404bot  показывал рекламу ботам, а не людям,  искажая показатели трафика

Два года 404bot беспрепятственно использовал уязвимость в стандарте ads.txt, обойдясь рекламодателям в 15 миллионов долларов, впустую потраченных на видеорекламу, пишет AdExchanger.  404bot обслуживал 1,5 миллиарда видеообъявлений. 

Integral Ad Science во вторник обнародовала схему 404bot и посоветовала паблишерам провести аудит файлов ads.txt.

Ads.txt разработан для предотвращения подмены домена. В этом файле паблишеры указывают своих прямых партнеров и посредников, с которыми они работают. Рекламодатели через Ads.txt могут проверить, что покупают рекламные места у посредников, которые действительно работают с паблишером. 

Но если паблишеры добавляют в Ads.txt ненадежных партнеров, те получают возможность генерировать поддельные ссылки якобы на  ресурсы паблишера.

«У нескольких сотен доменов, в которых Integral Ad Science обнаружили файлы ads.txt, связанные с 404bot, есть нечто общее, — говорит Евгений Шмельков, руководитель лаборатории угроз IAS. «Их файлы ads.txt очень много весили. Было много посредников, которых указали как доверенных — и зря».

После того, как 404bot добавлялся  в список ads.txt, он продавал как реальную рекламу на сайт паблишера , так и рекламу на других сайтах, подделанных под домен паблишера. Поскольку партнер был указан в ads.txt, рекламодателям было непросто определить, что домен подделан.

404bot генерировал поддельные URL и генерировал клики и показы за счет ботов. Таким образом, рекламодатели платили за рекламу, которая так и не доходила до реальной аудитории. 

По словам Шмелькова, IAS поставила в известность о проблеме паблишеров, пострадавших из-за 404bot. Он добавил, что паблишеры должны проверять свои файлы ads.txt согласно рекомендациям технической лаборатории IAB. Кроме того, DSP могут отслеживать поддельные URL-адреса на своих ресурсах, что отсечет возможность появления поддельных доменов.