Incidents associés
Cette histoire commence avec Sidney Crosby. Un joueur de hockey professionnel et une icône canadienne. Je ne peux ni confirmer ni nier que j'ai jailli comme un petit enfant à l'affichage "Golden Goal" du Temple de la renommée du hockey (je n'oublierai jamais que moment). Alors imaginez ma surprise lorsque j'effectuais une enquête et que j'ai été distrait par cette publicité :
Maintenant, je peux déjà te voir rouler des yeux. Ça a l'air un peu scammy n'est-ce pas? Le problème est que j'ai regardé le domaine de la publicité et j'ai vu ctvnews.ca qui est une agence de presse réputée au Canada. Cela m'a bien sûr fait penser que quelque chose n'allait pas avec Sid. Alors j'ai cliqué. Ouais. Je l'ai sûrement fait.
Vous remarquerez donc que cela ressemble énormément à ESPN, pas du tout à CTV News. Non seulement cela, mais le domaine ** espn.l1dh.com ** ne me laisse pas exactement le sentiment d'avoir atterri sur le site d'ESPN non plus. En faisant défiler la page plus bas, nous voyons les publicités inévitables pour les suppléments.
Il est donc clair que ce n'est pas ESPN et Sid the Kid n'approuve pas ce supplément. Au bas de la page, vous pouvez voir la "preuve sociale" des personnes recommandant le produit. Effectuons une recherche rapide d'images inversées pour voir s'il s'agit de vraies personnes. Charles Barrott est la cible de notre recherche dans cette affaire :
Cela inversera la recherche Google pour cette image exacte. Et voilà, cela s'avère être Sam Muirhead, un cinéaste.
D'accord. On peut s'arrêter là. De toute évidence, quelqu'un a compris comment jouer avec le système Facebook afin de diffuser des publicités qui semblent mener à un endroit (ctvnews.ca) et qui mènent finalement à un endroit très différent. Non seulement cela, mais ils utilisent à plusieurs reprises des noms de marque, des termes et de fausses informations pour vendre des produits. Cela enfreint un certain nombre de politiques publicitaires de Facebook. Je suppose que vous vous inscrivez à «l'essai gratuit» et que vous allez vous faire piquer une fois par mois à vie. Ou pire.
Qu'est-ce qui se passe ici?
À ce stade, je me demande à quelle fréquence les fraudeurs utilisent cette technique d'appât et de commutation. Pourrait-il s'agir simplement d'un fraudeur ponctuel qui a pu tromper Facebook et j'ai eu la chance de l'attraper ? Je me suis tourné vers mon propre index Hunchly. Hunchly vous permet d'effectuer une recherche en texte intégral sur toutes les pages capturées que vous avez consultées pendant que Hunchly était activé. En regardant les publicités Facebook, il y a toujours le mot-clé "Sponsorisé" dans le HTML donc une recherche rapide comme celle-ci :
url:facebook.com\* sponsorisé
Effectue une recherche en texte intégral pour toutes les URL de facebook.com contenant le mot-clé "sponsorisé". Cela a généré une pile de visites (j'ai environ 5 000 pages dans mon index), comme vous vous en doutez puisque la plupart des pages Facebook contiennent des publicités sponsorisées. J'ai commencé à chercher dans diverses pages archivées et j'ai trouvé une page que j'avais consultée lors d'une enquête le 11 décembre 2015, il y a environ 6 mois.
J'ai consulté la page dans Hunchly et j'ai vu une annonce qui semblait suspecte uniquement sur la base de la copie de l'annonce. Le domaine affiché est pour btmontreal.ca, qui est un site de nouvelles légitime. J'ai commencé à sentir la fumée.
Étant donné que Hunchly dispose d'une copie en direct de la page entière, tous les liens sont conservés. Je passe la souris sur l'annonce pour voir où le clic me mènera réellement et je vois que l'URL affichée en bas de Chrome ne correspond pas à btmontreal.ca. Nous avons un autre hit. Maintenant je vois le feu. Plutôt que de cliquer sur le lien, je fais un clic droit et le copie dans un éditeur de texte.
C'est une grosse goutte désordonnée, et si vous voyez tous ces petits %, cela vous indique que l'URL est encodée. Vous pouvez facilement trouver un [décodeur d'URL en ligne] (http://meyerweb.com/eric/tools/dencoder/) dans lequel vous pouvez le coller et le premier élément que vous verrez est celui-ci :
https://www.facebook.com/a.php?u=http://goo.gl/UssPDm&
Le premier bit est le gestionnaire de publicité Facebook, et la partie en gras est l'URL de destination de l'endroit où vous atterrissez après avoir cliqué. Je l'ai coupé au premier "&" pour que nous ayons juste l'URL Google raccourcie. Cela nous amène à la prochaine partie de notre enquête.
Analyser les URL Google raccourcies
Le raccourcisseur d'URL Google fonctionne comme n'importe quel autre service de raccourcissement comme bit.ly. Vous entrez une grande URL et elle crache une petite URL. Ce qui est cool avec le raccourcisseur d'URL de Google, c'est qu'il vous fournit des analyses afin que vous puissiez voir comment une URL raccourcie a été consultée et combien de fois.
Alors, comment trouvez-vous ces merveilleuses analyses ?
Il vous suffit d'ajouter .info à la fin d'une URL Google raccourcie et vous serez redirigé vers une page contenant les données :
Nous pouvons donc voir qu'il y a eu 26 812 clics via cette URL raccourcie et si vous survolez le graphique en anneau, vous verrez qu'il y en a eu 11 246 confirmés sur Facebook. C'est beaucoup de clics. Les clics "inconnus" pourraient être un cas où les navigateurs ne transmettent pas l'en-tête HTTP Referer, mais je ne peux pas le confirmer. Ce que nous pouvons voir sur le graphique d'activité, c'est que la campagne n'a duré qu'une période relativement courte avant de s'arrêter. À la décharge de Facebook, cela peut signifier qu'ils ont détecté cette fraude ou que quelqu'un a signalé les publicités. Cela pourrait également signifier que le fraudeur a gagné suffisamment d'argent et a décidé de renflouer la campagne et de démolir toutes ses infrastructures. Difficile de confirmer de toute façon.
Nous voyons également que l'URL de destination (qui est maintenant morte) est :
http://dftrack6.com/?i0g51dkl&s1=sc\_hgould\_ca\_ll
Il n'y avait pas de copies en cache du site, et comme je n'ai pas cliqué sur les liens lorsque je l'ai consulté pour la première fois en décembre, je n'avais pas de copie de la page de destination stockée dans mon index Hunchly. Nous n'avons donc pas suffisamment de preuves pour montrer que nous avons une page de destination frauduleuse, mais si vous creusez dans le domaine dftrack6.com, vous verrez rapidement qu'il semble suspect.
Le point principal a cependant été prouvé : les fraudeurs peuvent créer des annonces qui semblent pointer vers des sites légitimes, puis générer des dizaines de milliers de clics vers leurs pages de destination. Facebook est apparemment endormi au volant, et malheureusement, j'ai l'impression que l'utilisateur général de Facebook et les consommateurs dans leur ensemble en sont victimes.
À quel point cela peut-il être difficile ?
Il était maintenant temps pour moi de mettre tout cela à l'épreuve. Je vais utiliser la publicité locale et cibler, eh bien, seulement moi. J'ai utilisé mon code postal, mon âge et je l'ai configuré pour que les publicités ne soient diffusées que pour les personnes connectées à la fois à ma page AutomatingOSINT.com et à la page Facebook Hunchly.
Pendant une minute, j'aimerais que vous réfléchissiez à la capacité de faire ce ciblage dans une perspective de harponnage. Effrayant n'est-ce pas?
J'ai configuré mon annonce pour qu'elle soit diffusée sur la page Hunchly et l'URL de destination pour https://www.hunch.ly, mais j'ai défini l'URL à afficher sur www.cnn.com. Ainsi:
Bien sûr, c'est vraiment une chose insensée du point de vue du réseau publicitaire. Si vous essayiez cela dans Google AdWords, vous seriez ri de votre compte. Il n'y a aucun autre indicateur dans l'annonce qui indique à l'utilisateur qu'il est destiné à www.hunch.ly. Tout utilisateur normal verra simplement www.cnn.com et pensera qu'il se dirige vers un domaine de confiance. Combien d'utilisateurs de Facebook vérifient réellement le bas de la fenêtre de leur navigateur chaque fois qu'ils survolent un lien ? Pas beaucoup.
Je digresse.
Tout va bien, mais bien sûr, je dois faire passer l'annonce par le processus d'approbation de Facebook. Ils doivent sûrement comprendre que l'URL de destination n'est même pas proche de l'URL affichée. Ils doivent sûrement voir à quel point cela serait mauvais pour le consommateur moyen ou l'utilisateur de Facebook.
Avec un grand bruit sourd, notre annonce est approuvée et nous pouvons même voir le merveilleux aperçu, avec une URL à afficher de cnn.com :
Une fois l'annonce lancée, je l'ai immédiatement désactivée. Je suis sûr que si quelqu'un de Facebook lit cet article et est arrivé jusqu'ici, mon compte publicitaire sera rapidement suspendu.
Conclusion
Dans le monde de la sécurité, nous nous efforçons depuis longtemps de nous assurer que les produits deviennent plus « sécurisés par défaut ». Cela signifie que peu importe à quel point un utilisateur en sait peu, il est protégé au mieux dès le premier jour. Bien que nous soyons tous conscients qu'il existe des moyens de commettre une fraude via les réseaux publicitaires, dans de nombreux cas, cela nécessite de nombreuses astuces ou un niveau de sophistication relativement élevé. Google AdWords est extrêmement vigilant lorsqu'il s'agit de placer une nouvelle annonce (allez l'essayer) pour vous assurer que vous ne faites rien de suspect. Bien qu'AdWords ne soit pas un système parfait, comme pour tout ce qui concerne la sécurité, l'idée est de placer la barre suffisamment haut pour que seuls les fraudeurs les plus sophistiqués puissent déjouer le système.
Il manque à Facebook une simple vérification qui met les utilisateurs en danger. Nous ne parlons pas d'améliorer ou de peaufiner un algorithme anti-fraude sophistiqué. En fait le code ressemble à ceci :
si (display_domain == landing_page_domain)
{
Approve_ad = vrai ;
} autre {
Approve_ad = faux ;
}
Maintenant, ce que j'aimerais que vous fassiez, c'est de vérifier votre propre compte Facebook pour les publicités sponsorisées. Pointent-ils vers le domaine qu'ils disent faire ?
Si ce n'est pas email me vos conclusions, j'aimerais commencer à collecter des statistiques ou à voir des enquêtes dérivées pour voir à quel point ce problème est vraiment répandu.