Враг внутри, часть 3. ClickUnder по ретаргетингу.

И вновь о фроде, который глубоко засел в коде сайтов.

Сегодня перед нами таргетированный ClickUnder на pichshop.ru. Этот сайт заинтересовал нас, потому что на нем одновременно можно встретить не менее 4 вредоносных кодов ретаргетинга. Найти их можно прочитав первые 2 части нашего исследования, но сейчас обратим внимания именно на таргетированный ClickUnder.

Шаг 1: убеждаемся, что ClickUnder запрещен правилами оффера

Открываем правила оффера: https://www.admitad.com/ru/webmaster/websites/873795/offers/5227/#traffic_types
text
Правила оффера pichshop.ru
Действительно ClickUnder запрещен.

Шаг 2: проверяем подключенные коды

Заходим на сайт pichshop в Google Chrome и открываем «Инструменты разработчика». Находим домен alphamrkt.com.
text

увеличить

По скриншоту можно предположить, что этот код через свой контейнер вставляет агентство Adv.Cake. Аналогичный код легко встретить в случае со многими другими агентствами и CPA сетями.

Мы не первый раз встречаем домен alphamrkt и его «синонимы» — обычно этот домен связан с ClickUnder-ом на торрент и порносайтах, давайте это проверим.

Шаг 3: проверяем источники трафика для сайта alphamrkt.com.

Открываем similarweb: https://www.similarweb.com/website/alphamrkt.com#referrals
text

Выбираем, например, bigtorrent.org и ищем код с alphamrkt.com на нем.
text

(увеличить)

Действительно находим код ClickUnder-а с домена alphamrkt.com и находим «боевую» ссылку: https://adfill.me/p/f9e66b1a83/

Проверим так же источник трафика для adfill.me: https://www.similarweb.com/website/adfill.me#referrals
text

Похоже, что Clickunder показывается на сайтах с торрентами и порносайтах.

Шаг 4: проверяем работу ClickUnder

Открываем сайт pichshop.ru и проверяем, что на bigtorrent.org открывается ClickUnder.

Видео:
http://admon.pro/blog/wp-content/uploads/2018/08/4.mp4

Проверить Clickunder на порносайтах также было просто (Upd: на момент подготовки публикации, сейчас на 2018.08.08 кода alphamrkt на порносайтах мы не нашли). Только обойдемся без видео-доказательств – многие читают нас на работе.

В итоге:

Мы нашли код ретаргетинга alphamrkt.com на этих CPA офферах:
1c-interes.ru
220-volt.ru
aromacode.ru
avtocod.ru
bashmag.ru
beautydiscount.ru
berni.com.ua
bestwatch.ru
bethowen.ru
biletix.ru
blackstarwear.ru
bonprix.ua
bookvoed.ru
buyon.ru
ccloan.kz
chitai-gorod.ru
condom-shop.ru
cookhouse.ru
delivery-club.ru
dogeat.ru
domsporta.com
esetnod32.ru
evropharm.ru
ezakaz.ru
finn-flare.ru
fishki.ua
franmebel.ru
garmin.ru
gracy.ru
groupprice.ru
helptomama.ru
holodilnik.ru
icases.ru
just.ru
korablik.ru
krasotkapro.ru
lacywear.ru
lancome.ru
laredoute.ru
leomax.ru
lifeessence.ru
mircli.ru
mi-shop.com/ru
moedelo.org
msk.kassir.ru
nebo.ru
netology.ru
niyama.ru
nozhikov.ru
ochkov.net
ogo1.ru
originalam.net
korablik.ru
pampik.com
parter.ru
pichshop.ru
printbar.ru
ps-box.ru
pudra.ru
ru.benetton.com
sendflowers.ru
shop.highscreen.ru
shop.laroche-posay.ru
shop.misslo.com
shop24.com
spb.kassir.ru
s-shina.ru
stolplit.ru
store77.net
thefurnish.ru
tickets.by
tickets.kz
tickets.md
tickets.ru
tickets.ua
topbrands.ru
topradar.ru
toy.ru
tutu.ru
urbandecay.ru
utkonos.ru
vamsvet.ru
vichyconsult.ru
vselaki.ru
wittchen.ru
yakaboo.ua
zdravzona.ru

Мы понимаем, в некоторых случаях из списка выше Clickunder «разрешен по согласованию», но все же агентствам или CPA сетям стоит отдавать себе отчет, на каком трафике они разрешают данный инструмент и какие коды они включают на сайтах своих клиентов.


В этой статье мы провели «ручной» поиск Clickunder-а и поиск его источника, система мониторинга Admon умеет в автоматическом режиме выявлять Clickunder. Мы готовы к сотрудничеству со всеми заинтересованными компаниями и готовы предоставить по возможности логи и треки переходов, подтверждающие фрод, также видео доказательства, если это возможно.