Fraude: El 404bot se cuela en los ficheros ads.txt
Al colarse en los archivos ads.txt, el 404bot le ha podido costar a los anunciantes 15 millones de dólares.
Durante al menos dos años, el 404bot trabajó sin control, explotando un fallo en la especificación ads.txt que ha podido costar a los anunciantes 15 millones de dólares en anuncios de video desperdiciados. Según IAS (Integral Ad Science), el 404bot sirvió 1.500 millones de anuncios de video. IAS, que reveló su esquema también hizo una advertencia a la industria, para que los Publishers auditen sus archivos ads.txt.
Como sabemos, ads.txt fue diseñado para detener la suplantación de dominio (Domain Spoofing) al permitir que los Publishers enumerasen todos sus partners, tanto directos como revendedores. Los anunciantes pueden confirmar que están comprando inventario de vendedores con acceso legítimo al inventario de un Publisher, pero si estos agregan un partner no fiable, pueden abusar de su posición como una ruta verificada por ads.txt y falsificar el inventario del Publisher.
Según comento Evgeny Shmelkov, manager del Laboratorio de Amenazas IAS, los pocos cientos de dominios donde IAS encontró archivos ads.txt vinculados al 404bot tenían algo en común: "sus archivos ads.txt eran enormes"
Una vez que el 404bot se agregaba a la lista ads.txt de un Publisher, vendía anuncios legítimos del Publisher y anuncios en otros sites falsificados para que parecieran provenir del dominio del Publisher. Dado que el partner figuraba como una ruta aprobada para el inventario de un Publisher, los anunciantes no tenían una manera fácil de determinar que el dominio era falso.
Como su nombre indica, el 404bot se basa en URL falsas. El bot también crea un nombre de página que no existe en el sitio del Publisher pero que existe legítimamente en otro lugar. Aunque algunas falsificaciones de dominios simplemente re-empaquetan el tráfico humano a sites de citas, pornografía o sitios de contenido seguro que no son de marca como URL de mayor valor, el 404bot mostraba los anuncios a bots, no a humanos. Por lo tanto, el inventario de los Publishers no solo fue falsificado y devaluado, sino que sus tasas de tráfico no válidas eran aún más altas.
IAS se puso en contacto con los Publisher afectados por 404bot y ahora tienen que sus archivos ads.txt utilizando las best practices del IAB Tech Lab. Al monitorizar sus archivos ads.txt, pueden evitar permitir que sus partners ingresen a sus sites donde podrían tergiversar su inventario. Y los DSP pueden rastrear URL’s falsas en su inventario para eliminar posibles falsificaciones de dominios, además de comprar solo desde rutas de suministro compatibles con ads.txt.