vincenzo calabro'
  • computer engineer
  • cyber security analyst
  • digital forensics analyst
  • lecturer | speaker | trainer

Article. What i write

Cookie stuffing, la truffa del marketing di affiliazione: cos’è e come difendersi

Pubblicato il 06 febbraio 2020 su CyberSecurity360.it
Il cookie stuffing (o cookie dropping) è una tecnica fraudolenta mirata sui servizi di affiliate marketing che consente ai truffatori di guadagnare commissioni di affiliato in maniera illegale installando cookie di terze parti nel browser degli utenti che visitano siti di e-commerce e. Ecco i dettagli e i consigli per difendersi
Vincenzo Calabro' | Cookie stuffing truffa del marketing d'affiliazione
Il cookie stuffing (detto anche cookie dropping) è una tecnica fraudolenta che consente ai truffatori di ottenere guadagni illeciti sfruttando i programmi di affiliate marketing online.

Come funziona il cookie stuffing

In pratica, quando un utente visita un sito che partecipa al programma di affiliazione, nel suo browser e a sua insaputa viene installato un cookie di terze parti simile a quello utilizzato dal sistema di riconoscimento dell’affiliazione ad un sito di e-commerce.
Nel momento in cui l’utente ritorna sul sito e completa un acquisto online o effettua una transazione qualificante per la quale viene riconosciuto il premio di affiliazione, il cookie malevolo consente al cookie stuffer di intercettare la commissione frodando il vero publisher affiliato.
Il cookie stuffing viene dunque considerata una pratica illegittima in quanto chi riceve i soldi non ha effettivamente consentito all’utente di visitare il sito target. Inoltre, è considerata una frode perché la commissione è elargita ad un soggetto diverso da colui che ha permesso di iniziare la transazione.
Questa tecnica fraudolenta ha attirato l’attenzione degli operatori del settore quando, nel 2008, Shawn Hogan ha truffato 28 milioni di dollari ad eBay. Shawn era un marketer ed aveva riempito i browser degli utenti di cookie corrotti. Quando gli utenti cliccavano su un link di affiliazione di eBay, Shawn riceveva il compenso perché quelle conversioni venivano attribuite a lui.

Cos’è e come funziona il marketing di affiliazione

Per comprendere appieno il funzionamento della tecnica del cookie stuffing è utile analizzare nel dettaglio il meccanismo dei programmi di affiliazione online.
L’affiliate marketing è una tipologia di contratto di marketing, generalmente stipulato tra due o più soggetti, basato sulle performance di un annuncio. In pratica un soggetto (inserzionista) premia uno o più affiliati per ogni visitatore o cliente reindirizzato sul proprio sito web attraverso le campagne di marketing promosse da questi ultimi.
Il sistema prevede l’interazione di quattro attori:
  1. l’advertiser o inserzionista: solitamente il proprietario di un sito di e-commerce o chiunque desideri attivare una campagna pubblicitaria;
  2. il network: la piattaforma che consente di realizzare il programma di affiliazione;
  3. il publisher o affiliato: colui che reindirizza i propri utenti verso il sito dell’advertiser;
  4. il customer o cliente: il destinatario della campagna pubblicitaria.
Un ruolo chiave nelle campagne di affiliate marketing lo giocano i cookie, in quanto consentono di “seguire” l’utente dal sito dell’affiliato a quello dell’inserzionista. Una parte del guadagno ottenuto dalla conversione dell’utente (customer) sul sito di destinazione (advertiser) viene riconosciuta al sito di provenienza (publisher).
Il programma di affiliazione, infatti, si concretizza con l’aggiunta di un link sul sito del publisher che porta al sito dell’advertiser. Se un utente fa un acquisto utilizzando questo collegamento, allora il publisher riceve una percentuale della vendita. L’identità degli utenti e la loro attività su Internet viene memorizzata proprio sfruttando i cookie.
Ecco spiegato il motivo per cui gli attacchi di tipo cookie stuffing rappresentano una grossa minaccia ai guadagni riconosciuti agli affiliate marketing publisher.
E nonostante si tratti di una tecnica di truffa pubblicitaria ormai nota, ancora oggi è sfruttata per fare soldi utilizzando nuove varianti. Recentemente, ad esempio, grazie ad una segnalazione dei ricercatori di AdGuard, Google ha rimosso dal Chrome Web Store alcune estensioni che la implementavano in maniera innovativa.

Come vengono disseminati i cookie

Le tecniche utilizzate per inoculare i cookie nei browser degli utenti sono molto simili a quelle utilizzate negli attacchi di cross-site request forgery (CSRF).
Vediamo le più diffuse:
  • popup: il popup è una finestra di dialogo utilizzata per informare gli utenti sulle offerte. Tuttavia, i popup malevoli sono in grado di inviare malware ai browser appena l’utente interagisce con essi. Per questo motivo gli utenti devono fare molta attenzione all’uso di app di terze parti o alle estensioni dei browser
  • plugin CMS: esistono plugin per i CMS più noti che automatizzano la pratica descritta;
  • toolbar e malware: i cookie sono contenuti all’interno di software scaricati dagli utenti e successivamente vengono scritti ogni volta che questi utilizzano i programmi;
  • Javascript: gli Javascript sono utilizzati per rendere più dinamica l’esperienza dell’utente che interagisce con le pagine web. Possono essere utilizzati anche per reindirizzare gli utenti ad una pagina diversa. Pertanto, i truffatori possono inserire un codice malevolo tra i reindirizzamenti. Il publisher che nota nessun collegamento al suo sito può rimuoverlo e segnalare l’anomalia;
  • iFrame: è utilizzato per incorporare codice HTML all’interno di una pagina web. Generalmente, questa tecnica è sfruttata per pubblicare gli annunci sui siti web. All’inserzionista viene fornita una sezione della pagina per inserire i suoi codici. L’aggiunta di codice di terze parti a volte può essere rischiosa. Pertanto, si consiglia di utilizzare la tecnologia SafeFrames che vieta il codice malevolo e la manipolazione dei contenuti;
  • immagini: il tag HTML (img) indica al browser di recuperare un’immagine dall’URL indicata nella richiesta. Non importa se l’URL non ha fornito un’estensione di tipo immagine (“.jpg”, “*.gif” o “*.png”). Per esempio, (img src=”http://google.com”) consentirebbe a chiunque visiti quella pagina di inviare una richiesta a Google. I link di affiliazione possono essere inseriti direttamente o creando un reindirizzamento nel file “.htaccess”;
  • fogli di stile: i fogli di stile CSS (Cascading Style Sheets) definiscono come deve essere visualizzata una pagina web e vengono recuperati come le immagini. Il browser deve effettuare una richiesta tramite URL. L’affiliato potrebbe inserire l’URL dell’affiliato diretto nel foglio di stile come un’immagine e caricarlo in quel modo. Questo metodo è uno dei più difficili da rilevare;
  • componenti Flash: Adobe Flash è comunemente utilizzato per creare oggetti web interattivi e contiene funzionalità che consentono agli sviluppatori di forzare l’utente del sito web a visitare un collegamento di affiliazione durante la rimozione o lo spoofing delle informazioni del referrer in modo tale che la rete di affiliazione non riconosce la provenienza di quel traffico. Una soluzione comune è quella di fare in modo che il sito contraffatto di riferimento sia un sito di affiliazione legittimo per mascherare il fatto che viene effettuato il cookie stuffing.

Come difendersi dal cookie stuffing

Sia che si tratti di falsi publisher che rilasciano script malevoli, o di utenti che installano estensioni fraudolente, il cookie stuffing è un danno per il business degli annunci online.
La frode della distribuzione dei cookie su larga scala, come quella tirata fuori da Shawn Hogan ai danni di eBay, adesso è facilmente identificabile in quanto le aziende di e-commerce monitorano le attività insolite di affiliazione, i tassi di conversione e i reindirizzamenti del sito.
È anche vero, però, che questa tecnica richiede un monitoraggio costante dei dati. Ciò significa che, a meno di avere livelli di traffico simili a quelli realizzati da Amazon o eBay, la truffa non potrà essere identificata così facilmente.
Bisogna poi considerare che i cookie dannosi vengono rilasciati direttamente sul browser dell’utente. In altre parole, i publisher possono fare poco per contrastare il fenomeno del cookie stuffing.
Poiché il malware che froda l’affiliato è anche in grado di rubare i dati dell’utente e persino le password, allora i publisher possono avvisare i loro utenti della possibile truffa. Mentre gli utenti devono stare attenti ai clic che effettuano sulle pagine web che visitano.
Gli stessi utenti finali, inoltre, possono bloccare le frodi basate sulla tecnica del cookie stuffing disattivando la ricezione automatica dei cookie di terze parti sul proprio browser (una policy di sicurezza che i principali browser in circolazione già adottano o adotteranno nei prossimi anni). Così facendo si riduce l’incidenza del fenomeno, ma purtroppo anche gli utili dei publisher onesti.