Abbiamo letto nello scorso articolo “Il Lato Oscuro del Marketing” i vari sistemi di truffe che riguardano il marketing online, se non l’avete letto vi invito a farlo perché questo è in qualche modo il suo sequel, oggi ci concentriamo su quello più popolare dei lati oscuri del marketing: il Click Fraud.
Cosa è il Click Fraud
Il Click Fraud è una pratica illecita nella pubblicità digitale in cui sistemi automatizzati, come i bot, generano clic falsi su annunci pubblicitari sui siti che offrono spazi pubblicitari, oppure sui propri siti per ricavarne guadagni illeciti, specialmente in quei siti che ospitano annunci delle grandi compagnie come Google, Bing, Yahoo e altre.
Questo avviene con l’obiettivo di esaurire il budget pubblicitario di un concorrente o per generare entrate illegittime per gli editori che ospitano gli annunci.
Il click fraud è una truffa online che consiste nel generare falsi clic su banner, inserzioni e link affiliati presenti nei siti Web al fine di manipolare i sistemi di fatturazione della pubblicità online.
I metodi più comuni per eseguire il Click Fraud sono fondamentalmente due:
Utilizzo di bot: software automatizzati che simulano clic di utenti reali che possono essere installati in maniera ingannevole sui dispositivi delle persone. Nei computer e negli smartphone possono essere videogiochi o applicazioni di dubbia utilità (quelle che io chiamo Inutilities).
Click farm: gruppi di dispositivi comandati da remoto per cliccare su annunci pubblicitari, solitamente smartphone.
L’impatto del Click Fraud sulle campagne pubblicitarie online è significativo, ed ha obiettivi precisi.
Consuma il budget: gli inserzionisti pagano per clic non genuini, consumando il budget giornaliero i loro annunci vengono sostituiti da quelli concorrenti e non si hanno risultati dalle campagne pubblicitarie. Di fatto si crea un sistema di monopolio su determinate keyword o argomenti.
Ricavi generati illegalmente: il click fraud è anche il sistema più usato per generare profitti illeciti, facendo cliccare i bot o usando algoritmi illegali sui propri siti il villain di turno può guadagnare dai circuiti pubblicitari senza che ci sia del reale traffico sul proprio sito.
Falsare i risultati degli algoritmi: il click fraud rende facilmente gli annunci non pertinenti e i guadagni sui clic veri si abbassano drasticamente. In caso di sito sotto attacco il valore del singolo click può crollare anche del 99%.
Distorce i dati analitici: rende difficile valutare l’efficacia delle campagne, che è poi uno degli obiettivi di questi sistemi, arrivando al punto da costringere gli advertiser più ingenui ad annullare campagne pubblicitarie su determinati dispositivi o su determinati formati.
I settori più colpiti dal Click Fraud
Ogni azienda che utilizza reti Pay per Click (PPC) come Google Ads o Bing Ads è vulnerabile al click fraud. Da quel che abbiamo scoperto oggi le potenzialità dei sistemi di frode sono aumentati esponenzialmente, con la possibilità di selezionare in tempo reale siti e annunci.
I settori più vulnerabili al click fraud includono finanza, famiglia, salute, videogames e cibo.
Questi settori sono particolarmente a rischio a causa del loro elevato costo per clic (CPC) e volume di ricerca. Un alto volume di traffico e parole chiave costose creano più opportunità per i truffatori di nascondersi e ottenere pagamenti più elevati.
Il settore della finanza
Questo è uno dei settori più colpiti dal click fraud, sia per l’abbattimento del budget che per avere guadagni diretti dai click fatti dai bot. L’alto valore del CPC rendono tutte le app e i siti che parlano di economia e finanza sono tra i più colpiti dai sistemi di click fraud.
Il settore dei giochi
Specialmente i giochi su mobile soffrono maggiormente degli attacchi di click fraud a causa del traffico di bot dannosi, con il 57,2% del traffico generato da bot e click farm.
Molti sviluppatori di giochi vivono dai click generati dalla pubblicità, e se ci sono bot installati sul telefono che intercettano questi click e ne cambiano la sorgente direttamente sullo smartphone, questi sviluppatori non ricevono il giusto compenso, portandoli a smettere di sviluppare videogiochi perché non guadagnano a sufficienza.
L’altra faccia della medaglia è usare le click farm per cliccare sugli annunci del proprio gioco per guadagnare e acquistare pubblicità per far installare il gioco su più smartphone possibili, così da annebbiare il traffico della click farm con quello organico.
La cosa divertente è che ci sono nazioni, non voglio dire “Cina” a caso quindi metto il video a corredo, in cui se le click farm non vengono fermate i soldi che gireranno nel mercato pubblicitario cinese dei videogames saranno quelle delle click farm stesse.
Ed ora il video per cui ho detto “Cina” prima, di 8 milioni di visualizzazioni pubblicitarie solo 100 mila erano reali. Vediamo la polizia cinese di Guizhou che entra in una piccola click farm:
Consideriamo che i circuiti pubblicitari più renumerativi sono quelli statunitensi e le click farm più grandi sono in Cina.
Ora è facile capire perchè il governo Cinese sconsiglia di andare negli States agli imprenditori.
I settori di famiglia e salute
Un altro settore che ha CPC elevati è quello che riguarda la salute e i servizi alle famiglie.
La natura ci insegna che ogni predatore sa scegliere la preda più giusta.
E chi si occupa di questi argomenti spesso non ha l’esperienza per riconoscere questo tipo di predatori.
Il settore del cibo
Vi siete accorti quanti video, reel, short sul cibo ci sono ultimamente?
Il perché è presto detto, elettrodomestici e prodotti per la cucina spendono parecchio in pubblicità e sono diventati una delle prede favorite del click fraud.
O meglio di un tipo particolare di click fraud: quello sugli ads dei video.
Oggi è semplice prendere video dall’altra parte del mondo, montarci l’audio generato anche solo con Google Translator, rimontare il video e spalmarlo su tutti i social.
Basta poi mettersi d’accordo con qualche click farm e mettere in play il video 24 ore su 24 su qualche centinaio di smartphone per rubare i ricavi pubblicitari.
I settori governativi
Lo abbiamo letto spesso questi ultimi giorni di attacchi a siti governativi.
Questi settori soffrono maggiormente a causa dei bot più avanzati.
Il 75,8% del traffico di bot del settore proviene da bot programmati in modo molto avanzato che tentano di modificare soprattutto i dati statistici.
Ultimamente questi sistemi sono stati addestrati per attaccare anche i social network. Parlo dei famosi bot di propaganda, usati per rendere popolari e condividere post su argomenti specifici così da farli apparire sulle bacheche di un pubblico sempre più grande. Se vi interessa ve ne posso parlare in futuro, ora concentriamoci sul Click Fraud.
Purtroppo i siti governativi non sono frutto dell’esperienza di chi è cresciuto nel far west del web e dei tanti problemi che ci sono nella rete.
Un modo per andare a ingolfare un sito è fargli fare il super lavoro. Già con un paio di centinaia di bot che cliccano alla rinfusa molti dei siti governativi rischiano di andare offline per troppo lavoro. Sembra una battuta da cabaret che anche i siti governativi smettono di funzionare quando lavorano troppo, invece è la realtà.
Considerate invece i siti dedicati al marketing online vengono testati per supportare centinaia o migliaia di connessioni contemporanee al secondo.
Ad esempio la struttura hw/sw su cui lavoriamo si adatta in automatico al traffico e secondo le ultime statistiche lavora poco più di 60 milioni di richieste al mese, solo di traffico prodotto dal marketing.
Come guadagnano i sistemi di click fraud
Prima di elencare i modi in cui i sistemi di click fraud più utilizzati facciamo un piccolo riassunto su come funzionano i sistemi di advertising.
Quando crei una campagna pubblicitaria assegni un valore al click, crei un elenco di keyword a cui vuoi associare i tuoi annunci, e infine una serie di altri parametri come nazionalità degli utenti e via dicendo.
Quando appare la tua pubblicità su un sito web e viene cliccata una parte va alla piattaforma pubblicitaria e una parte va al proprietario del sito web.
Low Quality Traffic source
Il nostro imprenditore rampante e avido acquista pubblicità da circuiti pubblicitari che mostrano annunci su argomenti di massa, solitamente gossip o falsi scandali, al costo, facciamo un esempio, di 0,01€ al click.
Quando l’utente clicca si ritrova su un sito “ponte”, il sito ponte chiede gli annunci ad alto cpc, mettiamo ad esempio 3 annunci da 1,00€ a click, che nasconde alla vista e manda un messaggio tipo “clicca per continuare” o “clicca qui per verificare che non sei un robot”.
All’azione dell’utente uno script effettua click su tutti gli annunci presenti, indirizzando i click su una zona nascosta del sito, e guadagnando su ogni click. La differenza tra l’importo speso è quindi 3,00€ – 0,01€ = 2,99€ a click. Ora immaginate di comprare 100’000 click al giorno, 1000€ diventano magicamente 299’000€ e non è tutto! Oltre a quei soldi guadagni anche una decina d’anni di vacanze forzate a Rebibbia o San Vittore.
I bot interni allo smartphone o al pc
Questi sono sempre più difficili da individuare ma si muovono sempre sul filo del rasoio. Avete presente le app stupide o i giochini stupidi tipo “Space Rocket” che ogni tanto rallentano o freezano lo smartphone?
Ecco, alcune di queste app hanno il browser interno, che viene aperto su pagine apposite su cui vengono pubblicati annunci, che vengono cliccati mentre tu giochi.
Se sei abbastanza nerd e sei curioso di come questi sistemi di click fraud funzionano i ragazzi di Sophos hanno smontato e analizzato proprio “Space Rocket”.
Se ci riflettiamo un secondo e pensiamo quanto tempo i nostri ragazzi passano a giocare con lo smartphone, e ipotizziamo una serie di click ogni 5 minuti per ogni persona che ha possiamo renderci conto di quanto ricavo illecito fanno queste app.
Il click fraud e le finte AD Agencies
Chi ha un sito che mostra annunci di Google sa quante mail arrivano da società sconosciute con “usa i nostri annunci e guadagnerai più che con Google Ads!”. Società che spesso sono localizzate in paesi esotici e che hanno dei siti particolarmente scarni.
Bene, ce ne sono alcune che mostrano veramente annunci di alto valore, ma altre oltre a mostrare annunci fanno automaticamente click sugli annunci che mostrano. E se qualcuno si lamenta la colpa è sempre del sito e del suo proprietario.
Grazie al fatto che devi loggarti nel loro pannello di amministrazione sanno anche su quale IP non deve funzionare il sistema di auto click.
Un ottimo motivo per usare una VPN e nascondere il proprio IP.
Le click farm
Amo sempre parlare delle click farm alla fine, perché essendo il riassunto dei paragrafi precedenti mi permette di parlare del perché del loro successo nella malavita del web. Allora per mettere in piedi una propria click farm… Scherzo ovviamente!
Abbiamo capito che in un modo o nell’altro lo scopo finale di questi sistemi è cliccare sugli annunci che ci portano un guadagno, o cliccare sugli annunci della concorrenza per consumargli il budget giornaliero.
I costi iniziali per fare queste cosette possono essere abbastanza alti. Ad esempio se vogliamo convincere un adolescente a installare Space Rocket sullo smartphone dovremo fargli pubblicità. Pubblicità che ha un costo alto visto che serve che sia installato sul numero più grande possibile di smartphone, in modo da diminuire la possibilità di essere beccati.
Le click farm, facendo tutto in casa, abbattono questi costi. Il costo principale è l’acquisto di smartphone usati, dove spesso rimane anche l’account del vecchio proprietario, e di un mini PC da 200€ ogni 48 smartphone per comandarli, dei ripetitori wi-fi e ovviamente la bolletta della corrente.
Le click farm quindi permettono di avere il controllo assoluto del sistema, da quanto traffico indirizzare a cosa fare con gli annunci, ma soprattutto permettono di misurare il “successo” del sistema.
In pratica trasformano un sistema che negli altri casi è ancora artigianale in un prodotto industriale.
L’AI usata dal lato oscuro
Purtroppo c’è da dire che con l’AI lo sviluppo di questi sistemi si è drammaticamente evoluto, e questo si è visto palesemente nelle statistiche.
From 2018 to 2023, bad bot traffic increased dramatically, rising from 20.4% in 2018 to an all-time high of 32% in 2023.
Dal 2018 al 2023, il traffico di bot dannosi è aumentato drasticamente, passando dal 20,4% nel 2018 a un massimo storico del 32% nel 2023.
da: Thales Group
Un terzo del traffico mondiale di internet è prodotto da questi bot malevoli, e la maggior parte sono proprio i bot da click fraud, che per funzionare devono cliccare sugli annunci e mostrare la pagina.
L’aumento del 12% negli ultimi anni è avvenuto proprio in concomitanza del boom dei LLM, strumenti che hanno dato la possibilità a questi avidi personaggi di produrre velocemente del codice che altrimenti non avrebbero mai scritto.
Ma non solo. L’AI aiuta a creare controllori dei sistemi di orchestrazione dedicati, uso più libero di VPN diverse e di reti TOR e, al solito, lo sviluppo di programmi che fanno da ponte installati su smartphone e computer.
Al momento siamo nella situazione assurda in cui da una parte ci sono persone che usano l’IA per scopi malvagi e dall’altra persone che usano l’AI per aumentare la sicurezza.
La speranza è che le aziende che fanno LLM si occupino di censurare determinate risposte, così da rendere sempre più lungo lo sviluppo dei sistemi per il click fraud. Magari con l’obiettivo finale di dare gli strumenti di Intelligenza Artificiale solo a chi si occupa di proteggere e non anche a chi la usa per attaccare.
Francesco Contini, Data & Search Engine Expert, Founder Rubedo Data Solutions