Враг внутри. ClickUnder по ретаргетингу
И вновь о фроде, который глубоко засел в коде сайтов.
Сегодня перед нами таргетированный ClickUnder на pichshop.ru. Этот сайт заинтересовал нас, потому что на нем одновременно можно встретить не менее 4 вредоносных кодов ретаргетинга. Найти их можно прочитав первые 2 части нашего исследования, но сейчас обратим внимания именно на таргетированный ClickUnder.
Шаг 1: убеждаемся, что ClickUnder запрещен правилами оффера
Открываем правила оффера:
Действительно ClickUnder запрещен.
Шаг 2: проверяем подключенные коды
Заходим на сайт pichshop в Google Chrome и открываем «Инструменты разработчика». Находим домен alphamrkt.com.
По скриншоту можно предположить, что этот код через свой контейнер вставляет агентство Adv.Cake. Аналогичный код легко встретить в случае со многими другими агентствами и CPA сетями.
Мы не первый раз встречаем домен alphamrkt и его «синонимы» — обычно этот домен связан с ClickUnder-ом на торрент и порносайтах, давайте это проверим.
Шаг 3: проверяем источники трафика для сайта alphamrkt.com
Открываем similarweb:
Выбираем, например, bigtorrent.org и ищем код с alphamrkt.com на нем.
Действительно находим код ClickUnder-а с домена alphamrkt.com и находим «боевую» ссылку: https://adfill.me/p/f9e66b1a83/
Проверим так же источник трафика для adfill.me:
Похоже, что Clickunder показывается на сайтах с торрентами и порносайтах.
Шаг 4: проверяем работу ClickUnder
Открываем сайт pichshop.ru и проверяем, что на bigtorrent.org открывается ClickUnder.
Видео:
ClickUnder на PichShop через bigtorrent.org
На момент сбора доказательств и судя по SimilarWeb, Clickunder также срабатывал и на порносайтах. Однако на момент подготовки этой публикации (2018.08.08) кода alphamrkt на порносайтах мы не нашли.
В итоге
Мы нашли код ретаргетинга alphamrkt.com на этих CPA офферах (на момент публикации в нашем блоге 7.08.2018):
1c-interes.ru, 220-volt.ru, aromacode.ru, avtocod.ru, bashmag.ru, beautydiscount.ru, berni.com.ua, bestwatch.ru, bethowen.ru, biletix.ru, blackstarwear.ru, bonprix.ua, bookvoed.ru, buyon.ru, ccloan.kz, chitai-gorod.ru, condom-shop.ru, cookhouse.ru, delivery-club.ru, dogeat.ru, domsporta.com, esetnod32.ru, evropharm.ru, ezakaz.ru, finn-flare.ru, fishki.ua, franmebel.ru, garmin.ru, gracy.ru, groupprice.ru, helptomama.ru, holodilnik.ru, icases.ru, just.ru, korablik.ru, krasotkapro.ru, lacywear.ru, lancome.ru, laredoute.ru, leomax.ru, lifeessence.ru, mircli.ru, mi-shop.com/ru, moedelo.org, msk.kassir.ru, nebo.ru, netology.ru, niyama.ru, nozhikov.ru, ochkov.net, ogo1.ru, originalam.netkorablik.ru, pampik.com, parter.ru, pichshop.ru, printbar.ru, ps-box.ru, pudra.ru, ru.benetton.com, sendflowers.ru, shop.highscreen.ru, shop.laroche-posay.ru, shop.misslo.com, shop24.com, spb.kassir.ru, s-shina.ru, stolplit.ru, store77.net, thefurnish.ru, tickets.by, tickets.kz, tickets.md, tickets.ru, tickets.ua, topbrands.ru, topradar.ru, toy.ru, tutu.ru, urbandecay.ru, utkonos.ru, vamsvet.ru, vichyconsult.ru, vselaki.ru, wittchen.ru, yakaboo.ua, zdravzona.ru
Мы понимаем, в некоторых случаях из списка выше Clickunder «разрешен по согласованию», но все же агентствам или CPA сетям стоит отдавать себе отчет, на каком трафике они разрешают данный инструмент и какие коды они включают на сайтах своих клиентов.
В этой статье мы провели «ручной» поиск Clickunder-а и поиск его источника, система мониторинга Admon умеет в автоматическом режиме выявлять Clickunder. Мы готовы к сотрудничеству со всеми заинтересованными компаниями и готовы предоставить по возможности логи и треки переходов, подтверждающие фрод, также видео доказательства, если это возможно.
Прочитать старые статьи, а также первыми ознакомиться с новыми, вы можете в нашем блоге или группе FaceBook.
© vc.ru