sábado, 29 de marzo de 2008

Spam y Fraude de Clics todo en uno (en teoría, Marge)

Spam y Fraude de Clics todo en uno

Como siempre, revisando el spam que recibo para ver qué hay de nuevo o para intentar encontrar algo que me llame la atención, me encontré con uno que contenía básicamente un enlace como el siguiente:

http://www.google.de/pagead/iclk?sa=l&ai=XXXXXX&num=XXXXXX&adurl=XXXXXX

(Quiero destacar que obviamente, donde dice XXXXXX había otro dato pero lo reemplacé para que el enlace no funcionara)

Esto no es algo completamente nuevo (es más, creo que anda dando vueltas desde el 2006 o antes), pero es interesante el “2 por 1” que buscan los autores con este tema.

Vayamos por partes:

  • Ya todos sabemos lo que es spam, así que no lo vuelvo a explicar (por las dudas, es todo ese correo basura que nos llega a nuestra casilla y que nosotros nunca solicitamos)
  • El fraude de clics (o click fraud, o clickfraud) es lograr obtener más ganancias (haciendo trampa) de los servicios de publicidad que pagan por clic y que muchos de los webmasters pueden incluir en su sitio gratuitamente (más clics en la publicidad, más dinero reciben, en teoría)

Ya en otro post anterior sobre spam y google había mostrado una forma que existía (ya no, al menos no igual) para poder usar al buscador como redireccionador para llevar a otro sitio. El concepto que se aplica aquí es el mismo, pero sumando la posibilidad de hacer fraude de clics (en teoría).

Si observan la URL que puse más arriba como ejemplo, verán que pertenece a google, y el script iclk recibe los parámetros ai, num, y adurl. Los primeros dos son parte de la identificación del advertiser (para usar términos “modernos” ;-P) y el último es la dirección web de destino.

Ahora bien, esa dirección URL de destino puede ser cambiada arbitrariamente por cualquiera, es decir, que si ahora vamos a google, hacemos una búsqueda y copiamos la URL de cualquiera de los enlaces patrocinados, se podrá cambiar la url de destino en el mismo, y usar al contabilizador de clicks de Adsense/Adwords de Google como redireccionador, haciéndole gastar dinero, en teoría, al anunciante.

De esta manera, también podría usarse para enviar masivos correos de spam, con enlaces de este tipo, para que cuando la gente haga clic en el enlace, no solo vaya al destino del correo basura, sino también el responsable del spam pueda ganar dinero (si Google no penaliza su cuenta).

Es otro tipo de técnica de spam más que cumple con los objetivos que siempre se han planteado los spammers: que el usuario confie/crea/se vea motivado por el mensaje, y que a su vez, haga clic en el enlace (y quien no haría clic en un enlace de Google ;-P).

Como dije, la técnica no tiene demasiado de innovación, pero si es interesante repasarla, porque, si se me lo permite, aquí Google ha cometido un grave error de diseño: permitir que se pueda cambiar fácilmente la dirección de destino de su redireccionador de clics, al ponerla tan claramente, en texto plano, al alcance de quien quiera hacerlo.

Puede ser que Google esté filtrando este tipo de cosas de su lado, y que los clics no sean contabilizados, pero sin embargo, cualquiera puede usar esta técnica (vayan, hagan la prueba de lo fácil que es usar un enlace patrocinado como redireccionador a cualquier sitio web).

Esto podría ser fácilmente evitable con Google si en lugar de mantener la URL de destino del anuncio en texto plano, la misma estuviera almacenada en una base de datos del buscador, y que la URL solamente tuviera un id(entificador) del anuncio, que luego sirviera para obtener en los sistemas de Google la URL de destino.

Espero que mejoren esto, dado que me parece un aspecto clave de la seguridad, ya que dejan la puerta abierta a ataques de ingeniería social, usando su propio dominio como la fuente de confianza.

“is”

PD: Si alguien hace la prueba, deje un comentario, para corroborar esto y que Google no se la agarre conmigo solo ;-P

PD2: Si alguno conoce más sobre la arquitectura del enlace de AdSense/AdWords para aportar más datos a este tema, bienvenido será :-)

2 comentarios:

Martin Aberastegue dijo...

Interesante, cualquier dominio google sumandole /iclk?sa=l&ai&adurl=http://atacante.com funciona, Inclusive http://checkout.google.com/pagead/iclk?sa=l&ai&adurl=http://soyunphisher.com

Ignacio dijo...

Epa! No habia probado eso. Gracias Martin! Realmente, habria que saber cual es la razon del por que no lo corrign. Es un agujero bastante grande.