Table des matières de l'article :
Introduction
En mars, nous avons reçu des rapports d'un de nos clients laleggepertutti.it qui s'est plaint de clics frauduleux et réductions de paiements associées par les agences de publicité.
Nous avons enquêté sans difficulté, laissant la tâche en suspens pendant environ une semaine afin de permettre un système de journalisation plus détaillé et de collecter plus de données que les données standard et de mieux comprendre le problème dont se plaint le client.
Providential était un deuxième rapport d'un autre de nos clients et webmaster Matteo Morreale di Jablabs.it que se plaindre du même problème décrit ci-dessus, grâce à sa collaboration, nous a permis de croiser les données et de faire une analyse différentielle va identifier le problème de manière extrêmement détaillée, en arrivant à identifier les auteurs de la source IP des clics frauduleux sur les ADS des sites respectifs.
Analyse
De l'analyse effectuée, il ressort qu'une classe IP se situe dans la gamme 176.126.83.0:176.126.83.255 – XNUMX:XNUMX était l'accusé et l'auteur des faux clics, très probablement à l'aide de systèmes de bots ou d'automatisations équivalentes.
La classe IP en question telle que rapportée par le whois suivant :
% Informations relatives à '176.126.83.0 - 176.126.83.255'% Le contact d'abus pour '176.126.83.0 - 176.126.83.255' est 'info@oneprovider.com' inetnum: 176.126.83.0 - 176.126.83.255 netname: OneProvider descr: OneProvider country : IT org: ORG-OA765-RIPE admin-c: CP10803-RIPE mnt-domains: dagroup tech-c: CP10803-RIPE status: ASSIGNED PA mnt-by: dagroup mnt-by: ONEPROVIDER mnt-by: MNT-SEFLOW créé : 2016-07-21T17: 32: 21Z dernière modification: 2016-12-01T21: 19: 31Z source: RIPE organisation: ORG-OA765-RIPE org-nom: ONEPROVIDER org-type: OTHER adresse: 1500 Ste-Rose, H7S 1S4, Laval, Canada abuse-c: ACRO410-RIPE mnt-ref: WILLIAM-MNT mnt-ref: dagroup mnt-by: ONEPROVIDER créé: 2016-03-07T23: 08: 42Z dernière modification: 2017-02-03T15 : 51: 44Z source : RIPE # Personne filtrée : Charles-R Paquet adresse : 1500 Ste-Rose, H7K 1S4, Laval, Canada téléphone : +1.5142860253 10803 nic-hdl: CP2016-RIPE mnt-by: ONEPROVIDER créé: 08-04-12T08: 28: 2016Z dernière modification: 09-22-13T12: 59: 176.126.83.0Z source: RIPE% Informations relatives à '24/49367AS176.126.83.0 'route: 24/49367 origine: AS2016 mnt-by: SEFLOW-MNT mnt-by: MNT-SEFLOW créé: 08-04-22T45: 27: 2016Z dernière modification: 08-04-22T45: 27: XNUMXZ source : MÛR
appartient à Un fournisseur, hébergeur canadien présent sur différents continents tel que celui européen qui s'occupe de la fourniture et de la location de services d'hébergement, Serveurs Dédiés et nuage.
Plus précisément, si vous regardez le whois précédent plus en détail, il apparaît comme la classe bien qu'assignée à OneProvider, est géré au niveau du transit (Transit ed) ou du fournisseur de connectivité, par un fournisseur italien à Cologno dans la province de Lodi appelé SeFlow.
Bien sûr, nous avons contacté le fournisseur de connectivité italien SeFlow se plaindre d'activités frauduleuses d'IP qui avaient des références à leur société d'hébergement, soumettant un PEC et obtenant en réponse ce que nous avions déjà déduit du whois précédent.
Cher Marco,
merci d'avoir contacté le service SeFlow SOC.Les adresses IP que vous avez indiquées ne sont pas utilisées par SeFlow. Comme vous pouvez le voir en interrogeant la base de données RIPE,
https://apps.db.ripe.net/db-web-ui/query?searchtext=176.126.83.250
la société propriétaire est One Provider (sur le lien ci-dessous vous pouvez trouver les références)https://apps.db.ripe.net/db-web-ui/lookup?source=ripe&key=ONEPROVIDER&type=mntner
SeFlow (parmi les nombreuses sociétés de transit IP qu'ils possèdent) n'est qu'un de leurs fournisseurs de connectivité.
Nous vous invitons donc à communiquer l'abus à One Provider, société usufruitière et propriétaire des adresses IP que vous avez indiquées.Nous restons à votre disposition pour toute précision
Cordialement
Cliquez sur la solution de fraude
Bien qu'ayant signalé le problème à OneProvider e ne pas avoir l'intention d'attendre une réponse de leur part (entre autres, jamais arrivé) qui auraient pu ouvrir des scénarios hypothétiques de légitimité ou non de la demande sur un hébergeur canadien, non italien ou même européen (l'activité de clic frauduleux est en fait d'interprétation douteuse car il n'y a pas de référence législative spécifique ayant une valeur globale) nous avons décidé de lutter pour interdire la classe IP '176.126.83.0 - 176.126.83.255' au niveau du serveur utilisant le très courant iptables (pare-feu par défaut des systèmes GNU/Linux) gratuit et présent dans toutes les distributions du célèbre système d'exploitation Open Source.
La syntaxe est vraiment très simple, et il suffisait de lancer la commande suivante depuis le shell linux (et avec les privilèges root), pour voir tout le trafic de cette plage bloqué :
iptables -A INPUT -s 176.126.83.0/24 -j DROP
La syntaxe est évidemment spécifique aux systèmes GNU/Linux mais techniquement, la même approche, bien qu'avec des commandes et une syntaxe différentes, peut être appliquée à l'aide de n'importe quel pare-feu matériel ou logiciel et de n'importe quel système d'exploitation.
Solution pour les hébergeurs non coopératifs.
Il faut présumer que bien que cette commande puisse être donnée sans aucun problème sur n'importe quel fournisseur qui vous accorde la possibilité de gérer un pare-feu, ou toute instance dédiée avec des privilèges administratifs (root dans le cas des systèmes GNU/Linux), elle peut présenter difficultés importantes mais non insurmontables si le site victime de clics frauduleux est hébergé chez un hébergeur mutualisé (hébergement mutualisé) qui fédère en un seul serveur de nombreux autres clients ainsi que votre site.
Il est incontesté (bien que discutable) de dire que bloquer une plage d'IP au niveau du serveur (donc non seulement pour votre site mais aussi tous les autres hébergés sur le même serveur) peut être interprétable et sujet à discussion, comme ce qui pourrait être bien pour un client, cela ne doit pas nécessairement être pour tout le monde.
De nombreux fournisseurs pourraient en effet saccager votre demande légitime, avec une motivation plus que légitime en faisant appel à la neutralité du net plutôt qu'à une « paresse » moins professionnelle et moins motivée.
Cependant, si vous décidez de ne pas migrer le site vers un autre hébergeur pouvant vous garantir la mise en place de règles de pare-feu spécifiques pour bloquer ce type d'activité frauduleuse, vous pouvez toujours recourir à des solutions spécifiques pour le serveur web qui vous permettront de bloquer l'infraction gamme, par exemple en utilisant les règles .htaccess pour les serveurs web Apache ou LiteSpeed.
Pour bloquer la plage spécifique, ajoutez ce qui suit au fichier racine .htaccess de votre site :
Refuser de 176.126.83.0/255.255.255.0
Si vous utilisez un autre serveur web tel que NGINX vous devrez obligatoirement utiliser votre hébergeur ou les fonctionnalités présentes (si activées) dans certains panneaux de contrôle comme Plesk / cPanel / Directadmin (pour ne citer que les plus connus) et appliquer le bloc de la gamme .
Pour ceux qui utilisent CloudFlare ou ont l'intention de le faire, vous pouvez appliquer la règle directement depuis leur panneau de configuration dans la section Pare-feu, puis Règles de pare-feu de cette manière :
Bref, les solutions peuvent être très variées et essentiellement liées au type de système dont vous disposez et aux compétences associées pour mettre en œuvre le blocage des IP auteurs de clics frauduleux.
En cas de doutes ou d'hésitations, l'assistance d'un personnel technique qualifié vous mettra certainement en mesure d'opérer en toute sécurité afin d'éviter les problèmes dérivant d'une mauvaise application des règles de filtrage.
Quelques considérations à ce sujet.
Jusqu'à présent nous avons parlé en termes techniques absolus et irréprochables, cependant nous nous sentons en droit d'émettre des hypothèses sur les raisons de cette activité frauduleuse au détriment des annonceurs et des éditeurs qui se retrouvent avec des coupes importantes sur les mensualités des concessionnaires.
S'ensuit donc des considérations personnelles, dictées par le bon sens et par des raisonnements les plus logiques possibles visant à identifier le mobile de cette activité frauduleuse.
Etant donné qu'avoir une structure de serveur avec une classe C d'IP dédiées implique un investissement économique, certes pas très élevé (on est de l'ordre de quelques centaines d'euros) mais en tout cas pas gratuit, on se demande quel est l'avantage personnel de ceux qui investissent des ressources, de l'argent et de leur temps pour mettre en place des bots qui cliquent frauduleusement sur les ADS des sites clients.
Considérant qu'il n'y a aucun moyen d'obtenir un avantage économique direct de cette activité, il est incontestable que l'avantage obtenu peut au contraire être indirect.
L'une des raisons, en effet, pourrait être celle d'une stratégie visant à générer du mécontentement chez les propriétaires de sites Web qui, étant réduit de sommes importantes dans le paiement mensuel (même supérieur à 50%) dans la rubrique "Trafic invalide", pourrait attirer le propriétaire du site pour passer à des circuits publicitaires alternatifs.
En fait, cela peut être une sonnette d'alarme de recevoir une proposition spontanée d'un circuit publicitaire alternatif après un ou deux mois de clics frauduleux.
Cela ne prouverait certainement pas une implication directe dans des activités frauduleuses de génération de clics, mais cela laisserait place à des soupçons raisonnables, quoique purement indicatifs, sur ce qui a pu se passer et comment la sortie apparente fait en réalité partie du piège lui-même.
Un exemple concret sur un de nos clients
Voici par exemple ce qui est arrivé à Anna entre le 10 et le 11 mai 2021 (l'identité complète a été censurée pour des raisons de confidentialité) qui a vu son blog de plus de 1,5 million de visiteurs par mois (qui traite de sujets médicaux) étant bombardée de clics sur les ADS Google Ads, arrivant à ne pas monétiser et voyant le compte publicitaire Google suspendu.
Le contenu de la demande était absolument alarmant car la cliente s'est vite retrouvée dans l'impossibilité de poursuivre la monétisation d'un trafic authentique, gâchée par de faux clics sur les bannières Google (Click Fraud) et se voyant donc fragiliser une entreprise jusque-là sereine et florissante.
Nous avons bien évidemment compris la suggestion de la cliente qui, même si elle n'avait pas de compétences techniques dans le domaine des réseaux et de l'Internet, avait certainement au moins deviné la logique de se protéger.
Nous avons donc proposé une solution adéquate en proposant un service à valeur ajoutée important que nous offrons à nos clients.
Nous avons travaillé en implémentant plusieurs règles sur le pare-feu d'application Web, en créant un « combo sélectif » afin de filtrer de manière extrêmement sélective le trafic réel du trafic de bot en raison de faux clics.
Après quelques réinterprétations et modifications des règles, nous avons invité le client à tester après quelques heures la qualité effective des filtres mis en production et la solution du problème.
Le client nous a répondu en fin de soirée en partageant la joie de voir enfin cette vilaine attaque au détriment de sa sérénité et de ses affaires cesser.
Il est évident qu'au-delà du simple retour économique de notre service, voir un client satisfait et ravi n'a pas de prix.
Conclusions
Quelles que soient les raisons réelles des activités de clics frauduleux qui bombardent votre site, réduisant non seulement votre paiement mensuel mais également votre tranquillité d'esprit personnelle, notre conseil est d'arrêter le problème en bloquant les adresses IP qui se réfèrent à la plage indiquée. dessus.
En effet, bloquer toute activité frauduleuse à votre encontre, c'est non seulement appliquer la meilleure solution pour vous-même mais aussi pour tous les propriétaires de sites qui, à ce jour, ignorant le phénomène, continuent d'être les victimes silencieuses de ces activités, certainement condamnées à au moins sur le plan éthique et moral. , en espérant qu'avec la collaboration et la synergie de tous les professionnels et non, ce problème sera définitivement éradiqué jusqu'à présent.
