Una piattaforma di cloaking blocca il 99,4% dei visitatori
La piattaforma di cloaking 1Campaign blocca il 99,4% dei visitatori, mostrando la pagina di phishing solo allo 0,6% del traffico.
La piattaforma assegna un punteggio di frode da 0 a 100 a ogni visitatore per filtrare il traffico indesiderato
Lo scorso 24 febbraio, i ricercatori di Varonis Threat Labs hanno pubblicato il report su 1Campaign, una piattaforma di cloaking progettata per aggirare i controlli di Google Ads. Il dato che ha fatto alzare più di un sopracciglio tra chi gestisce campagne paid? Una campagna chiamata Blockbyblockchain, che puntava al dominio di phishing bitcoinhorizon.pro, ha processato 1.676 visitatori totali, ma ne ha approvati solo 10. Un tasso di successo dello 0,6%. Tradotto in pratica: il 99,4% dei visitatori è stato bloccato, inclusi i ricercatori di sicurezza che cercavano di analizzare la pagina di destinazione.
Per un advertiser che investe budget reale in Google Ads, la prospettiva è agghiacciante: l’annuncio supera i controlli di Google, ma la landing page è di fatto invisibile alla quasi totalità degli utenti. Il sistema di cloaking non solo inganna il motore di ricerca, ma impedisce anche ai normali strumenti di verifica di vedere cosa c’è dietro il click.
Il paradosso del cloaking: il 99,4% dei visitatori è invisibile
Il cloaking non è certo una novità nel panorama delle frodi pubblicitarie. Già nel novembre 2024, Google aveva riconosciuto il cloaking come una delle tendenze principali nelle truffe online secondo Google. Ma 1Campaign porta la tecnica a un livello di sofisticazione che rende quasi impossibile la difesa a livello di piattaforma.
La piattaforma blocca il 99,4% dei visitatori, ma non lo fa a casaccio. Dietro c’è un sistema che valuta ogni accesso e decide se mostrare la vera landing page malevola o una pagina fittizia approvata da Google. Il risultato è che i ricercatori di sicurezza e i crawler dei sistemi di review vengono respinti sistematicamente, mentre una piccola percentuale di utenti reali – quelli che gli operatori della truffa ritengono “sicuri” – viene fatta passare. In sostanza, la campagna pubblicitaria esiste, passa i controlli, ma solo una frazione infinitesimale del traffico vede effettivamente la pagina di phishing.
Un algoritmo che giudica: il punteggio di frode
Per capire come 1Campaign raggiunge quel 99,4%, bisogna guardare al suo cuore: un algoritmo che assegna un punteggio di frode da 0 a 100 a ogni visitatore. Come funziona esattamente? Il sistema analizza decine di segnali – dall’IP, allo user-agent, al comportamento di navigazione – e produce un punteggio. Se il punteggio supera una certa soglia, il visitatore viene reindirizzato a una pagina legittima, spesso copiata da un sito reale. Se invece il punteggio è basso, la landing page di phishing viene servita senza problemi.
1Campaign non si limita a filtrare il traffico: include un vero e proprio assistente per lanciare campagne Google Ads, sia malevole (definite “black”) che legittime (“white”). Questo significa che chi opera la truffa può alternare annunci puliti a quelli truffaldini, confondendo ulteriormente i sistemi di machine learning di Google.
La sofisticazione di 1Campaign non è un caso isolato. Varonis ha già documentato in passato piattaforme simili: nella ricerca precedente di Varonis sul cloaking con AI sono state identificate piattaforme concorrenti come Hoax Tech e JS Click Cloaker, che utilizzano AI/ML per il filtraggio del traffico. Il pattern è chiaro: il cloaking-as-a-service si sta industrializzando, e 1Campaign ne è l’esempio più avanzato emerso finora.
Cosa cambia per chi pianifica campagne
Se i tuoi annunci finiscono su pagine che vedono solo lo 0,6% dei visitatori reali, ogni euro speso in quella campagna è, di fatto, sprecato. Il problema è che a livello di piattaforma – Google Ads, in questo caso – la campagna appare perfettamente funzionante: il click c’è, l’impression c’è, il costo per click viene addebitato. Solo che l’utente non vede mai la pagina prevista, o peggio, viene reindirizzato altrove.
Per i media buyer e i performance marketer, la lezione è chiara: non si può più fare affidamento esclusivo sui dati di piattaforma. La verifica esterna – tramite strumenti di ad verification, monitoraggio delle landing page e controlli manuali – diventa un passaggio obbligato, non un optional. Chi non aggiorna i propri processi di verifica rischia di finanziare truffe senza saperlo, erodendo il ROAS e, nei casi peggiori, danneggiando la propria reputazione se un utente finisce su un sito di phishing partendo da un annuncio del proprio brand.
La sfida per i professionisti del settore è duplice: da un lato, educare i team e gli stakeholder sui rischi reali del cloaking; dall’altro, pretendere dalle piattaforme una maggiore trasparenza e strumenti più efficaci per smascherare queste tecniche. Fino ad allora, l’unica difesa è un processo di verifica indipendente, fatto di controlli incrociati e, quando serve, di denunce pubbliche. In un ecosistema dove il 99,4% del traffico può essere nascosto, fidarsi dei soli report di Google non è più una strategia, ma un azzardo.
