Scallywag: как пираты заставили рекламные платформы платить за воздух

Мошенническая схема Scallywag, построенная на специально созданных плагинах WordPress, долгое время приносила организаторам миллиарды рекламных запросов ежедневно. Однако масштабную операцию по обману рекламных платформ удалось остановить — с помощью технического анализа и блокировок её активность сократилась на 95%.

По данным компании HUMAN, специализирующейся на обнаружении ботов и рекламного мошенничества, Scallywag представляла собой целую сеть из 407 доменов. Суть схемы заключалась в том, чтобы превращать сомнительные сайты — в первую очередь ресурсы с пиратским контентом и сервисы для сокращения ссылок — в источники дохода за счёт поддельных показов рекламы. Для этого использовались плагины, которые внедрялись в WordPress-сайты и выполняли весь необходимый функционал: от редиректов до маскировки.

В экосистему Scallywag входили четыре плагина — Soralink (2016), Yu Idea (2017), WPSafeLink (2020) и Droplink (2022). Последний распространялся бесплатно, если пользователь выполнял ряд заданий, приносящих прибыль разработчикам. Остальные активно продавались и даже продвигались в обучающих видео на YouTube. HUMAN подчёркивает, что кампания Scallywag не была делом одной группировки — напротив, она представляла собой «мошенничество как услугу», доступное множеству участников, включая начинающих злоумышленников.

Пираты и владельцы сомнительных сайтов, неспособные монетизировать свои ресурсы легальными способами из-за отсутствия доверия со стороны рекламных платформ, вступали в негласное сотрудничество с организаторами схемы. Посетители таких сайтов попадали по сокращённым ссылкам на промежуточные страницы с навязчивой рекламой, CAPTCHA и таймерами ожидания. Эти страницы генерировали фальшивые просмотры и клики, обеспечивая доход мошенникам, прежде чем пользователь добирался до обещанного контента.

Одной из ключевых особенностей Scallywag была система маскировки — так называемый cloaking. При проверке со стороны рекламных платформ или автоматизированных систем аналитики сайт выглядел как безобидный блог, не вызывающий подозрений. Именно эта хитрость позволяла схеме долгое время оставаться незамеченной.

Обнаружить аномальную активность удалось благодаря поведенческому анализу трафика. HUMAN зафиксировала резкий рост показов на ничем не примечательных блогах WordPress, наличие систем ожидания, неожиданных CAPTCHA и подмены содержимого в зависимости от источника перехода.

После идентификации мошеннической схемы специалисты HUMAN начали блокировать домены, взаимодействовать с рекламными платформами и прекращать закупку трафика, что обрушило всю экономику операции.

Попытки организаторов обойти блокировки с помощью новых доменов и запутанных цепочек редиректов были быстро пресечены. В результате поток фальшивых рекламных запросов снизился с 1,4 миллиарда в день практически до нуля, а большинство участников отказались от дальнейшего использования схемы.

Хотя Scallywag в нынешнем виде практически прекратила существование, HUMAN предупреждает, что её организаторы могут адаптироваться, перенастроить инфраструктуру и вернуться в новой форме. Индустрия цифрового мошенничества по-прежнему остаётся гибкой и живучей — особенно в нишах, где закон и репутация оказываются не в приоритете.