Атака на кампанию в Директе

1 23
I2
На сайте с 12.06.2020
Offline
2
#21
s2709:
90% - это ваши ошибки
и 10% - новый вид склика

Вы не из первой линии техподдержки Яндекса? :)

Вот отфильтрованная статистика моего сервера по полученным визитам с меткой yclid. IP: 90% HEITZNER, 10% OVH, думаю, эти слова Вам знакомы...

IP кол-во обращений

138.201.193.22 43

138.201.254.94 10

94.130.39.46 9

138.201.192.241 9

94.130.36.36 8

88.99.22.149 7

138.201.136.66 7

138.201.136.67 7

138.201.254.105 7

138.201.255.13 7

138.201.47.98 6

94.130.36.40 6

54.37.234.58 6

5.9.116.25 6

88.99.130.99 4

138.201.137.20 4

94.130.36.39 3

94.130.36.28 3

54.37.234.59 2

62.210.188.216 1

46.229.168.136 1

Общий итог 156

Я временно отключил Firewall своего сервера для некоторых проблемных IP из Германии в надежде, что моя защита их пропустит, у пользователя загрузится страница, и счётчик передаст информацию по этому визиту в Метрику для анализа.

Однако, мои ожидания не оправдались. В логах моего Appache сервера действительно отразились запросы с меткой yclid от проблемных IP, но в Метрике этих визитов нет!

Кроме того, по логам моего сервера видно, что при запросе страницы далее не следует запроса вложенного на этой странице контента (css, js, картинок и прочего)!!!

Это говорит лишь о том, что на стороне пользователя эти yclid были запрошены не через обычный браузер (даже если отключены куки и js, то картинки должны подгружаться!), а эти обращения были просто одиночным запросом по HTTP HTML кода страницы, без его интерпритации браузером!!!

Стоит всего лишь проанализировать предоставленные мною в ТП Яндекса yclid, и я уверен на миллион процентов, что IP, браузер, операционка и страна не совпадут между запросом, кликом и фактическим визитом на мой сайт. И так по всем yclid из отправленного им лога...

Это говорит о том, что злоумышленник запрашивает поиск скорее всего с российского прокси (возможно даже airsocks), затем "вытягивает" с выдачи ссылку на моё объявление вида http://yabs.yandex.ru/count/..., передаёт эту ссылку на "серый" сервер в Германии, откуда программно ЭМУЛИРУЕТ клик по этой ссылке, чтобы получить yclid. В результате фиксируется ОДИН HTTP запрос с yclid на моём сервере, НО фактически страница не загружается (контент не запрашивается, счётчик инфу в Метрику не отправляет).

Поясню, чего добивается этим злоумышленник:

1. Я не вижу истинных IP, с которых ЗАПРАШИВАЛАСЬ поисковая фраза и инициировался ПОКАЗ результатов поиска (выдача). Это не даёт мне возможности заблокировать эти IP в настройках кампании Директа. Я могу заблокировать IP, с которых КЛИКАЮТ, но зачем мне это? Мне надо, чтобы НЕ ПОКАЗЫВАЛОСЬ!

2. Используя российские прокси для ПОИСКА (показа) злоумышленнику не нужно заморачиваться с изменением региона показа в браузере.

3. Используя зарубежные IP (сервера) он затрудняет мне обращение к хостеру для воздействие на него.

4. Используя единичное обращение к моему сайту не через браузер, а просто загрузкой HTML кода страницы он не отправляет статистику в Метрику, зная, что Яндекс требует для разбирательства именно это, и затрудняет обращения к ним.

5. Не видя реальных IP с которых были запросы на поиск я не могу обратиться в правоохранительные органы.

За 16 июля таких "левых" визитов по логам моего сервера - минимум 27 (это то, что я нашёл за 10 минут беглого анализа). При этом, Яндекс признаёт недействительными по статистике - 13 (включая другие виды склика)!!!

Очевидно, что 200 фильтров отлавливают часть злобных действий, но всего ещё 2 фильтра позволили бы свести практически на "нет" указанную мною схему мошенничества.

Необходимо признавать недействительными клики, если (одно из):

1. Параметры визита, инициировавшего поисковый запрос (IP, браузер, ОС) не совпадает с параметрами (IP, браузер, ОС) при получении yclid - клике.

2. yclid выдан (клик прошёл), но в Метрику по нему сведения о визите на сайт не переданы. Здесь, конечно, возможны махинации со стороны рекламодателя, но уверен, что Яндекс придумает, как с этим справиться. По крайней мере такой клик должен быть сразу под подозрением.

ТП Яндекса не понимает, или делает вид, что не понимает сути вопроса. Ссылаются на то, что не видят этих IP в статистике ни Директа ни Метрики. ЕСТЕСТВЕННО!!! Т.к. в Директе висят IP российских прокси, с которых был запрос на показ, а в Метрике этих данных нет, т.к. счетчик не загружался!

s2709:
но очень часто поисковые запросы по которым идут показы очень похожы что сформированы роботом
а в конечном итоге это показы на каких нить яндекс картинках, яндекс картах и т.д.

В запрещённых к показу площадки на поиске: collections.yandex.ru, m.uslugi.yandex.ru, images.yandex.ru, m.images.yandex.ru

Расширенный геотаргетинг отключен

Кампания таргетирована исключительно на РФ

"Мусорные" слова в запросе видно, когда они генерятся роботами, а когда приписываются специально к правильному ключу.

B
На сайте с 29.03.2003
Offline
132
#22

Столкнулся с аналогичной ситуаций.

очень заинтересовал 5 пункт...с удовольствием воспользовался бы, но возникают 2 вопроса. Какая эта статья ?  второе, Будут ли что то органы  предпринимать в реальности ? 

6nick9
На сайте с 05.05.2014
Offline
58
#23
baracuda #:

Столкнулся с аналогичной ситуаций.

очень заинтересовал 5 пункт...с удовольствием воспользовался бы, но возникают 2 вопроса. Какая эта статья ?  второе, Будут ли что то органы  предпринимать в реальности ? 

Можно подвести под недобросовестную конкуренцию и впаять конкурентам большой штраф. Но нужен опытный юрист.

N
На сайте с 18.07.2013
Offline
54
#24
6nick9 #:
Можно подвести под недобросовестную конкуренцию и впаять конкурентам большой штраф. Но нужен опытный юрист.

Еще доказать надо что это конкурент делает, а не по его заказу кто-то. 

Наличие мобильных ай-пи ровным счетом ничего не даст. Что делать с этой динамикой? Блокировать на уровне сервака диапазоны вместе с реальными? Толку то нуль, т.к. на клик на поиске будет все равно зачитан и не факт что признан фродом.

Кто стоит за этим скликом не вычислить, фермы проксей, непонятно на кого регистрированные симы и т.д.  Только догадывайся сам.

Более того, исходя их проблемы топикстартера, я бы не стал это называть проблемой, т.к. Вас пока только зацепило. Если бы Вы попали в полный прицел кликера, то Вы бы вообще не получали никаких реальных кликов по директу и Вас бы сливали в нуль. 

Проблему не решить от слова совсем - яндекс не дает блокировать диапазоны сетей. Это ему выгодно по понятным причинам. Или Вы думаете что рубанут свои же доходы с рекламы? 

anchous
На сайте с 12.10.2010
Offline
139
#25
Inkognito23 #:
5. Не видя реальных IP с которых были запросы на поиск я не могу обратиться в правоохранительные органы.
кек... а чо, уже клик по директу без лида является административкой, или сразу тяжкая уголовка с содержанием в черном дельфине?
Купить быстрые анонимные прокси в России, Европе и США (http://proxy4seo.net/)
anchous
На сайте с 12.10.2010
Offline
139
#26
6nick9 #:
Можно подвести под недобросовестную конкуренцию и впаять конкурентам большой штраф. Но нужен опытный юрист.
ага, опытный юрист просто распишет огромный штраф на всех участников аукциона в нише


а так, по теме, попробуйте турбо страницу, на ней яндексовый антифрод получше отрабатывает, чем на внешнем домене
1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий