Dziś przyszedł kolejny spam z gatunku redirect by Google. Tym razem zrobiłem eksperyment i zmieniłem trochę URLa poprawiając parametr addurl:
http://www.google.net/pagead/iclk?sa=l&ai=kpjzl&
num=40359&adurl=http://kpjk.changereach.com
na
No i proszę – przekierowanie działa. Oznacza to, że można wykorzystać dowolny link z reklamy AdSense, przerobić i rozsyłać, rozsyłać czekając na kliknięcia.
Pytanie jest jedno – czy Google kogoś za to kliknięcie obciąża? Bo jeśli tak, to spamer może osiągnąć podwójną korzyść, raz że ma darmowy redirect od Googla (a na pewno taki link do http://google.com w mailu ma większą skuteczność niż do jakiejś nieznanej domeny) a jeśli wykorzysta id reklamy jakiegoś konkurenta może mu zdecydowanie podnieść koszty.
Dziwi mnie to a jednocześnie wiem skąd się to bierze :) URL z AdSense są generowane przez Google, więc podczas ich tworzenia pewnie komuś nie przyszło do głowy, że może to zostać wykorzystane w złych celach. Jak widać są na Ziemi rzeczy, które… :)) Paranoja czasem się przydaje :)
Wydaje mi się, że jest to jednak dość proste do wychwycenia przez Google. Otóż, kliknięcie w reklamę w AdSense, powinno mieć HTTP Referera ustawione, w przypadku klienta poczty (taki jak Thunderbird) będzie to raczej 'direct hit’. Co prawda, korzystający z webmaili już będą mieli ustawionego Referera ;) a przy popularności webmaili…
Jakiś tam (niewielki) procent użytkowników nie ma referera, bo blokują to ich firewalle, a Google raczej nie może sobie pozwolić na żadne działania, w wyniku których nie będzie naliczane wynagrodzenie dla dostawców powierzchni reklamowych. Choćby to miałby być 1% kliknięć.
Innym rozwiązaniem może być dodawanie do linka tokenu, generowanego jakimś hashem na podstawie URL oraz znanego tylko Googlowi ciągu znaków. Jeśli URL nie będzie zgodny z tokenem, nie nastąpi przekierowanie (ani naliczenie opłat za kliknięcie). Jeśli sekretny ciąg znaków będzie się regularnie zmieniał, nie ma szans na jego rozkodowanie o ile algorytm hashujący będzie sensowny.
Oczywiście można to próbować obejść generując legalnie link wraz z tokenem w aplikacji Google dla reklamodawców, ale tutaj można właśnie zaprząc do roboty referery i zliczać odsetek kliknięć w dany link bez referera. Jeśli będzie nienaturalnie wysoki, będzie podejrzenie spamu mailowego i można taki link lub wręcz całe konto reklamodawcy automatycznie deaktywować do momentu wyjaśnienia.
@Bartek
Zgadzam się w całej rozciągłosci :)
Ale można było tego chyba w ogóle uniknąć – sądzę, że adres na jaki ma być przekierowanie nie powinien być w ogóle częścią URLa. Powinien to być jakieś ID, z którym jest związany adres do przekierowania, który zna już tylko Google.