Click Fraudolenti sulle ADS e abbassamento delle revenue pubblicitarie di Google AdSense e altri circuiti di Advertising. - 🏆 Managed Server
24 Maggio 2020

Click Fraudolenti sulle ADS e abbassamento delle revenue pubblicitarie di Google AdSense e altri circuiti di Advertising.

Come eliminare il problema del Traffico non valido di AdSense

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su email
Print Friendly, PDF & Email

Introduzione

Nel mese di Marzo, abbiamo avuto segnalazioni da parte di un nostro cliente laleggepertutti.it che lamentava dei click fraudolenti e relativi decurtazioni dei pagamenti da parte delle concessionarie pubblicitarie.

Abbiamo investigato con non poca difficoltà lasciando in sospeso il task per circa una settimana al fine di abilitare un sistema di logging più dettagliato e collezionare più dati rispetto a quelli standard e comprendere meglio la problematica lamentata dal cliente.

Provvidenziale è stata una seconda segnalazione da parte di un altro nostro cliente e webmaster Matteo Morreale di Jablabs.it che lamentando la stessa problematica sopra descritta, grazie alla sua collaborazione ci ha permesso di incrociare dati e fare un’analisi differenziale andando ad individuare il problema in maniera estremamente dettagliata arrivando ad individuare gli IP sorgenti autori dei click fraudolenti sulle ADS dei rispettivi siti.

Analisi

Dall’analisi effettuata è infatti emerso che una classe IP nel range 176.126.83.0 – 176.126.83.255 fosse quella incriminata ed autrice dei falsi click, molto probabilmente tramite l’ausilio di sistemi bot o automazioni equivalenti.

La classe IP in oggetto come riportato dal whois seguente :

% Information related to '176.126.83.0 - 176.126.83.255'
% Abuse contact for '176.126.83.0 - 176.126.83.255' is 'info@oneprovider.com'

inetnum:        176.126.83.0 - 176.126.83.255
netname:        OneProvider
descr:          OneProvider
country:        IT
org:            ORG-OA765-RIPE
admin-c:        CP10803-RIPE
mnt-domains:    dagroup
tech-c:         CP10803-RIPE
status:         ASSIGNED PA
mnt-by:         dagroup
mnt-by:         ONEPROVIDER
mnt-by:         MNT-SEFLOW

created:        2016-07-21T17:32:21Z
last-modified:  2016-12-01T21:19:31Z

source:         RIPE

organisation:   ORG-OA765-RIPE
org-name:       ONEPROVIDER
org-type:       OTHER
address:        1500 Ste-Rose, H7S 1S4, Laval, Canada
abuse-c:        ACRO410-RIPE
mnt-ref:        WILLIAM-MNT
mnt-ref:        dagroup
mnt-by:         ONEPROVIDER
created:        2016-03-07T23:08:42Z
last-modified:  2017-02-03T15:51:44Z
source:         RIPE # Filtered
person:         Charles-R Paquet
address:        1500 Ste-Rose, H7K 1S4, Laval, Canada
phone:          +1.5142860253
nic-hdl:        CP10803-RIPE
mnt-by:         ONEPROVIDER
created:        2016-08-04T12:08:28Z
last-modified:  2016-09-22T13:12:59Z
source:         RIPE

% Information related to '176.126.83.0/24AS49367'

route:          176.126.83.0/24
origin:         AS49367
mnt-by:         SEFLOW-MNT
mnt-by:         MNT-SEFLOW
created:        2016-08-04T22:45:27Z
last-modified:  2016-08-04T22:45:27Z
source:         RIPE

appartiene a OneProvider, hosting provider canadese presenti in diversi continenti come quello europeo che si occupa di fornitura e noleggio di servizi di hosting, Server Dedicati e cloud.

 

Nello specifico se si esamina più dettagliatamente il whois precedente, emerge come la classe sebbene assegnata a OneProvider, sia gestita a livello di transito (Transit n.d.r.) ovvero fornitore di connettività, da un provider italiano a Cologno in provincia di Lodi chiamato SeFlow.

Ovviamente abbiamo contattato il fornitore di connettività italiano SeFlow lamentando delle attività fraudolente dagli IP che avessero riferimenti alla loro azienda di Hosting, presentando una PEC ed ottenendo in risposta quello che già avevamo dedotto dal precedente whois.

Gentile Marco,
la ringraziamo per aver contattato il dipartimento SOC di SeFlow.

Gli indirizzi IP da lei indicati non sono in utilizzo da SeFlow. Come può vedere interrogando il database RIPE,

https://apps.db.ripe.net/db-web-ui/query?searchtext=176.126.83.250

la società intestataria è  One Provider (al link sotto trova i riferimenti)

https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ONEPROVIDER&type=mntner

SeFlow (tra le tante società di IP Transito che hanno) è solo uno dei loro fornitori di connettività.
La invitiamo pertanto a comunicare l’ abuso a One Provider, società usufruttuaria e proprietaria degli indirizzi IP da lei indicati.

Restiamo a sua disposizione per qualsiasi chiarimento

Cordiali Saluti

Soluzione ai click fraudolenti

Pur avendo segnalato la problematica a OneProvider e non avendo comunque intenzione di aspettare una loro risposta (tra l’altro mai arrivata) che avrebbe potuto aprire scenari ipotetici di legittimità o meno della richiesta su un hosting provider Canadese, non italiano e nemmeno europeo (l’attività di click fraudolenti infatti è di dubbia interpretazione mancando un riferimento legislativo specifico che abbia valore a livello globale) abbiamo deciso di adoperarci per bannare la classe IP ‘176.126.83.0 – 176.126.83.255’ a livello server utilizzando il comunissimo iptables (firewall predefinito dei sistemi GNU/Linux) gratuito e presenti in tutte le distribuzioni del noto sistema operativo Open Source.

La sintassi è davvero molto semplice, ed è bastato impartire dalla shell linux (e con i privilegi di root) il seguente comando, per vedere bloccato tutto il traffico di quel range :

iptables -A INPUT -s 176.126.83.0/24 -j DROP

La sintassi è ovviamente specifica per sistemi GNU/Linux ma tecnicamente lo stesso approccio seppur con comandi e sintassi differenti può essere applicato utilizzando qualsiasi firewall hardware o software e qualsiasi sistema operativo.

Soluzione per hosting provider poco collaborativi.

E’ necessario premettere che sebbene tale comando possa essere impartito con impartito senza alcun problema su qualsiasi fornitore che vi concede la possibilità di gestire un Firewall, o qualsiasi istanza dedicata con i privilegi amministrativi (root nel caso di sistemi GNU/Linux) esso può presentare grosse ma non insormontabili difficoltà qualora il sito vittima di click fraudolenti sia ospitato in uno shared hosting (hosting condiviso) che unisce in un unico server molti altri clienti oltre che al vostro sito.

E’ pacifico (sebbene discutibile) dire che bloccare un range di IP a livello server (quindi non solo per il vostro sito ma anche tutti gli altri ospitati sullo stesso server) possa essere interpretabile e oggetto di discussione, in quanto quello che potrebbe essere bene per un cliente non debba esserlo necessariamente per tutti gli altri.

Molti fornitori potrebbero infatti cestinare la vostra legittima richiesta, con una più che legittima motivazione appellandosi alla net-neutrality piuttosto che ad una meno professionale e meno motivata “pigrizia”.

Tuttavia qualora si decidesse di non migrare il sito presso altro fornitore di hosting che possa garantirvi l’introduzione di regole di firewalling specifiche per bloccare questo tipo di attività fraudolenta si può sempre ricorrere a soluzioni specifiche per il webserver che vi permetterà di bloccare il range incriminato ad esempio utilizzando le regole .htaccess per i webserver Apache o LiteSpeed.

Per bloccare il range specifico, aggiungi quanto segue al file .htaccess di root del tuo sito:

Deny from 176.126.83.0/255.255.255.0

Qualora utilizziate un altro webserver come ad esempio NGINX dovrete necessariamente ricorrere al vostro Hosting Provider o alle funzionalità presenti (se abilitate) in alcuni pannelli di controllo come ad esempio Plesk / cPanel / Directadmin (per citarne i più famosi) e applicare il blocco del range.

Per chi utilizza CloudFlare o intendesse farlo, si può applicare la regola direttamente dal loro pannello di controllo nella sezione Firewall e successivamente Firewall Rules in questo modo :

Le soluzioni insomma possono essere molto varie e legate essenzialmente al tipo di sistema che avete e dalle relative competenze nell’implementare il blocco degli IP autori dei click fraudolenti.

Nel caso di dubbi o esitazioni, l’assistenza di personale tecnico qualificato potrà sicuramente mettervi in condizione di operare con sicurezza onde evitare problemi derivati da una cattiva implementazione delle regole di filtering.

Alcune considerazioni in merito.

Fino ad ora abbiamo parlato in termini tecnici assoluti ed inopinabili, tuttavia ci si sente in diritto di ipotizzare quali possano essere le motivazione di tale attività fraudolenta ai danni degli advertiser e dei publisher che si ritrovano decurtazioni importanti sui payout mensili delle concessionarie.

Quel che segue dunque sono considerazioni personali, dettate dal buon senso e da un ragionamento il più logico possibile finalizzato a individuare il movente di questa attività fraudolenta.

Premesso che disporre di una struttura di server con una classe C di IP dedicati comporta un investimento economico seppur non elevatissimo (siamo nell’ordine di qualche centinaio di dollari) ma comunque non gratuito, vien da chiedersi quale sia il tornaconto personale di chi investe risorse economiche e il proprio tempo per mettere in piedi dei bot che fanno click fraudolenti sulle ADS dei siti dei clienti.

Considerando che non esiste modo per ottenere un vantaggio economico diretto da questa attività, è pacifico pensare che il vantaggio ottenuto possa essere invece indiretto.

Una delle motivazioni, potrebbe infatti essere quella di una strategia per generare malcontento nei proprietari di siti web che vedendosi decurtare importanti somme nel payout mensile (anche oltre il 50%) nella voce “Traffico non valido”, potrebbe invogliare il proprietario del sito a passare a circuiti alternativi di advertising.

Può essere un campanello di allarme infatti, ricevere una proposta spontanea da qualche circuito di advertising alternativo a seguito di uno o due mesi di click fraudolenti.

Non proverebbe sicuramente in modo assoluto un diretto coinvolgimento nelle attività di generazione di click fraudolenti, ma lascerebbe spazio a ragionevoli sospetti seppur meramente indiziari di cosa potrebbe essere successo e di come l’apparente via d’uscita sia in realtà parte stessa della trappola.

Conclusioni

A prescindere da quali possano essere le reali motivazioni delle attività di click fraudolenti che stanno bombardando il vostro sito, decurtando oltre che il vostro payout mensile anche la vostra serenità personale, il nostro consiglio è quello di tamponare il problema bloccando gli IP che fanno riferimento al range sopra indicato.

Bloccare infatti qualsiasi attività fraudolenta ai vostri danni significa non solo applicare la migliore soluzione per se stessi ma anche per tutti i proprietari di siti che ad oggi ignari del fenomeno continuano ad essere silenziose vittime di queste attività sicuramente da condannare quanto meno sul piano etico e morale, sperando che con la collaborazione e la sinergia di tutti gli addetti ai lavori e non, si arrivi ad estirpare definitivamente questo problema ad oggi poco conosciuto.

17279

Vuoi ricevere i migliori consigli ?

Ogni settimana nuovi consigli e novità !

Hai dei dubbi? Non sai da dove partire? Contattaci


Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Scrivici

Chatta direttamente con il nostro supporto tecnico.

0256569681

Chiamaci subito negli orari d’ufficio 9:30 – 19:30

Ricevi assistenza

Apri un ticket direttamente nell’area di supporto.

INFORMAZIONI

ManagedServer.it è il principale provider italiano di soluzioni hosting ad alte performance. Il nostro modello di sottoscrizione ha costi contenuti e prevedibili, affinché i clienti possano accedere alle nostre affidabili tecnologie di hosting, server dedicati e cloud. ManagedServer.it offre, inoltre, eccellenti servizi di supporto e consulenza su Hosting dei principali CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Magento.

Conosci i problemi di performance del tuo sito ?Analisi Gratuita
+ +

NEWSLETTER

Vuoi scoprire i migliori segreti su hosting e performance ? 

Riceverai i migliori consigli per un sito web veloce e performante 

No grazie, preferisco un sito lento
Torna su