Scallywag」と呼ばれる大規模な広告詐欺活動が、特別に細工されたWordPressプラグインを通じて海賊版サイトやURL短縮サイトを収益化しており、1日に数十億の不正リクエストを生み出している。
Scallywagは、ボットと詐欺の検出会社であるHUMANによって発見されました。HUMANは、1日あたり14億の不正な広告要求をピークに、この活動をサポートする407のドメインのネットワークをマッピングしました。
HUMANはScallywagのトラフィックをブロックし、報告するよう努めた結果、トラフィックは95%減少したが、脅威の主体はドメインをローテーションしたり、他の収益化モデルに移行したりして回復力を見せている。
WordPressの広告詐欺プラグインを中心に構築
合法的な広告プロバイダーは、法的リスク、ブランドの安全性への懸念、広告詐欺、質の高いコンテンツの欠如を理由に、海賊版サイトやURL短縮サイトを避けています。
Scallywagは、4つのWordPressプラグインを中心に構築された詐欺的アズ・ア・サービスで、サイバー犯罪者が危険で低品質なサイトから金銭を得るのを支援している。
この活動によって作られたWordPressプラグインは、Soralink(2016年リリース)、Yu Idea(2017年)、WPSafeLink(2020年)、Droplink(2022年)である。
Humanによると、複数の独立した脅威行為者がこれらのWordPressプラグインを購入して使用し、独自の広告詐欺スキームを構築しており、中にはYouTubeに具体的な方法に関するチュートリアルを投稿している者さえいるという。
「これらの拡張機能は、一般的には広告で収益化できないようなコンテンツを収益化しようとする脅威行為者の参入障壁を低くします。実際、何人かの脅威行為者は、独自のスキームを設定する方法を他の人に教えるためのビデオを公開しています」とHUMANは説明する。
Droplinkは販売モデルの唯一の例外で、販売者にさまざまな金儲けのステップを踏ませることで無料で利用できる。
映画やプレミアム・ソフトウェアを探すために海賊版カタログサイトを訪れたユーザーは、埋め込まれたURL短縮リンクをクリックし、運営のキャッシュアウト・インフラストラクチャを経由してリダイレクトされる。
広告を直接ホストできない海賊版カタログサイトは、必ずしもScallywagのアクターによって運営されているわけではありません。その代わりに、運営者は広告詐欺師と「グレーなパートナーシップ」を結び、収益化をアウトソーシングしている。
ソースはこちら:HUMAN
このリダイレクト・プロセスにより、訪問者は、Scallywagの運営者のために不正なインプレッションを生成する広告を多用した仲介ページを経由し、最終的に約束されたコンテンツ(ソフトウェアや映画)をホストするページにたどり着く。
仲介サイトは、Scallywagアドオンを実行しているWordPressサイトです。これらは、リダイレクト・ロジック、広告の読み込み、CAPTCHA、タイマー、そして広告プラットフォームのチェックでクリーンなブログを表示するクローキング・メカニズムを処理する。
ソースはこちら:ヒューマン
Scallywagを妨害する
HUMANは、一見良さそうなWordPressブログからの広告インプレッション量の多さ、クローキング行動、リダイレクト前の強制的な待ち時間やCAPTCHAとのやりとりなど、パートナーネットワーク全体のトラフィックパターンを分析することで、Scallywagの活動を検知した。
出典:HUMAN:HUMAN
その後、Scallywagはこのネットワークを詐欺的なネットワークとして分類し、広告プロバイダーと協力して広告リクエストの入札を停止させ、Scallywagの収益源を断ち切った。
これに呼応して、Scallywagのアクターは、新しいキャッシュアウトドメインやオープンリダイレクトチェーンを使って本当のリファラーを隠し、検知を逃れようとしたが、HUMANによれば、それらも検知してブロックしたという。
ソースはこちら:HUMAN
その結果、Scallywagの1日の広告詐欺トラフィックは14億からほぼゼロに激減し、多くのアフィリエイターがこの手法を放棄して他の詐欺に移行した。
Scallywagのエコシステムは経済的に崩壊したが、その運営者たちは今後も緩和策を回避し、利益を取り戻そうとするだろう。
Comments