffatori generano falsi clic su banner, inserzioni e link affiliati presenti nei siti Web con l’intento di manipolare le campagne di advertising online a danno degli inserzionisti. Ecco come riconoscere la truffa e i consigli per difendersi

20 Mag 2020
I
Paolo Maria Innocenzi

Cybersecurity Specialist


Con il termine click fraud (o click fraudolenti) si indica una truffa online che consiste nel generare falsi clic su banner, inserzioni e link affiliati presenti nei siti Web al fine di manipolare i sistemi di fatturazione della pubblicità online come Google AdWords/AdSense o Bing Ads.

In particolare, i click fraudolenti diretti sugli annunci pubblicitari vengono generati da bot che vanno a cliccare esattamente la pubblicità che ci siamo scelti di fare online e che stiamo pagando.

Facciamo un esempio pratico per capire in cosa consiste la truffa del click fraud. Supponiamo di avere investito 100 euro in pubblicità per la nostra pagina Web su qualunque social, acquisendo così il diritto ad avere 100 click. Potremmo rimanere vittime di “macchinette” software (i bot) programmate per scaricarci completamente il credito cliccando ripetutamente sulla nostra pubblicità, senza che noi ci accorgiamo di nulla.

Risultato: crederemo di aver avuto 100 persone che hanno cliccato sulla nostra pagina (o sito/annuncio) e invece un bot ci ha esaurito tutti i click disponibili. Felici del successo ottenuto dalla nostra pagina, sottoscriviamo un’altra campagna di advertising online, ma in poco tempo i criminal hacker torneranno a “rubarci” altri click.

Click fraud: l’autofrode indotta

Nel caso in cui sia prevista una remunerazione per click, il curatore della campagna pubblicitaria può cliccare lui stesso sull’annuncio cercando di guadagnare cliccando sul sito dell’inserzionista, magari facendo cliccare i propri amici sugli annunci pubblicitari o utilizzando dei bot.

Questa è, ovviamente un’azione illecita, un furto vero e proprio a danno dell’inserzionista. Inoltre, nel caso di Google, essendo una multinazionale che lavora nel settore, ha tutti gli strumenti adatti a capire chi e come ha effettuato i click e quindi bannare l’utente di Google AdSense (togliendogli di fatto la possibilità di guadagni onesti in futuro).

Se riteniamo che AdSense possa diventare una fonte di reddito, dobbiamo tener presente che Google ha complicati algoritmi che gli permettono di ottimizzare il rendimento dell’annuncio. Oltre al fattore posizionamento/colore/forma dell’annuncio esiste poi il fattore pertinenza che noi releghiamo a Google stesso.

La pertinenza dell’annuncio è data dal contesto in cui l’annuncio si trova, ma Google utilizza anche algoritmi di tracciamento che arrivano a capire quale annuncio è più pertinente in base ai click ricevuti e al tempo di permanenza sul sito su cui si è ridiretti. Si tratta dello stesso algoritmo usato per i risultati del motore di ricerca di Mountain View basato su permanenza, profondità della visita fino ad eventuali bookmark per arrivare alla validità del risultato.

La guerra tra inserzionisti

Falsare i risultati degli algoritmi rende gli annunci automaticamente non pertinenti e i guadagni sui click veri più bassi. Quindi l’inserzionista scorretto ha trovato il modo di cliccare illecitamente sui nostri annunci, falsando le nostri campagne Pay per Click in quanto nostro concorrente.

Può scatenarsi d’estate mentre un armatore lancia una campagna su prezzi dei biglietti per le navi in partenza per la Grecia, ad esempio, oppure può accadere a Natale o durante il Black Friday o durante una generica settimana di offerte. Il risultato generale moltiplicato per tutti gli inserzionisti nel mirino sarà la sommatoria di una montagna di soldi e un giro d’affari illecito per chi si fa pagare i click fraudolenti.

La tecnica è chiara: sabotare i concorrenti manipolando i costi delle loro pubblicità in primis, e subito dopo cambiare la percezione della vostra notorietà attraverso l’illusione di una penetrazione social che non c’è mai stata o che risulta completamente falsata.

Internet ha rivoluzionato il modo in cui facciamo affari, il modo in cui commercializziamo i nostri prodotti/servizi e il modo in cui comunichiamo. È uno strumento incredibile, e probabilmente ora è impossibile per la maggior parte delle persone persino immaginare di vivere senza. Per gli esperti di marketing e le imprese, Internet ha aperto il mondo ai grandi e ai piccoli imprenditori, rendendo a tutti la possibilità di frequentare mercati che una volta erano impraticabili ora raggiungibili in modo democratico.

Click fraud: come tutto è iniziato

È nel 1994 che gran parte dell’attività online riconoscibile ancor oggi ha preso vita, con circa 11 milioni di famiglie americane attrezzate per collegarsi online; abbiamo potuto osservare la Casa Bianca iniziare la sua prima presenza sul web; effettuarsi il primo acquisto online, l’ordine della prima pizza ai peperoni da Pizza Hut; il lancio di Yahoo! – che era il Google di oggi; il primo caso di posta spam e, per finire, il primo banner pubblicitario online di sempre.

La società americana di telecomunicazioni AT&T pagò 30.000 dollari al sito Web HotWired.com (ora Wired.com) per pubblicare un semplice banner pubblicitario HTML sulla loro homepage. Il banner, dal design incredibilmente semplice, diceva:

Hai mai fatto clic con il mouse qui?” con una freccia che punta a un pezzo di testo separato che diceva: “Lo farai“.

Dopo aver fatto clic sul banner, gli utenti erano portati su una landing page che gli offriva il tour dei più grandi musei del mondo. Quindi – tutto sommato – non era nemmeno un palese approccio di vendita, ma era stato progettato per incoraggiare il coinvolgimento e presentava il marchio AT&T come una realtà che era in grado di offrire informazioni. Una prima forma di content marketing.

E qual è stata la percentuale di clic su questo primo banner pubblicitario in assoluto? Quel banner aveva una percentuale di clic del 44%. Considerate che i marketer di oggi sono felici di vedere una percentuale di clic di circa lo 0,5%.

Naturalmente, gli utenti di Internet di oggi vengono raggiunti da centinaia di annunci al giorno. Ma all’epoca il processo era univoco, mentre oggi i banner pubblicitari sono diventati una delle forme più popolari di pubblicità online, con siti come Time che vantano aziende che arrivano a pagare da poche centinaia a migliaia di dollari per posizionare i loro banner pubblicitari sui siti Web.

Annunci mirati e sponsorizzati

Con gli annunci banner all’ordine del giorno, gli inserzionisti hanno iniziato a chiedersi se esistessero modi per indirizzare specifiche fasce demografici.

Fino a questo punto, gli inserzionisti avevano semplicemente assunto spazio su qualsiasi pagina Web desiderassero e il loro annuncio sarebbe stato visualizzato per un determinato periodo di tempo.

Una società pubblicitaria chiamata WebConnect è stata una delle prime a fare da pioniere nel tracciare le attività degli utenti online e usando algoritmi per modificare le pubblicità mostrate su una pagina web.

Prima di questo, un banner pubblicitario era statico per la durata del contratto pubblicitario. Utilizzando WebConnect un’azienda potrebbe aggiungere il proprio annuncio banner a una varietà di siti Web diversi in base al prezzo e alla fascia demografica.

Un altro passo in avanti è stato costituito dalla possibilità di ruotare nel tempo gli annunci banner sui siti Web per evitare “la sovraesposizione dei banner” mostrando al visitatore del sito un banner che, dopo due o tre volte, viene cambiato, una tattica intelligente progettata per catturare l’attenzione e massimizzare le possibilità di un clic.

Nel 1996 è arrivata DoubleClick, un’altra agenzia di pubblicità online che ha reso facile per le aziende l’identificazione del giusto sito da prediligere per gli inserzionisti e guadagnare con le pubblicità.

In effetti, la capacità di DoubleClick di fornire ai siti Web un facile accesso agli inserzionisti ha causato una rapida espansione della quantità di siti Web che offrivano spazi pubblicitari. A questo fu aggiunta la possibilità per gli stessi inserzionisti di monitorare il loro ritorno sull’investimento (Return of Investment, ROI) e personalizzare quindi la spesa pubblicitaria concentrandosi su siti Web ad alte prestazioni. Tutte queste nuove possibilità corroborarono la nascita del vero e proprio marketing online.

Il software alla base di questo era il DART (Dynamic Advertising, Reporting and Targeting) che dette agli inserzionisti un modo semplice per vedere dove stavano andando i loro soldi. DoubleClick è stato anche uno dei primi siti a introdurre un nuovo modello di prezzi per la pubblicità online: il CPM o costo per miglio, il che significa che gli inserzionisti ora pagavano non solo per il posizionamento dell’annuncio, ma anche per il suo rendimento.

L’ascesa di Google

Fu in questo periodo che Larry Page e Sergey Brin, due studenti dell’Università di Stanford, stavano sviluppando un pezzo di codice progettato per dare un senso a tutti i siti Web che stavano spuntando ogni giorno. Il loro programma, “Backrub”, faceva parte del loro progetto di organizzare le masse di informazioni che Internet stava generando categorizzandone i collegamenti.

Siti come Yahoo!, Excite, Lycos, AOL e AltaVista erano i motori di ricerca preferiti dalla maggior parte degli utenti di Internet negli anni ’90 e, sebbene funzionassero, i loro algoritmi erano forse troppo semplicistici fino ad essere addirittura manuali per un World Wide Web ormai in crescita esponenziale.

Ad esempio, Yahoo! allestì un team di persone in carne ed ossa per inserire siti Web nel suo database in modo che quando si eseguiva una ricerca mostrasse i risultati. Se non si sottoponeva manualmente il proprio sito Web a Yahoo! allora sarebbe mai stato visualizzato nelle ricerche! All’epoca era comunque un approccio rivoluzionario, che metteva a dura prova siti come Excite e AltaVista che utilizzavano semplici ricerche di testo per trovare risultati.

Page e Brin, invece, elaborarono un modo per mappare la pertinenza di un sito Web ai termini ricercati da un utente, tramite una complessa indicizzazione di link, analisi delle parole chiave e PageRank o pertinenza. Ad un certo punto il progetto è stato ribattezzato Google e con un investimento di $ 100.000 da parte del co-fondatore di Sun Microsystems, Andy Bechtolsheim, e fu così che progetto Google levò gli ormeggi e iniziò la sua lunga ascesa.

Sebbene i primi siti Web come Yahoo e Lycos offrissero anche una sorta di directory online, pagine di notizie e bollettini meteorologici, Google invece si distinse per semplicità. La loro forza era basata unicamente sui risultati di ricerca che più si faceva strada l’efficacia della strategia algoritmica di Google, più crescevano.

Tra il 2000 e il 2001, Google divenne il motore di ricerca dominante e nacque la frase “Google it”. Anche Yahoo! ha passato il suo motore di ricerca su Google per assicurarsi che le persone non smettessero di usare Yahoo.

Google dà vita ad AdWords e AdSense

Dopo aver raggiunto il risultato di avere in assoluto i risultati di ricerca più efficaci e veloci, Google ha dovuto monetizzare.

Tra agosto e ottobre 2000, Google lanciò le sue sponsorizzazioni Premium e le piattaforme AdWords, e le sponsorizzazioni Premium hanno consentito di far pagare gli inserzionisti per far apparire la loro azienda in cima alle SERP di Google su base CPM.

Considerando che l’utilizzo di AdWords ha comportato la visualizzazione dello specifico annuncio dell’inserzionista come banner di testo sul lato dei risultati di ricerca, sebbene all’epoca Google fosse ancora nella sua relativa fase di infanzia, la popolarità del servizio prese rapidamente piede.

Nel 2003 Google ha lanciato la sua piattaforma AdSense che consentiva agli editori di ospitare pubblicità sui propri siti Web e guadagnare con clic e visualizzazioni. Come DoubleClick, rivoluzionò il modo in cui i proprietari di siti Web potevano essere pagati per i loro contenuti.

All’improvviso nacque un nuovo modo di fare business online che non consisteva più nell’avere un sito di commercio online per guadagnare, ma era sufficiente creare un blog o un portale di informazioni e ospitare annunci e banner per ricevere pagamenti. Tutto quello che era necessario fare era canalizzare il traffico pubblicitario.

Google offrendo risultati di ricerca più efficienti e dando sempre più rapidamente e facilmente alle persone ciò che stavano cercando, era diventato il motore di ricerca dominante. Questo motore offriva commercialmente alle aziende un modo per massimizzare la loro visibilità su questi risultati di ricerca, creando una marea crescente di entrate che avrebbero promosso Google come una delle più grandi aziende tecnologiche al mondo. Ma anche come più grande azienda pubblicitaria al mondo: offrendo implicitamente anche agli editori un modo per ospitare e farsi pagare dalle pubblicità.

Con la sua crescita, Google continua a offrire agli inserzionisti strumenti altamente efficaci per gestire, ricercare e tracciare le proprie spese pubblicitarie: “Analytics”, “Trends”, “MyBusiness”. Ad oggi esistono 251 servizi Google, che coprono tutto, dalla produttività e studio all’intrattenimento, ai browser Web e all’hardware fisico.

Gli altri: Facebook, Amazon e Microsoft

Man mano che Google diventava il motore di ricerca dominante, altri player si stavano organizzando. Facebook e Amazon passarono dall’essere stravaganti startup a popolari piattaforme oggi irrinunciabili, cresciute insieme a Google per distinguersi nelle loro nicchie di specializzazioni e in quelle diventare le più performanti nel saper fare quello che fanno.

In parole semplici, Facebook si è costruito da una semplice piattaforma per l’interazione con il mondo, a una piattaforma di social media sempre più grande. Comprende Instagram, WhatsApp e Oculus (realtà virtuale), con circa 2 miliardi di utenti al mese sulla sua piattaforma, e Amazon è passata dall’essere una libreria, al superstore online più grande del mondo, con acquisizioni tra cui Whole Foods, Ring (un’azienda di sicurezza domestica), Pillpack (un farmacista online) e Twitch (giochi e video).

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Qui la prima vera menzione la merita Microsoft, che è sempre rimasta presente per tutta la durata di questa lunga evoluzione. Il sistema operativo Windows ha alimentato Internet dall’inizio, ma la loro presenza se si esclude quella relativa al sistema operativo non è stata la più coerente. Tuttavia, il loro motore di ricerca Bing è ancora il secondo più grande motore di ricerca con oltre 9 miliardi di ricerche al mese. Microsoft possiede anche LinkedIn, Skype, Nokia, MultiMap e una grande quantità di società di software.

Quando si tratta di campagne Pay per Click (PPC), sebbene Google sia il leader dei motori di ricerca, ognuno dei motori di ricerca degli altri player di cui abbiamo parlato ha la sua specialità che può essere sfruttata.

E questo ci porta al problema della frode sui clic e al modo in cui influenza il marketer moderno.

Click fraud: come funziona la frode sui clic

Mentre le campagne PPC diventavano sempre più complesse, permettendo modi diversi di indirizzare le fasce demografiche e una gran quantità di modi per pagare la nostra pubblicità, la frode sui clic è diventata sempre più sofisticata.

Cos’è la frode sui click

In parole povere, la frode sui click è il clic fraudolento su un annuncio Pay per Click progettato per deviare o influire negativamente sul budget degli inserzionisti. Ci possono essere vari motivi per cui si ottengono clic falsi sulla tua campagna PPC, che vanno da semplici robot automatizzati lanciati a cliccare sui siti a pratiche più vendicative, mirate e criminali. Se si considera che il prezzo di alcune parole chiave in Google Ads (precedentemente noto come AdWords) può essere di $ 10 o $ 20, si intuisce anche il perché più clic fraudolenti possono davvero rappresentare un problema pian piano che il danno si propaga.

Nel 2017 è stato stimato che circa 1 su 5 (20%) di clic in una campagna pubblicitaria PPC fosse in qualche modo fraudolento. Da allora, le tecniche sono diventate più avanzate e il volume di attività fraudolente online è aumentato. Alcune stime delle moderne frodi sui clic mettono la quantità di attività fraudolenta a 1 su 3 clic (30%).

Le principali fonti di click falsi

Se fare clic ripetutamente sull’annuncio di qualcuno può sembrare un lavoro duro e scoraggiante, è vero. Un concorrente disonesto che si diverte a fare clic sul nostro annuncio cinque o dieci volte al giorno potrebbe essere invisibile come una goccia nell’oceano rispetto alla grande massa del nostro budget in spese pubblicitarie, tuttavia ci sono modi economicamente assai più dannosi per usare clic falsi.

Click ad alto volume: bot e Web Crawler

Un (ro)Bot o un ragno (web crawler), progettati per eseguire la scansione del Web alla ricerca di informazioni, in genere per scopi di raccolta di dati o spam. Possono esistere robot “amichevoli”, che cercano unicamente di andare a cercare informazioni sui contatti, ad esempio (nomi, cognomi, numeri di telefono, partite iva, codici fiscali, prezzi). O robot deliberatamente molesti progettati anche per scopi vendicativi che sono progettati con il solo scopo di fare clic sugli annunci che trovano su alcuni siti bersaglio, centinaia o migliaia di volte per esaurire il budget degli annunci.

Ora, è chiaro che il problema del traffico bot è complesso, con i robot che possono essere scritti e costruiti con una infinita varietà di tecniche. Possono sia essere degli algoritmi automatizzati o aziende costituite da persone vere e proprie, concepite per fare click più volte su collegamenti specifici su certi siti web. È proprio così, aziende vere e proprie, con persone in carne e ossa: esistono, di solito nei paesi in via di sviluppo in cui le persone possono essere pagate somme a partire da 5 dollari per 100 click.

Le click farm sono utilizzate da tutti i tipi di attività, spesso per aumentare il loro seguito o coinvolgimento, e possono essere ingaggiate a contratto per eseguire più azioni, dal gradimento degli account sui social media, alla visualizzazione di video, alla condivisione di collegamenti o informazioni, alla pubblicazione di commenti e, naturalmente, al clic su annunci PPC più volte.

Sebbene la maggior parte di queste fabbriche di clic sia normalmente fondata in paesi in via di sviluppo, ci sono stati casi crescenti di click farm in Europa e negli Stati Uniti. Collegando telefoni e tablet a un computer, è possibile automatizzare l’attività di centinaia di persone.

Frodi telefoniche e reti di bot

Queste associazioni a delinquere creano una miscela di siti Web di editori e robot automatizzati per frodare gli inserzionisti. Uno dei più noti è Methbot, una rete di bot truffa altamente sofisticata, con una configurazione complessa progettata per raccogliere in modo fraudolento i pagamenti sulle visualizzazioni video utilizzando una rete di computer. Pensata per essere situata in Russia, si stima che Methbot guadagni circa $ 5-6 milioni ogni giorno in clic fraudolenti.

Frode pubblicitaria

I criminali si fingono editori creando un sito Web progettato per ospitare banner e annunci di testo, quindi incanalano i clic falsi in questo sito per riscuotere il pagamento. La frode pubblicitaria comporta spesso l’immissione di annunci su siti Web con poche possibilità che il traffico autentico sia in grado di trovarle, ma con l’opportunità per i criminali proprietari di tale sito di massimizzare le proprie entrate.

Il nostro concorrente diretto può attraverso queste tecniche defraudare la tua pubblicità sottraendo al nostro budget PPC i click che riesce a indirizzare, in modo che il suo annuncio sia più alto per le ricerche pertinenti. Potrebbero semplicemente fare clic sul nostro annuncio ogni volta che lo vedono o potrebbero indicare a tutti gli utenti dell’ufficio di fare clic sul nostro annuncio, il che potrebbe essere potenzialmente abbastanza dannoso. Sebbene i concorrenti possano provare a gonfiare manualmente la spesa PPC, è possibile che si tratti di una misura temporanea o di una pratica occasionale.

Click fraud: l’errore umano

Annoveriamo tra le varie insidie alle iniziative di marketing online, il fatto che le persone alla ricerca di qualcosa possono fare clic accidentalmente sul nostro sito nella Pagina risultante dalla loro ricerca (Search Engine Result Page, SERP). E potrebbero farlo per errore anche senza rendersi conto che si tratta di un annuncio a pagamento il cui click inutile ci danneggia.

Tecnicamente questo non sarebbe classificato come frode sui clic, ma un clic non “valido” nel senso che non ci sarebbe alcun sabotaggio strategico in corso in questo caso: è semplicemente un errore, anche è ovvio che ripetuti errori possono costare agli inserzionisti una discreta quantità di denaro.

Azioni di revenge e insiders

Consideriamo che, se un ex-dipendente, un cliente insoddisfatto o deluso o un ex-fidanzato sociopatico potrebbe avere un “movente” per fare clic più volte sul nostro annuncio solo vendetta, allora dovremmo considerare la possibilità di porre rimedio venendo a più miti consigli.

È davvero un problema così gravoso?

Se questa è la domanda, allora se dopo tutta questa descrizione ci stiamo ancora chiedendo perché diavolo qualcuno davvero sarebbe così paranoico da volerci procurare tutti questi problemi e se il click fraud è davvero una attività che le persone su internet si danno la pena di svolgere, allora se non lo si è già fatto si può eseguire una rapida ricerca googlando “acquista click”.

Quello che troveremo includendo molti risultati e ripetendo la ricerca su vari motori di ricerca (alcuni effettuano una censura su questa ricerca evidentemente malevola) è un intero settore brulicante che prolifera attorno al traffico di siti Web falsi, spesso ideato per aumentare le visualizzazioni sui siti Web o gonfiare la popolarità degli account dei social media.

Banalmente, poiché siti come Fiverr offrono numerose opzioni per gli utenti di acquistare “Mi piace” o traffico del sito Web, ne consegue automaticamente, per quanto detto finora, che la maggior parte di questi servizi può senz’altro essere utilizzata in modo dannoso.

Molti esperti di marketing possono anche eseguire il codice di Bot che serve a trovare nuovi clienti o per crearsi un elenco di e-mail che possono poi commercializzare in blocco. Anche se è vero che questi semplici robot possono non essere fraudolenti, dispiegando un numero abbastanza alto di questi algoritmi si potrebbe cercare di far perdere un bel po’ di soldi attraverso visite “sterili” al sito che non contemplano l’acquisto.

I robot possono essere utilizzati in vari modi perché sono comunque sempre pezzi di codice assemblato in programmi relativamente semplici, il che significa che praticamente chiunque abbia un discreto livello di conoscenza di programmazione può creare il proprio robot. Si possono anche acquistare robot da una varietà di fonti, per qualsiasi cosa, dalla ricerca su web, a scopi più molto, molto più nefasti.

È stato dimostrato addirittura che la maggior parte del traffico che viaggia su Internet è in realtà costituito da bot che alcune fonti stimano costituirne il 40% e altre che aumentano la percentuale del 50%. Quindi, quando mireremo a lanciare la nostra prossima campagna PPC, questo è sicuramente un problema che dovremo tenere bene a mente.

Coloro che gestiscono una campagna PPC potrebbero scoprire che la quantità di clic fraudolenti si colloca intorno al 20% del loro traffico totale. Dobbiamo tener presente che Google non si riferisce alla pratica come “clic fraudolento” ma preferisce il termine “clic non validi”. Questo nasconde tutte la fascia che va da autentici clic errati al traffico vendicativo effettivo o click farm.

Chi è interessato alla truffa del click fraud

Se siamo portati a pensare che la frode sui clic sia il tipo di cosa che colpisce davvero solo i big; le Amazon, i Citibank e gli Hilton del panorama internazionale. Ovviamente, sono anche loro sulla linea di tiro di queste azioni, quando vengono incluse chiavi di ricerca di alto valore economico. Ma in realtà ogni attività online è a rischio in qualche modo di frode sui clic.

La frode automatizzata dei clic non discrimina, con i bot che spesso cercano solo termini specifici per la ricerca sul Web. Anche i clic accidentali possono aumentare drasticamente se il nostro banner o il risultato che viene sponsorizzato sono in un settore ad alta competitività.

Esistono 3 settori in particolare tuttavia più vulnerabili alle frodi sui clic rispetto ad altri. Secondo un rapporto sulle frodi di Bloomberg del 2015, le 3 industrie o categorie di attività più colpite sono la finanza, la famiglia e il cibo. La ragione di ciò è che hanno tutti un costo per clic (CPC) e un volume di ricerca relativamente elevati.

Un settore con un’enorme quantità di traffico e parole chiave costose significa più spazio per i truffatori per nascondersi con meno rischi di essere scoperti e un pagamento più elevato. Le micro industrie più colpite sono invece: fabbri e piccoli artigiani, avvocati, idraulici e dentisti. Sembra che i fornitori di servizi locali siano inclini a un tasso più elevato di frode sui clic a causa della concorrenza, dell’elevato CPC e della conoscenza del mercato.

Non importa quanto poco denaro viene speso per le campagne, una cosa è certa: ogni azienda che utilizza reti PPC come Google AdWords o Bing Ads è vulnerabile alla frode sui clic o è stata vittima di una frode sui clic.

Click fraud: i casi più importanti di frode pubblicitaria

A volte alcuni dei casi macroscopici di frode sui clic arrivano ad emergere sulle notizie dai mass-media, soprattutto quando entrano in gioco ingenti quantità economiche. Questi esempi vanno comunque ad allocarsi sull’estremità della gaussiana meno probabile e frequente delle frodi sui clic, ma forniscono tuttavia una vista su quali dimensioni il fenomeno è in grado di raggiungere.

Come altre forme di frode, questi grandi esempi sono solo la punta dell’iceberg, con molte campagne di frode con clic più piccoli che si nascondono sotto la superficie.

L’hacker botnet

Il cittadino italiano Fabio Gasperini è stato condannato nel 2017 a un anno di prigione negli Stati Uniti, oltre a una multa di centomila dollari a seguito del suo coinvolgimento in una truffa di pirateria informatica. Gasperini aveva indirizzato server che vengono utilizzati dalle aziende per l’archiviazione e il trasferimento di dati su larga scala, acquisendo il controllo di questi server da utilizzare come browser Web simulati.

Egli è stato in grado di utilizzare i server per creare una rete di circa 100.000 computer in tutto il mondo e utilizzarli per inviare clic automatici su annunci incorporati nei siti Web di sua proprietà. Ha anche truffato le grandi aziende che pagavano per queste pubblicità, tra cui Nike e Walt Disney. Se si considera che un solo uomo è stato in grado di arrecare un danno così esteso, ciò dimostra che cosa può accadere quando si dispone di una rete criminale seriamente organizzata.

Blocco dei motori di ricerca

Microsoft e il suo motore di ricerca Bing sono il secondo più grande player nel mondo PPC (esclusi i siti di social media) e sono noti per prendere molto sul serio le frodi sui clic. Nel 2009, Microsoft ha fatto causa a un team a conduzione familiare con sede a Vancouver, per aver preso parte ad una truffa basata su clic fraudolenti e progettata per indirizzare il traffico verso i loro siti di Web all’interno di società di Assicurazioni automobilistiche e World of Warcraft. Microsoft ha ricevuto $ 750.000 in danni, anche se ha anche dichiarato di aver perso $ 1,5 milioni in rimborsi a causa di clic falsi da parte dei truffatori.

Click fraud: le reti bot criminali

Abbiamo già citato Methbot in precedenza, ma questa enorme truffa criminale è una rete di bot estremamente redditizia e di lunga durata progettata per fare soldi con la pubblicità video. La rete criminale guadagna circa $ 3-5 milioni al giorno utilizzando siti Web falsi per lo streaming di video, accumulando visualizzazioni ed enormi pagamenti.

Si presume che la banda abbia creato circa 250.000 URL che ospitano annunci video che raccolgono ogni giorno circa 300 milioni di visualizzazioni di annunci! La raffinatezza del set Methbot è sbalorditiva, con i nomi di dominio fatti apparire come appartenenti a marchi noti come ESPN e Vogue, circa 570.000 bot e il software che rende l’interazione con i video somigliante ad un comportamento umano.

Un’altra sofisticata configurazione di bot che è stata scoperta nel 2017 è Hyphbot. Con circa un milione di URL registrati, Hyphbot è stato un ottimo esempio di spoofing degli annunci; una pratica in cui i siti Web fasulli sono fatti per apparire in forma di grandi editori come The Economist o The Financial Times.

Gli inserzionisti inseriscono quindi i loro annunci su questi siti contraffatti che ricevono quindi un volume elevato di traffico bot, gonfiando il pagamento PPC. Sebbene ci sia stato un declino dell’attività relativa a Hyphbot, si ritiene comunque che sia attivo e che guadagni circa cinquecentomila dollari al giorno.

La fabbrica dei click

Una delle più grandi fabbriche di clic mai scoperte è stata in Tailandia nel 2017. Con circa 500 smartphone collegati fino a 350.000 carte SIM e 9 computer, la fabbrica di clic è stata collegata a criminali provenienti dalla Cina che hanno utilizzato la fabbrica per aumentare i “Mi piace” e il coinvolgimento sui siti multimediali social cinesi. I proprietari della click-farm sarebbero stati pagati 4.400 dollari al mese per eseguire l’installazione.

Il Bangladesh e l’India sono anche regolarmente elencati come alcuni dei posti migliori per creare clic-farm, grazie ai bassi salari pagati ai lavoratori. Un rapporto suggerisce che i lavoratori hanno pagato $ 120 all’anno per fare clic su più smartphone che cercano post e i relativi profili su siti come Facebook, Instagram e Twitter.

La prossima volta che osserveremo un account Instagram che sembra avere un abnorme seguito incomprensibile, potrebbe essere grazie alle click-farm. In effetti molti influencer e account aziendali popolari, e persino alcune celebrità hanno utilizzato fabbriche di clic per aumentare la loro popolarità online.

Quando si tratta di clic falsi di Google Adwords, le aziende che vogliono bruciare il budget pubblicitario della concorrenza possono facilmente assumere una click-farm per fare clic sugli annunci del target. Una semplice ricerca online mostrerà molti siti in cui è possibile acquistare clic falsi a un prezzo basso, per qualsiasi scopo si desideri. Le click-farm sono un business molto reale e in crescita.

Click fraud: gestione di clic non validi nelle campagne PPC

Dato che la frode sui clic è un problema enorme e che cresce di giorno in giorno, ci sono diversi metodi che si possono adottare per ridurre al minimo e mitigare la nostra esposizione a questa pratica. La buona notizia è che i principali motori di ricerca come Google, Bing e persino Facebook, hanno messo in atto alcune strategie per combattere le frodi pubblicitarie e i clic.

Tuttavia, i loro sforzi sono normalmente sottosoglia rispetto a quanto sarebbe richiesto per annullare il fenomeno.

Ad esempio, Google monitorerà i clic non validi come quelli provenienti dallo stesso indirizzo IP o quelli che utilizzano attività sospette. Se questi clic vengono rilevati nella nostra campagna pubblicitaria, in genere verremo rimborsati automaticamente. Il fatto che Google tratti l’attività di frode sui clic con un approccio abbastanza standard, rimane un problema, perché fino a dieci clic da un indirizzo IP che dovrebbero già poterci insospettire se visionati, per Google invece questo viene visto come un comportamento ancora tollerabile come “standard”.

È anche possibile segnalare attività “sospette” a Google ADS (aka AdWords), ma di solito la risposta aziendale è qualcosa sulla falsariga di “questa è la normale attività dei clienti”. Nei casi in cui Google analizza più in profondità il problema, normalmente verificheremo che può essere necessario anche un mese per l’ispezione del problema, il riconoscimento e il relativo rimborso.

Quando questo poi riguarda gruppi di dieci clic su parole chiave da 10 euro, questo può incorrere in centinaia o addirittura migliaia di euro di danno.

Individuare questi clic multipli da fonti specifiche non è la parte più complessa, sono gli approcci sempre più sofisticati alla frode con clic che causano i maggiori grattacapi.

Con un software in grado di imitare il comportamento umano, cambiare gli indirizzi IP utilizzando VPN e proxy o persino quelle click-farm che gettano sabbia negli occhi virtuali dei motori di ricerca, sono spesso necessarie misure aggiuntive per ridurre al minimo l’esposizione alle frodi sui click.

Anche l’uso del software dedicato per la prevenzione delle frodi ai click un modo efficace, ma non risolutivo al 100%.

La truffa click fraud è illegale? Tecnicamente no

Sebbene includa il termine “frode” e le somme di denaro coinvolte possano essere enormi, la frode sui clic non è tecnicamente illegale.

Gli aspetti della frode sui clic possono essere soggetti a determinate leggi nazionali, ad esempio negli Stati Uniti il Wire Fraud Act che si applica alla frode finanziaria attuata per mezzo di telecomunicazioni. Anche l’atto di frodare gli inserzionisti è illegale nella maggior parte dei paesi, ma il problema è sorvegliarlo, identificarlo, riconoscerlo, registrarlo con metodi forensi e segnalarlo.

Sebbene il crimine digitale sia un’area che sta diventando sempre più complessa e redditizia, ci sono poche risorse a livello globale per combatterlo. La breve risposta alla domanda “è illegale il clic fraudolento” è semplicemente: no.

Fare click più volte sul nostro annuncio, creare un sito Web con il nostro banner posizionato su di esso e quindi canalizzare il traffico, o assumere persone per fare clic sul nostro annuncio 100 volte al giorno è ovviamente molto dannoso, certo, ma purtroppo per noi non è illegale.

Esistono alcune autorità anticrimine informatico a cui è possibile segnalare attività se si ritiene che si stia verificando una minaccia seria e organizzata. Questi includono la Polizia Postale in Italia, ma anche l’EuroPol, la National Crime Agency del Regno Unito, l’FBI e InterPol.

Tuttavia, la maggior parte di queste agenzie è istituita per affrontare minacce più evidenti di criminalità informatica come il furto di identità, il contrabbando di persone, il traffico di droga, il terrorismo, la pornografia e altri problemi più tangibili.

Nel caso in cui il nostro concorrente assuma una click farm in Pakistan per fare clic sulla tua campagna PPC 100 volte al giorno, è improbabile che Polizia Postale, EuroPol, NCA , l’FBI e InterPol prendano sul serio la nostra situazione.

Come identificare la truffa del click fraud

Abbiamo stabilito che la frode sui clic è un problema piuttosto ampio, con molte varianti e il potenziale per operare dei copiosi salassi sul nostro flusso di cassa.

Quindi, come ci orientiamo quando ci accorgiamo di essere stati vittime di frode sui clic? Esistono diversi controlli manuali che si possono eseguire autonomamente per vedere se vi sono state attività fraudolente nelle nostre campagne pubblicitarie, che non sempre forniscono un riflesso accurato al 100% di ciò che sta accadendo, ma possono servire da utile schema e possibilmente segnalare alcune delle violazioni più ovvie.

Verifica degli indirizzi IP

Google non offre gli strumenti per controllare gli indirizzi IP che hanno visitato il nostro sito, ma si possono utilizzare strumenti di monitoraggio, come alcuni plug-in nel caso di siti realizzati all’interno della piattaforma WordPress per la registrazione degli indirizzi IP.

È anche possibile controllare i registri dei visitatori del nostro sito Web per vedere quante volte viene visualizzato lo stesso indirizzo IP in un periodo di tempo specificato. Se noti che se lo stesso indirizzo o indirizzo IP oscuro ha visitato il nostro sito regolarmente, questa potrebbe essere sufficiente a far scattare l’allarme e cercare di bloccare questo indirizzo IP o posizione.

Google offre una certa protezione contro più visite da un singolo indirizzo IP o dispositivo. Anche se non è perfetto e i parametri potrebbero non essere necessariamente ciò che vorremmo impostare, è pur sempre una forma di limitazione del danno.

Verifica dei “publisher”

Se siamo stati soggetti a una delle forme più popolari di frode pubblicitaria, che sta incanalando il nostro annuncio su un sito Web ingannevole, controllare l’elenco dei publisher ci aiuterà a tenerlo d’occhio. Cerchiamo nella sezione “posizionamenti” dei nostri annunci Google e controlliamo i siti ad alto traffico per eventuali attività sospette. Se riteniamo che qualcuno di essi possa essere fraudolento, possiamo bloccarli dall’elenco dei publisher.

Alcuni segnali che un sito è fraudolento includono: pagine che risultano essere illeggibili perché ostruite dalla pubblicità, nessun contenuto (o pochissimo contenuto di qualsiasi sostanza) e domini registrati “troppo” di recente.

Monitorare l’attività durante la campagna pubblicitaria

Tempi sospetti o picchi di coinvolgimento potrebbero essere un segnale che qualcuno sta prendendo di mira i nostri annunci. Soprattutto se sembra che stiamo ricevendo molti clic e rispetto a quanto poco riceviamo in termini di conversione/vendita. Potremmo anche rilevare una elevata percentuale di clic proveniente da un Paese che ha stranamente poco a che fare con il nostro mercato e bacino di riferimento. Ad esempio, se siamo una società con sede in Italia e sembra che stiamo ricevendo molti clic dalle Filippine ma nessuna conversione / vendita, questo potrebbe essere un indicatore del fatto che siamo diventati bersaglio di una campagna di frode sui clic.

Individuazione di altre forme di click fraud

Oltre a posizioni, dispositivi, indirizzi IP e publisher ingannevoli, può essere difficile individuare altre forme di traffico fraudolento. Forme di frode che quelle che simulano il comportamento umano o si nascondono dietro i server proxy saranno piuttosto difficili da individuare, e poiché i processi e le tecniche stanno diventando sempre più sofisticati, tenere traccia degli sviluppi e delle frodi può essere un compito erculeo.

Un esempio di truffa click fraud

Esistono diversi software in commercio di tracciamento, blocco e monitoraggio degli indirizzi IP. Questi, collegati alle pagine e attivati per rilevare i Bot o i Crawler o gli umani che cliccano disonestamente sugli annunci pubblicati dalle campagne pubblicitarie su Google Ads.

Tuttavia, un software algoritmico è fortemente soggetto ad un workaround: se è vero che può essere acquistato da noi, è altrettanto vero che può essere acquistato anche dai criminali, disassemblato, studiato, e by-passato. Il rischio è che, nel momento che più dovrebbe servirci, questo sistema si riveli un gioco al rimpiattino tra il nostro software e la società che lo produce e i siti fraudolenti di click fraud.

E’ sempre preferibile in questi casi una soluzione “blanded” mista, software e di assistito umana, orientando la scelta verso un “servizio” omnicomprensivo. Meglio se legato da una conoscenza diretta di procedure, tecniche e strategie legate a Google Inc. Una buona conoscenza dei meccanismi di tracciamento degli Advertising e di proposizione su web e presentazione nelle ricerche, unito alla presenza umana, consente un combattimento “alla pari” tra chi inventa continuamente tecniche nuove ed evasive e chi invece mantiene il sito e la campagna pubblicitaria attiva ed efficace.

Come si è detto, non esistono software “miracolosi” ma esistono soluzioni ibride, come ibride sono le tecniche ideate da chi porta avanti campagne malevole.

Ovviamente il sistema adottato muoverà da una prima analisi dei click in entrata sul dominio controllato, o sui domini, un riconoscimento e tracciamento geografico degli IP (Geo IP tagging) ma soprattutto il monitoraggio del blocco IP di provenienza che potrà sì essere automatizzato, ma necessiterà di volta in volta di personalizzazione delle regole, specialmente durante i periodi commercialmente “caldi” durante i quali la lotta dovrà avvenire in modo continuo, 24 ore su 24, 7 giorni su 7, compresi festivi. I protocolli di base normalmente utilizzati per l’offuscamento degli indirizzi come le molteplici soluzioni di Virtual Private Network (VPN) dovranno essere immediatamente catalogati e bloccati, così come pure quelli provenienti da Proxy o dalla rete Tor.

Occorrerà una blacklist di internet service provider e un ranking di affidabilità per filtrare con una modalità a “triage” gli indirizzi sospetti.

Tale situazione dovrà essere aggiornata in tempo reale ed essere sempre accessibile con un Report online dell’efficienza efficacia del sistema messo in atto, con statistiche continue e affidabili sulle quantità di click bloccati e IP bloccati, integrate ai dati di navigazione offerti da Google Ads e Google Analytics per generare reportistiche anche di natura economica sulla spesa generata dai click fraudolenti: quanti click fraudolenti hai ricevuto? Quanti soldi sono stati risparmiati grazie all’azione di bonifica dei click fraudolenti, quali indirizzi IP sono stati bannati eccetera.

Una squadra di risorse umane dovrà essere resa disponibile per eventuali operazioni estemporanee manuali di: Blocco IP manuale, cambio strategia di attacco, identificazione nuovi bot e loro varianti, e via dicendo.

Come procedere dopo il rilevamento di una truffa click fraud

Al termine delle operazioni di rilevamento della frode è possibile – nei casi di individuazione di azioni fraudolente di provenienza dal territorio nazionale – adire per le vie legali documentando quanto rilevato e dimostrando senza invertibilità della prova o rischio di controquerela il danno subito.

Per questo occorre non solo una buona base tecnica di rilevamento, ma una prova forense di quanto osservato. Servirà a questo un network di avvocati specializzati nel settore della privacy e dei diritti digitali e non solo una azienda di specialisti tecnici informatici e webmaster certificati.

Si uniscono allora al lavoro dell’anti-click fraud avvocati, ricercatori e sviluppatori di nuove strategie per la difesa dei diritti delle persone e delle aziende su Internet.

Occorre cioè legare all’azione tecnica quella miscela legale di procedure che unite a quelle informatiche offrono la difesa dell’identità digitale e per la difesa della reputazione sul web: attraverso i progetti di ingegneria reputazionale sviluppati e gestiti appositamente, promuovere giudizi in sede civile e penale nei confronti dei responsabili che hanno causato danni attraverso attività fraudolente sulle campagne di pubblicità dimostrando la realizzazione di procedure tecniche e azioni lesive della propria attività aziendale (fonte: CyberLex).

Questo contribuirà a tutelare la reputazione dell’azienda anche attraverso cancellazione e ripristino da: fake news, recensioni falsamente negative sulle pubblicità, contenuti duplicati senza autorizzazione.

Attraverso il lavoro congiunto informatico e legale è possibile utilizzare sia applicazioni per browser prodotte appositamente per individuare gli IP di provenienza dei click sia per documentare l’impatto del danno sui risultati dei motori di ricerca e salvare le pagine web per prove in sede di dibattimento.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

La frode a mezzo telematico su Internet è assoggettata alle procedure europee ed ai regolamenti vigenti in materia di privacy in Italia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5