И вновь о фроде, который глубоко засел в коде сайтов.

Сегодня перед нами таргетированный ClickUnder на pichshop.ru. Этот сайт заинтересовал нас, потому что на нем одновременно можно встретить не менее 4 вредоносных кодов ретаргетинга. Найти их можно прочитав первые 2 части нашего исследования, но сейчас обратим внимания именно на таргетированный ClickUnder.

Шаг 1: убеждаемся, что ClickUnder запрещен правилами оффера

Открываем правила оффера: https://www.admitad.com/ru/webmaster/websites/873795/offers/5227/#traffic_types

Правила оффера pichshop.ru
Действительно ClickUnder запрещен.

Шаг 2: проверяем подключенные коды

Заходим на сайт pichshop в Google Chrome и открываем «Инструменты разработчика». Находим домен alphamrkt.com.

(увеличить)

По скриншоту можно предположить, что этот код через свой контейнер вставляет агентство Adv.Cake. Аналогичный код легко встретить в случае со многими другими агентствами и CPA сетями.

Мы не первый раз встречаем домен alphamrkt и его «синонимы» — обычно этот домен связан с ClickUnder-ом на торрент и порносайтах, давайте это проверим.

Шаг 3: проверяем источники трафика для сайта alphamrkt.com.

Открываем similarweb: https://www.similarweb.com/website/alphamrkt.com#referrals

Выбираем, например, bigtorrent.org и ищем код с alphamrkt.com на нем.

(увеличить)

Действительно находим код ClickUnder-а с домена alphamrkt.com и находим «боевую» ссылку: https://adfill.me/p/f9e66b1a83/

Проверим так же источник трафика для adfill.me: https://www.similarweb.com/website/adfill.me#referrals

Похоже, что Clickunder показывается на сайтах с торрентами и порносайтах.

Шаг 4: проверяем работу ClickUnder

Открываем сайт pichshop.ru и проверяем, что на bigtorrent.org открывается ClickUnder.

Видео:

Проверить Clickunder на порносайтах также было просто (Upd: на момент подготовки публикации, сейчас на 2018.08.08 кода alphamrkt на порносайтах мы не нашли). Только обойдемся без видео-доказательств – многие читают нас на работе.

В итоге:

Мы нашли код ретаргетинга alphamrkt.com на этих CPA офферах:

  • 1c-interes.ru
  • 220-volt.ru
  • aromacode.ru
  • avtocod.ru
  • bashmag.ru
  • beautydiscount.ru
  • berni.com.ua
  • bestwatch.ru
  • bethowen.ru
  • biletix.ru
  • blackstarwear.ru
  • bonprix.ua
  • bookvoed.ru
  • buyon.ru
  • ccloan.kz
  • chitai-gorod.ru
  • condom-shop.ru
  • cookhouse.ru
  • delivery-club.ru
  • dogeat.ru
  • domsporta.com
  • esetnod32.ru
  • evropharm.ru
  • ezakaz.ru
  • finn-flare.ru
  • fishki.ua
  • franmebel.ru
  • garmin.ru
  • gracy.ru
  • groupprice.ru
  • helptomama.ru
  • holodilnik.ru
  • icases.ru
  • just.ru
  • korablik.ru
  • krasotkapro.ru
  • lacywear.ru
  • lancome.ru
  • laredoute.ru
  • leomax.ru
  • lifeessence.ru
  • mircli.ru
  • mi-shop.com/ru
  • moedelo.org
  • msk.kassir.ru
  • nebo.ru
  • netology.ru
  • niyama.ru
  • nozhikov.ru
  • ochkov.net
  • ogo1.ru
  • originalam.netkorablik.ru
  • pampik.com
  • parter.ru
  • pichshop.ru
  • printbar.ru
  • ps-box.ru
  • pudra.ru
  • ru.benetton.com
  • sendflowers.ru
  • shop.highscreen.ru
  • shop.laroche-posay.ru
  • shop.misslo.com
  • shop24.com
  • spb.kassir.ru
  • s-shina.ru
  • stolplit.ru
  • store77.net
  • thefurnish.ru
  • tickets.by
  • tickets.kz
  • tickets.md
  • tickets.ru
  • tickets.ua
  • topbrands.ru
  • topradar.ru
  • toy.ru
  • tutu.ru
  • urbandecay.ru
  • utkonos.ru
  • vamsvet.ru
  • vichyconsult.ru
  • vselaki.ru
  • wittchen.ru
  • yakaboo.ua
  • zdravzona.ru

Мы понимаем, в некоторых случаях из списка выше Clickunder «разрешен по согласованию», но все же агентствам или CPA сетям стоит отдавать себе отчет, на каком трафике они разрешают данный инструмент и какие коды они включают на сайтах своих клиентов.

***

В этой статье мы провели «ручной» поиск Clickunder-а и поиск его источника, система мониторинга Admon умеет в автоматическом режиме выявлять Clickunder. Мы готовы к сотрудничеству со всеми заинтересованными компаниями и готовы предоставить по возможности логи и треки переходов, подтверждающие фрод, также видео доказательства, если это возможно.