SPAM, Typosquatting et Adwares : comment détourner les systèmes "Pay Per Click"

Date : 03 Février 2006

Cet article a pour objectif de vous présenter ce que sont les systèmes publicitaires dits "Pay Per Click", et de montrer comment ces systèmes sont détournés (via des SPAM, du "typosquatting", ou même des logiciels "adware") de façon à générer des gains financiers pour des personnes peu scrupuleuses.

Le "Pay Per Click" (PPC) est un modèle de rémunération publicitaire. Si vous êtes propriétaire d'un site web, et que vous acceptez d'insérer des bandeaux publicitaires dans votre site, vous recevrez alors une rémunération (par exemple 0,01 $) à chaque fois qu'un internaute visitant votre site cliquera sur une de ces publicités (ce qui l'enverra sur le site de l'annonceur publicitaire). Les systèmes "PPC" les plus connus sont Google "AdSense", Yahoo! "Search Marketing" et MSN "adCenter" (service Microsoft actuellement expérimental). Ces derniers jouent le rôle d'agence de publicité : ils cherchent d'une part des annonceurs voulant leur confier des campagnes de publicité, et d'autre part des partenaires (on parle ici "d'affiliates") acceptant d'héberger des pages publicitaires sur leurs sites web. Ils font ensuite payer l'annonceur, et rétribuent les "affiliates".

Le système "PPC" génère depuis longtemps de nombreuses tentatives de fraudes. Il y a actuellement une recrudescence des fraudes dues à des "affiliates" peu scrupuleux, qui utilisent des techniques de plus en plus sophistiquées pour générer des "clics" frauduleux leur générant des profits non "mérités". Nous présentons ci-dessous en détail deux techniques de fraude particulières :

Le SPAM "PPC". Nous nous basons ici sur une analyse technique que nous avons réalisée sur les SPAM que le Cert-IST reçoit.
Le "typosquatting" "PPC". Il s'agit ici d'une étude publiée par les équipes de recherche de Microsoft

Nous présenterons ensuite plus sommairement deux autres techniques de fraude : le "pharming" DNS et le détournement "d'adwares".

Le SPAM "PPC"

Depuis quelque temps, nous recevons de plus en plus souvent au Cert-IST des e-mails de SPAM tels que celui-ci (traduit ici en français) :

"Bonjour,
Nous apprécions beaucoup le travail que vous faites, et pour vous récompenser, nous vous invitons à visiter le site xxxxxxx sur lequel un baladeur numérique 'Ipod Nano' vous sera offert !"

Evidemment, l'annonce paraît un peu trop alléchante. Mais comme nous y décelons un fond de sincérité (à propos de notre travail, bien sûr :-) ), nous avons cédé plusieurs fois à la tentation et visité le site mentionné. A chaque fois, nous sommes tombés sur une page de publicité sans intérêt (du type "Voulez vous connaître le secret pour gagner de l'argent sans effort !"), n'ayant rien à voir avec l'annonce faite dans l‘e-mail. Si on examine de plus près ce qui se passe lorsque l'on se rend sur le site publicitaire, on se rend compte que toute une série d'actions sont successivement déclenchées :

L'URL de départ (indiquée dans l‘e-mail) renvoie immédiatement (réponse de type "302 HTTP redirect") vers le site : http://login.tracking101.com/geo_tracking_redirect.html?e=cnqiipesln
Le site "tracking101.com" renvoie à son tour immédiatement (via un tag HTML "<Meta refresh") vers une autre URL du même site désignant une campagne publicitaire : http://login.tracking101.com/ad/8829/CD4933
Cette URL provoque à son tour un renvoi immédiat vers le site de l'annonceur publicitaire : http://www.greatratestoday.com/secret/default.asp?adv=80247&afid=CD4933

Une recherche triviale permet de constater que le site "tracking101.com" appartient à l'organisation "CPAempire.com" qui est spécialisée dans le "performance-based online direct marketing", c'est-à-dire le modèle publicitaire "PPC".

On le voit donc ici, le SPAM a pour objet de générer de faux clics "PPC" :

un "affiliate" de la compagnie "CPA empire" a lancé une campagne de SPAM consistant à envoyer en masse des messages alléchants à des milliers (ou des millions ?) d'internautes,
à chaque fois qu'un internaute curieux suit les instructions reçues dans l‘e-mail de SPAM, il génère un clique "PPC" comptabilisé par "CPA empire",
chaque clic rapporte un peu d'argent à "l'affiliate" …

Voici donc un SPAM plutôt inoffensif (l'internaute curieux n'a pas été mis en danger et a probablement déjà oublié sa déception), mais assurement lucratif.

Le typo-squatting "PCC"

Dans le cadre de son programme "Strider HoneyMonkey" (programme visant à rechercher activement sur Internet les sites web malicieux), "Microsoft Research" a construit un système (baptisé "Strider Typo-Patrol") cherchant automatiquement les sites malicieux ayant des noms très proches de noms de sites légitimes.

Par exemple, "Strider Typo-Patrol" a découvert qu'il existait actuellement 18 noms de domaines qui imitaient le nom "microsoft.com". Parmi ces noms, on trouve par exemple : "mivrosoft.com", "mkicrosoft.com", microksoft.com", etc… On le voit, tous ces noms imitent le nom légitime et y insèrent une faute de frappe. Cette technique est appelée le "typo-squatting". L'objectif est d'attraper les internautes qui font une faute de frappe lorsqu'ils tapent dans leurs navigateurs une URL "microsoft.com".

Microsoft a identifié lors de la même campagne de nombreux autres sites victimes de "typo-squatting", parmi lesquels "NYTimes.com", "WashingtonPost.com", "Disneyland.com".

L'idée émise par l'équipe de recherche de Microsoft (au moment de la conception du système "Strider Typo-Patrol") était que le "typo-squatting" était utilisé pour rediriger les internautes maladroits vers des sites hébergeant des programmes nocifs.

En fait, les premiers résultats obtenus par Microsoft montrent qu'une grande partie des sites de "typo-squatting" sont utilisés pour réaliser des fraudes "PPC".

Dans les cas étudiés, le système PPC incriminé est le programme "AdSense For Domains" de Google. Il s'agit d'un service de type "Domain Parking" (un modèle publicitaire qui utilise la même mécanique que le "PPC") . Le principe du "Domain Parking" est le suivant :

Si vous êtes propriétaire d'un nom de domaine très populaire, mais que vous ne l'utilisez pas, vous pouvez le prêter (contre rémunération) à Google. Pour ce faire, il suffit de souscrire au service "AdSense For Domains" de Google. Ensuite, à chaque fois qu'un internaute tape l'URL de votre nom de domaine, il sera redirigé chez Google où des publicités lui sont affichées. Vous êtes rétribué au nombre de visiteurs.

Dans les faits, ce service de "Domain Parking" est largement détourné par les "typo-squatteurs". Microsoft montre dans son étude que la grande majorité des noms de domaines "typo-squattés" qu'ils ont identifiés sont détenus par la même organisation, qui les fait tous pointer vers le service "Domain Parking" de Google. Google rétribue ensuite (au moyen de l'argent perçu par Google auprès des annonceurs publicitaires) le "typo-squatteur" en fonction du nombre de visiteurs ramenés vers les sites de Google.

Autres techniques de fraude

En avril 2005, la compagnie "Lurhq.com" a publié une analyse montrant que certains des détournements DNS détectés début en 2005 (attaques en "pharming" décrites dans un autre article du bulletin Cert-IST) avaient pour finalité de réaliser des fraudes "PPC".

Le principe de la fraude était le suivant :

Un cache DNS légitime est attaqué et corrompu de façon à détourner toutes les requêtes adressées à des sites ".com" vers une grappe de serveurs sous le contrôle du pirate. Ces serveurs présentent à l'internaute qui les visite un moteur de recherche web. Ce moteur de recherche produit des résultats biaisés qui, s'ils sont activés par l'internaute, l'envoie vers des pages publicitaires, en utilisant des techniques très proches de celles décrites précédemment pour le SPAM "PPC".

Le dernier cas de fraude que nous mentionnerons est celui présenté courant janvier dans un article de ZDNet, et extrait du rapport CLUSIF 2005 "Panorama de la cyber-criminalité 2005". Il ne s'agit pas ici strictement d'une fraude "PPC", mais d'une fraude concernant les "adwares". Les "adwares" sont des logiciels qui s'installent sur les postes de travail des utilisateurs, et qui ont pour fonction d'afficher des messages publicitaires. En général, un internaute accepte d'installer un "adware" parce qu'en contre partie il bénéficie d'un service (par exemple, la version gratuite d'un logiciel peut inclure une fonction "adware").

Certaines sociétés distribuant des "adwares" font appel à des "affiliates" pour "promouvoir" leurs produits. Un "affiliate" est alors rétribué en fonction du nombre d'utilisateurs qu'il a réussi à convaincre d'installer un "adware" sur son poste ("l'adware" installé contient en dur un identifiant permettant de savoir quel est "l'affiliate" qui l'a distribué).

Ce modèle de rémunération entraîne en fait le même type de fraude que celles induites par le "PPC". En effet, certains "affiliates" peu scrupuleux attaquent des postes d'internautes mal protégés et installent d'office dessus les "adwares". Ils en tirent alors des bénéfices proportionnels au nombre de machines qu'ils ont compromises…

Conclusions

Tout ces cas de fraudes présentent des caractéristiques communes :

Elles concernent des systèmes publicitaires sur Internet.
Elles détournent des modèles de rémunérations en utilisant à leur insu des internautes victimes.
Elles utilisent des techniques de plus en plus sophistiquées.

Globalement, le tort causé à la victime est minime (affichage d'une publicité non sollicitée), mais par contre ces fraudes sont clairement une nuisance supplémentaire, qui pollue l'Internet, de la même façon que les SPAM polluent le courrier électronique.

Pour plus d'information

Projet "Strider Typo-Patrol" de "Microsoft Research" : http://research.microsoft.com/SM/Strider/Typo%2Dpatrol/
Google "AdSense For Domains" program overdue for reform : http://blog.searchenginewatch.com/blog/051220-153537
Etude "Pay-per-click Hijacking" de "Lurhq.com" : http://www.lurhq.com/ppc-hijack.html
Article de Zdnet sur l'utilisation frauduleuse "d'adwares" : http://www.zdnet.fr/actualites/informatique/0,39040745,39302880,00.htm