SPAM, Typosquatting et Adwares : comment détourner les systèmes "Pay Per Click"
Date : 03 Février 2006
Cet article a pour objectif de vous présenter ce que sont les systèmes publicitaires dits "Pay Per Click", et de montrer comment ces systèmes sont détournés (via des SPAM, du "typosquatting", ou même des logiciels "adware") de façon à générer des gains financiers pour des personnes peu scrupuleuses.
Le "Pay Per Click" (PPC) est un modèle de rémunération publicitaire. Si vous êtes propriétaire d'un site web, et que vous acceptez d'insérer des bandeaux publicitaires dans votre site, vous recevrez alors une rémunération (par exemple 0,01 $) à chaque fois qu'un internaute visitant votre site cliquera sur une de ces publicités (ce qui l'enverra sur le site de l'annonceur publicitaire). Les systèmes "PPC" les plus connus sont Google "AdSense", Yahoo! "Search Marketing" et MSN "adCenter" (service Microsoft actuellement expérimental). Ces derniers jouent le rôle d'agence de publicité : ils cherchent d'une part des annonceurs voulant leur confier des campagnes de publicité, et d'autre part des partenaires (on parle ici "d'affiliates") acceptant d'héberger des pages publicitaires sur leurs sites web. Ils font ensuite payer l'annonceur, et rétribuent les "affiliates".
Le système "PPC" génère depuis longtemps de nombreuses tentatives de fraudes. Il y a actuellement une recrudescence des fraudes dues à des "affiliates" peu scrupuleux, qui utilisent des techniques de plus en plus sophistiquées pour générer des "clics" frauduleux leur générant des profits non "mérités". Nous présentons ci-dessous en détail deux techniques de fraude particulières :
- Le SPAM "PPC". Nous nous basons ici sur une analyse technique que nous avons réalisée sur les SPAM que le Cert-IST reçoit.
- Le "typosquatting" "PPC". Il s'agit ici d'une étude publiée par les équipes de recherche de Microsoft
Nous présenterons ensuite plus sommairement deux autres techniques de fraude : le "pharming" DNS et le détournement "d'adwares".
Le SPAM "PPC"
Depuis quelque temps, nous recevons de plus en plus souvent au Cert-IST des e-mails de SPAM tels que celui-ci (traduit ici en français) :
"Bonjour,
Nous apprécions beaucoup le
travail que vous faites, et pour vous récompenser, nous vous invitons à visiter
le site xxxxxxx sur lequel un baladeur numérique 'Ipod Nano' vous sera offert
!"
Evidemment, l'annonce paraît un peu trop alléchante. Mais comme nous y décelons un fond de sincérité (à propos de notre travail, bien sûr :-) ), nous avons cédé plusieurs fois à la tentation et visité le site mentionné. A chaque fois, nous sommes tombés sur une page de publicité sans intérêt (du type "Voulez vous connaître le secret pour gagner de l'argent sans effort !"), n'ayant rien à voir avec l'annonce faite dans l‘e-mail. Si on examine de plus près ce qui se passe lorsque l'on se rend sur le site publicitaire, on se rend compte que toute une série d'actions sont successivement déclenchées :
- L'URL de départ (indiquée dans l‘e-mail) renvoie immédiatement (réponse de type "302 HTTP redirect") vers le site : http://login.tracking101.com/geo_tracking_redirect.html?e=cnqiipesln
- Le site "tracking101.com" renvoie à son tour immédiatement (via un tag HTML "<Meta refresh") vers une autre URL du même site désignant une campagne publicitaire : http://login.tracking101.com/ad/8829/CD4933
- Cette URL provoque à son tour un renvoi immédiat vers
le site de l'annonceur publicitaire : http://www.greatratestoday.com/secret/default.asp?adv=80247&afid=CD4933
Une recherche triviale permet de constater que le site
"tracking101.com" appartient à l'organisation
"CPAempire.com" qui est spécialisée dans le "performance-based
online direct marketing", c'est-à-dire le modèle publicitaire
"PPC".
On le voit donc ici, le SPAM a pour objet de générer de faux
clics "PPC" :
- un "affiliate" de la compagnie "CPA empire" a lancé une campagne de SPAM consistant à envoyer en masse des messages alléchants à des milliers (ou des millions ?) d'internautes,
- à chaque fois qu'un internaute curieux suit les instructions reçues dans l‘e-mail de SPAM, il génère un clique "PPC" comptabilisé par "CPA empire",
- chaque clic rapporte un peu d'argent à "l'affiliate" …
Voici donc un SPAM plutôt inoffensif (l'internaute curieux n'a pas été mis en danger et a probablement déjà oublié sa déception), mais assurement lucratif.
Le
typo-squatting "PCC"
Dans le cadre de son programme "Strider
HoneyMonkey" (programme visant à rechercher activement sur Internet les
sites web malicieux), "Microsoft Research" a construit un système
(baptisé "Strider Typo-Patrol") cherchant automatiquement les sites
malicieux ayant des noms très proches de noms de sites légitimes.
Par exemple, "Strider Typo-Patrol" a découvert
qu'il existait actuellement 18 noms de domaines qui imitaient le nom
"microsoft.com". Parmi ces noms, on trouve par exemple :
"mivrosoft.com", "mkicrosoft.com", microksoft.com",
etc… On le voit, tous ces noms imitent le nom légitime et y insèrent une faute
de frappe. Cette technique est appelée le "typo-squatting".
L'objectif est d'attraper les internautes qui font une faute de frappe lorsqu'ils
tapent dans leurs navigateurs une URL "microsoft.com".
Microsoft a identifié lors de la même campagne de nombreux
autres sites victimes de "typo-squatting", parmi lesquels
"NYTimes.com", "WashingtonPost.com",
"Disneyland.com".
L'idée émise par l'équipe de recherche de Microsoft (au moment de la conception du système "Strider Typo-Patrol") était que le "typo-squatting" était utilisé pour rediriger les internautes maladroits vers des sites hébergeant des programmes nocifs.
En fait, les premiers résultats obtenus par Microsoft montrent qu'une grande partie des sites de "typo-squatting" sont utilisés pour réaliser des fraudes "PPC".
Dans les cas étudiés, le système PPC incriminé est le
programme "AdSense For Domains" de Google. Il s'agit d'un service de
type "Domain Parking" (un modèle publicitaire qui utilise la même
mécanique que le "PPC") . Le principe du "Domain Parking"
est le suivant :
Dans les faits, ce service de "Domain Parking" est
largement détourné par les "typo-squatteurs". Microsoft montre dans
son étude que la grande majorité des noms de domaines "typo-squattés"
qu'ils ont identifiés sont détenus par la même organisation, qui les fait tous
pointer vers le service "Domain Parking" de Google. Google rétribue
ensuite (au moyen de l'argent perçu par Google auprès des annonceurs
publicitaires) le "typo-squatteur" en fonction du nombre de visiteurs
ramenés vers les sites de Google.
Autres techniques de fraude
En avril 2005, la compagnie "Lurhq.com" a publié une analyse montrant que certains des détournements DNS détectés début en 2005 (attaques en "pharming" décrites dans un autre article du bulletin Cert-IST) avaient pour finalité de réaliser des fraudes "PPC".
Le principe de la fraude était le suivant :
Un cache DNS légitime est attaqué
et corrompu de façon à détourner toutes les requêtes adressées à des sites
".com" vers une grappe de serveurs sous le contrôle du pirate. Ces
serveurs présentent à l'internaute qui les visite un moteur de recherche web.
Ce moteur de recherche produit des résultats biaisés qui, s'ils sont activés
par l'internaute, l'envoie vers des pages publicitaires, en utilisant des
techniques très proches de celles décrites précédemment pour le SPAM
"PPC".
Le dernier cas de fraude que nous mentionnerons est celui
présenté courant janvier dans un article de ZDNet, et extrait du rapport CLUSIF
2005 "Panorama de la cyber-criminalité 2005". Il ne s'agit pas ici strictement d'une fraude
"PPC", mais d'une fraude concernant les "adwares". Les
"adwares" sont des logiciels qui s'installent sur les postes de
travail des utilisateurs, et qui ont pour fonction d'afficher des messages
publicitaires. En général, un internaute accepte d'installer un
"adware" parce qu'en contre partie il bénéficie d'un service (par
exemple, la version gratuite d'un logiciel peut inclure une fonction
"adware").
Certaines sociétés distribuant des "adwares" font appel à des "affiliates" pour "promouvoir" leurs produits. Un "affiliate" est alors rétribué en fonction du nombre d'utilisateurs qu'il a réussi à convaincre d'installer un "adware" sur son poste ("l'adware" installé contient en dur un identifiant permettant de savoir quel est "l'affiliate" qui l'a distribué).
Ce modèle de rémunération entraîne en fait le même type de fraude que celles induites par le "PPC". En effet, certains "affiliates" peu scrupuleux attaquent des postes d'internautes mal protégés et installent d'office dessus les "adwares". Ils en tirent alors des bénéfices proportionnels au nombre de machines qu'ils ont compromises…
Conclusions
Tout ces cas de fraudes présentent des caractéristiques communes :
- Elles concernent des systèmes publicitaires sur Internet.
- Elles détournent des modèles de rémunérations en utilisant à leur insu des internautes victimes.
- Elles utilisent des techniques de plus en plus sophistiquées.
Globalement, le tort causé à la victime est minime (affichage d'une publicité non sollicitée), mais par contre ces fraudes sont clairement une nuisance supplémentaire, qui pollue l'Internet, de la même façon que les SPAM polluent le courrier électronique.
Pour plus d'information- Projet "Strider Typo-Patrol" de "Microsoft Research" : http://research.microsoft.com/SM/Strider/Typo%2Dpatrol/
- Google "AdSense For Domains" program overdue for reform : http://blog.searchenginewatch.com/blog/051220-153537
- Etude "Pay-per-click Hijacking" de "Lurhq.com" : http://www.lurhq.com/ppc-hijack.html
- Article de Zdnet sur l'utilisation frauduleuse "d'adwares" : http://www.zdnet.fr/actualites/informatique/0,39040745,39302880,00.htm