据估计,在成人网站上使用 Google Ads 和“popunders”进行的大规模广告欺诈活动已在被盗文章上产生了数百万次广告展示,使欺诈者每月赚取 27.5 万美元。
该活动由 Malwarebytes 发现,并向 Google 报告并以违反禁止在成人网站上投放 Google Ads 的政策为由将其撤下。
虽然该活动的运营者未知,但 Malwarebytes 收集的证据表明该活动的参与者可能是俄罗斯裔
“Popunders”和谷歌广告
欺诈者在成人网站上使用“弹窗”广告获得大量流量,开展广告活动。
这些广告非常便宜,并且在打开的浏览器窗口后面以“弹出窗口”的形式打开,因此用户在关闭或移动主浏览器窗口之前不会看到它们。
通常,在线约会服务、成人网络摄像头和其他成人内容门户网站使用“popunders”。
在这种情况下,欺诈者使用从其他站点抓取的内容创建看似合法的新闻门户网站,这些内容用作“弹出广告”。
但是,它们没有显示页面内容,而是覆盖了一个宣传“TXXX”成人网站的 iframe。
为了从这些弹出窗口中获取广告收入,攻击者还在页面底部嵌入了谷歌广告,这违反了谷歌的广告政策,如下所示。
覆盖是通过动态构建的 iframe 实现的,该 iframe 使用大量代码混淆来逃避 Google 欺诈检测机器人的自动分析。iframe 指向 txxx.tube,这是一个合法的成人内容网站,用于导入成人内容。
Malwarebytes 解释说:“一旦用户将标签放在焦点上(它是一个弹出窗口),页面旋转就会突然停止,用户看到的是另一个成人网站(iframe)。 ”
“点击页面上的任意位置(用户可能希望选择其中一个缩略图并观看特定视频)会触发对 Google 广告的真正点击。”
文章印象
后台加载的文章(在成人内容 iframe 下)是从合法网站窃取的,主要是教程、文章和指南。
这些页面平均包含五个 Google Ads,有时甚至包括产生更多可观收入的视频广告。
欺诈者将背景内容设置为每九秒刷新一次新文章和一组新广告,因此如果页面保持打开状态几分钟,就会生成多个欺诈性广告展示。
类似的网络指标报告称,欺诈性页面每月产生大约 300,000 次访问,平均持续时间为 7 分 45 秒。
基于此,Malwarebytes 估计广告印象为每月 7600 万次,收入为 27.6 万美元/月(基于每千次展示费用为 3.50 美元)。
这个数字是对特定站点的估计,正如 Malwarebytes 解释的那样,可能还有更多。
