.
Os golpistas que usam o Google Ads, artigos de blog roubados e um esquema de anúncios “popunder” em sites adultos arrecadaram mais de US$ 275.000 por mês, gerando milhões de impressões de anúncios todos os meses.
É o que dizem os pesquisadores do fornecedor de segurança cibernética Malwarebytes, que afirmam que os fraudadores foram capazes de usar pessoas que visitam sites adultos de alto tráfego para gerar impressões de anúncios e dinheiro, mesmo que esses indivíduos nunca tenham visto nenhum dos anúncios.
É aí que entram os anúncios popunder. Popunders altamente econômicos são semelhantes aos anúncios pop-up, pois são lançados quando um usuário clica em um site. Enquanto os anúncios pop-up aparecem na página principal visualizada pelo usuário, popunders são exibidos atrás da página principal.
O usuário verá a página popunder e seus anúncios depois de fechar a guia do navegador usada para visualizar um site. O objetivo dos editores do Popunder é preencher a página de destino com conteúdo interessante para capturar a atenção do usuário e manter o fluxo de impressões do anúncio.
É um modelo de publicidade online comum e legítimo que existe há pelo menos uma década. De acordo com o Malwarebytes, o conteúdo popunder comum para a indústria adulta inclui anúncios de serviços de namoro online, webcams para adultos ou outros portais para adultos.
Dado o alto tráfego de muitos sites adultos, não é segredo que eles são atraentes para os desenvolvedores de anúncios populares.
Nesse caso, a página popunder parecia uma página legítima mostrando blogs de instruções e dicas para proprietários de imóveis copiados e roubados de outros sites. No entanto, sobreposto a essa página havia um iframe promovendo outro site adulto que cobria a página popunder e a mantinha fora de vista, escreveu Jerome Segura, diretor sênior de inteligência de ameaças da Malwarebytes, em um relatório.
“Não apenas isso, mas a página também atualiza seu conteúdo em intervalos regulares, para veicular um novo artigo, ainda oculto com a sobreposição XXX para monetizar ainda mais no Google Ads”, escreveu Segura. “Isso acontece sem o conhecimento do usuário, pois a guia foi lançada como um popunder.”
Uma vez na página do iframe Txxx, o usuário pode clicar em um vídeo ou miniatura, o que aciona um clique real em um anúncio do Google na página popunder abaixo, escreveu ele. Em média, havia cerca de cinco anúncios do Google por página pop-under.
Mas clicar no anúncio não é a única maneira de os golpistas ganharem dinheiro. O simples carregamento de um anúncio na página popunder cria impressões de anúncios pelas quais as redes também pagarão. O usuário nunca precisa ver a página popunder para que os golpistas sejam pagos.
Um indício de que se tratava de uma campanha fraudulenta foi a presença do Google Ads na página do iframe, segundo Segura. A política do Google não permite anúncios do Google em sites que exibem conteúdo adulto.
“Acabou sendo uma maneira inteligente de esconder um blog falso carregado com muito mais anúncios, a maioria deles escondidos atrás de um iframe pornográfico em tela cheia”, escreveu ele. “À medida que visitantes desavisados acionam a página de destino do popunder e continuam navegando em sua outra guia, o site isca é constantemente atualizado com novo conteúdo e, claro, novos anúncios, gerando milhões de impressões de anúncios por mês.”
Extraindo números para o site chamariz do site de análise de tráfego Similarweb, o Malwarebytes encontrou quase 300.000 visitas por mês e mais de 50 páginas visualizadas por visita. O tempo médio de duração de um visitante no site foi inferior a oito minutos.
“Como um ser humano pode realmente navegar e ler 51 artigos em uma média de sete minutos e 45 segundos?” ele perguntou. “A resposta é simples: não. O usuário provavelmente está ocupado cuidando de seus próprios negócios na outra guia ativa, enquanto a página popunder recarrega constantemente novos artigos junto com os anúncios do Google.”
O anúncio popunder gerou muito dinheiro para os fraudadores. O custo médio por mil impressões (CMP) pode ser tão baixo quanto cinco centavos. Malwarebytes disse que nesta campanha, a página gerou uma média de 35 impressões de anúncios por minuto. Multiplicando as quase 282.000 visitas mensais e a duração média, o total de impressões de anúncios foi de mais de 76,4 milhões por mês a um CMP de US$ 3,50.
Não está claro quem eram os golpistas por trás da fraude, mas Segura escreveu que a linguagem encontrada no código ofuscado indica que provavelmente são russos.
O Malwarebytes notificou o Google sobre a campanha publicitária fraudulenta, que o gigante das buscas encerrou desde então. ®
.
