24 Maggio 2020

Click Fraudolenti sulle ADS e abbassamento delle revenue pubblicitarie di Google AdSense e altri circuiti di Advertising. Click Fraud

Come eliminare il problema del Traffico non valido di AdSense

Introduzione

Nel mese di Marzo, abbiamo avuto segnalazioni da parte di un nostro cliente laleggepertutti.it che lamentava dei click fraudolenti e relativi decurtazioni dei pagamenti da parte delle concessionarie pubblicitarie.

Abbiamo investigato con non poca difficoltà lasciando in sospeso il task per circa una settimana al fine di abilitare un sistema di logging più dettagliato e collezionare più dati rispetto a quelli standard e comprendere meglio la problematica lamentata dal cliente.

Provvidenziale è stata una seconda segnalazione da parte di un altro nostro cliente e webmaster Matteo Morreale di Jablabs.it che lamentando la stessa problematica sopra descritta, grazie alla sua collaborazione ci ha permesso di incrociare dati e fare un’analisi differenziale andando ad individuare il problema in maniera estremamente dettagliata arrivando ad individuare gli IP sorgenti autori dei click fraudolenti sulle ADS dei rispettivi siti.

Analisi

Dall’analisi effettuata è infatti emerso che una classe IP nel range 176.126.83.0 – 176.126.83.255 fosse quella incriminata ed autrice dei falsi click, molto probabilmente tramite l’ausilio di sistemi bot o automazioni equivalenti.

La classe IP in oggetto come riportato dal whois seguente :

% Information related to '176.126.83.0 - 176.126.83.255'
% Abuse contact for '176.126.83.0 - 176.126.83.255' is 'info@oneprovider.com'

inetnum:        176.126.83.0 - 176.126.83.255
netname:        OneProvider
descr:          OneProvider
country:        IT
org:            ORG-OA765-RIPE
admin-c:        CP10803-RIPE
mnt-domains:    dagroup
tech-c:         CP10803-RIPE
status:         ASSIGNED PA
mnt-by:         dagroup
mnt-by:         ONEPROVIDER
mnt-by:         MNT-SEFLOW

created:        2016-07-21T17:32:21Z
last-modified:  2016-12-01T21:19:31Z

source:         RIPE

organisation:   ORG-OA765-RIPE
org-name:       ONEPROVIDER
org-type:       OTHER
address:        1500 Ste-Rose, H7S 1S4, Laval, Canada
abuse-c:        ACRO410-RIPE
mnt-ref:        WILLIAM-MNT
mnt-ref:        dagroup
mnt-by:         ONEPROVIDER
created:        2016-03-07T23:08:42Z
last-modified:  2017-02-03T15:51:44Z
source:         RIPE # Filtered
person:         Charles-R Paquet
address:        1500 Ste-Rose, H7K 1S4, Laval, Canada
phone:          +1.5142860253
nic-hdl:        CP10803-RIPE
mnt-by:         ONEPROVIDER
created:        2016-08-04T12:08:28Z
last-modified:  2016-09-22T13:12:59Z
source:         RIPE

% Information related to '176.126.83.0/24AS49367'

route:          176.126.83.0/24
origin:         AS49367
mnt-by:         SEFLOW-MNT
mnt-by:         MNT-SEFLOW
created:        2016-08-04T22:45:27Z
last-modified:  2016-08-04T22:45:27Z
source:         RIPE

appartiene a OneProvider, hosting provider canadese presenti in diversi continenti come quello europeo che si occupa di fornitura e noleggio di servizi di hosting, Server Dedicati e cloud.

 

Nello specifico se si esamina più dettagliatamente il whois precedente, emerge come la classe sebbene assegnata a OneProvider, sia gestita a livello di transito (Transit n.d.r.) ovvero fornitore di connettività, da un provider italiano a Cologno in provincia di Lodi chiamato SeFlow.

Ovviamente abbiamo contattato il fornitore di connettività italiano SeFlow lamentando delle attività fraudolente dagli IP che avessero riferimenti alla loro azienda di Hosting, presentando una PEC ed ottenendo in risposta quello che già avevamo dedotto dal precedente whois.

Gentile Marco,
la ringraziamo per aver contattato il dipartimento SOC di SeFlow.

Gli indirizzi IP da lei indicati non sono in utilizzo da SeFlow. Come può vedere interrogando il database RIPE,

https://apps.db.ripe.net/db-web-ui/query?searchtext=176.126.83.250

la società intestataria è  One Provider (al link sotto trova i riferimenti)

https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ONEPROVIDER&type=mntner

SeFlow (tra le tante società di IP Transito che hanno) è solo uno dei loro fornitori di connettività.
La invitiamo pertanto a comunicare l’ abuso a One Provider, società usufruttuaria e proprietaria degli indirizzi IP da lei indicati.

Restiamo a sua disposizione per qualsiasi chiarimento

Cordiali Saluti

Soluzione ai click fraudolenti

Pur avendo segnalato la problematica a OneProvider e non avendo comunque intenzione di aspettare una loro risposta (tra l’altro mai arrivata) che avrebbe potuto aprire scenari ipotetici di legittimità o meno della richiesta su un hosting provider Canadese, non italiano e nemmeno europeo (l’attività di click fraudolenti infatti è di dubbia interpretazione mancando un riferimento legislativo specifico che abbia valore a livello globale) abbiamo deciso di adoperarci per bannare la classe IP ‘176.126.83.0 – 176.126.83.255’ a livello server utilizzando il comunissimo iptables (firewall predefinito dei sistemi GNU/Linux) gratuito e presenti in tutte le distribuzioni del noto sistema operativo Open Source.

La sintassi è davvero molto semplice, ed è bastato impartire dalla shell linux (e con i privilegi di root) il seguente comando, per vedere bloccato tutto il traffico di quel range :

iptables -A INPUT -s 176.126.83.0/24 -j DROP

La sintassi è ovviamente specifica per sistemi GNU/Linux ma tecnicamente lo stesso approccio seppur con comandi e sintassi differenti può essere applicato utilizzando qualsiasi firewall hardware o software e qualsiasi sistema operativo.

Soluzione per hosting provider poco collaborativi.

E’ necessario premettere che sebbene tale comando possa essere impartito con impartito senza alcun problema su qualsiasi fornitore che vi concede la possibilità di gestire un Firewall, o qualsiasi istanza dedicata con i privilegi amministrativi (root nel caso di sistemi GNU/Linux) esso può presentare grosse ma non insormontabili difficoltà qualora il sito vittima di click fraudolenti sia ospitato in uno shared hosting (hosting condiviso) che unisce in un unico server molti altri clienti oltre che al vostro sito.

E’ pacifico (sebbene discutibile) dire che bloccare un range di IP a livello server (quindi non solo per il vostro sito ma anche tutti gli altri ospitati sullo stesso server) possa essere interpretabile e oggetto di discussione, in quanto quello che potrebbe essere bene per un cliente non debba esserlo necessariamente per tutti gli altri.

Molti fornitori potrebbero infatti cestinare la vostra legittima richiesta, con una più che legittima motivazione appellandosi alla net-neutrality piuttosto che ad una meno professionale e meno motivata “pigrizia”.

Tuttavia qualora si decidesse di non migrare il sito presso altro fornitore di hosting che possa garantirvi l’introduzione di regole di firewalling specifiche per bloccare questo tipo di attività fraudolenta si può sempre ricorrere a soluzioni specifiche per il webserver che vi permetterà di bloccare il range incriminato ad esempio utilizzando le regole .htaccess per i webserver Apache o LiteSpeed.

Per bloccare il range specifico, aggiungi quanto segue al file .htaccess di root del tuo sito:

Deny from 176.126.83.0/255.255.255.0

Qualora utilizziate un altro webserver come ad esempio NGINX dovrete necessariamente ricorrere al vostro Hosting Provider o alle funzionalità presenti (se abilitate) in alcuni pannelli di controllo come ad esempio Plesk / cPanel / Directadmin (per citarne i più famosi) e applicare il blocco del range.

Per chi utilizza CloudFlare o intendesse farlo, si può applicare la regola direttamente dal loro pannello di controllo nella sezione Firewall e successivamente Firewall Rules in questo modo :

Le soluzioni insomma possono essere molto varie e legate essenzialmente al tipo di sistema che avete e dalle relative competenze nell’implementare il blocco degli IP autori dei click fraudolenti.

Nel caso di dubbi o esitazioni, l’assistenza di personale tecnico qualificato potrà sicuramente mettervi in condizione di operare con sicurezza onde evitare problemi derivati da una cattiva implementazione delle regole di filtering.

Alcune considerazioni in merito.

Fino ad ora abbiamo parlato in termini tecnici assoluti ed inopinabili, tuttavia ci si sente in diritto di ipotizzare quali possano essere le motivazione di tale attività fraudolenta ai danni degli advertiser e dei publisher che si ritrovano decurtazioni importanti sui payout mensili delle concessionarie.

Quel che segue dunque sono considerazioni personali, dettate dal buon senso e da un ragionamento il più logico possibile finalizzato a individuare il movente di questa attività fraudolenta.

Premesso che disporre di una struttura di server con una classe C di IP dedicati comporta un investimento economico seppur non elevatissimo (siamo nell’ordine di qualche centinaio di dollari) ma comunque non gratuito, vien da chiedersi quale sia il tornaconto personale di chi investe risorse economiche e il proprio tempo per mettere in piedi dei bot che fanno click fraudolenti sulle ADS dei siti dei clienti.

Considerando che non esiste modo per ottenere un vantaggio economico diretto da questa attività, è pacifico pensare che il vantaggio ottenuto possa essere invece indiretto.

Una delle motivazioni, potrebbe infatti essere quella di una strategia per generare malcontento nei proprietari di siti web che vedendosi decurtare importanti somme nel payout mensile (anche oltre il 50%) nella voce “Traffico non valido”, potrebbe invogliare il proprietario del sito a passare a circuiti alternativi di advertising.

Può essere un campanello di allarme infatti, ricevere una proposta spontanea da qualche circuito di advertising alternativo a seguito di uno o due mesi di click fraudolenti.

Non proverebbe sicuramente in modo assoluto un diretto coinvolgimento nelle attività di generazione di click fraudolenti, ma lascerebbe spazio a ragionevoli sospetti seppur meramente indiziari di cosa potrebbe essere successo e di come l’apparente via d’uscita sia in realtà parte stessa della trappola.

Un esempio reale su un nostro cliente

Ecco ad esempio cosa è successo ad Anna tra il 10 e l’11 Maggio 2021 (l’identità completa è stata censurata per motivi di privacy) che ha visto il suo blog da oltre 1,5 Milioni di visitatori al mese (che tratta argomenti medici) vedersi bombardato da click sulle ADS di Google Ads arrivando a non monetizzare e veder sospeso l’account pubblicitario di Google.

Il tenore della richiesta è stata assolutamente allarmante in quanto la cliente si vedeva da li a poco impossibilitata a poter continuare la monetizzazione del traffico genuino, viziato da falsi click sui banner di Google (Click Fraud) e pertanto vedendosi minare un business fino ad allora sereno e florido.

Ovviamente abbiamo compreso il suggerimento della cliente che seppur con competenze non tecniche in ambito di reti ed internet, sicuramente aveva intuito quanto meno la logica nel proteggersi.

Abbiamo pertanto proposto una soluzione adeguata andando a proporre un importante servizio a valore aggiunto che proponiamo ai nostri clienti.

Abbiamo lavorato implementando diverse rules sul Web Application Firewall, andando a creare una “combo selettiva” al fine di filtrare in maniera estremamente selettiva il traffico reale dal traffico dei bot causa di falsi click.

Dopo alcune rivisitazioni e modifiche alle regole, abbiamo invitato il cliente a testare dopo qualche ora l’effettiva bontà dei filtri messi in produzione e la soluzione del problema.

Il cliente ci rispondeva in tarda serata condividendo la gioia nel veder finalmente cessato questo brutto attacco ai danni della sua serenità e del suo business.

E’ ovvio che al di la del mero ritorno economico per il nostro servizio, vedere soddisfatta e gioire una cliente è qualcosa di impagabile.

Conclusioni

A prescindere da quali possano essere le reali motivazioni delle attività di click fraudolenti che stanno bombardando il vostro sito, decurtando oltre che il vostro payout mensile anche la vostra serenità personale, il nostro consiglio è quello di tamponare il problema bloccando gli IP che fanno riferimento al range sopra indicato.

Bloccare infatti qualsiasi attività fraudolenta ai vostri danni significa non solo applicare la migliore soluzione per se stessi ma anche per tutti i proprietari di siti che ad oggi ignari del fenomeno continuano ad essere silenziose vittime di queste attività sicuramente da condannare quanto meno sul piano etico e morale, sperando che con la collaborazione e la sinergia di tutti gli addetti ai lavori e non, si arrivi ad estirpare definitivamente questo problema ad oggi poco conosciuto.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

SOLO UN ATTIMO !

Vorresti vedere come gira il tuo WooCommerce sui nostri sistemi senza dover migrare nulla ? 

Inserisci l'indirizzo del tuo sito WooCommerce e otterrai una dimostrazione navigabile, senza dover fare assolutamente nulla e completamente gratis.

No grazie, i miei clienti preferiscono il sito lento.
Torna in alto