کلاهبرداری هتل از طریق Google Ads: کالبدشکافی تبلیغات مخرب

برای بخش تعطیلات در ترکیه، گوگل اولین نقطه مرجع است. حتی وقتی نام استراحتگاهی را تایپ می‌کنید که اعتبار خود را در طول سال‌ها در نتایج ارگانیک ثابت کرده است، ۲ تا ۴ لینک اولی که می‌بینید احتمالاً برچسب "Sponsored" را خواهند داشت.

مشکل اینجاست که تبلیغی که در بالاترین قسمت لیست شده، همیشه متعلق به هتل "واقعی" نیست.

Google Ads اجازه می‌دهد نام‌های تجاری به عنوان کلمات کلیدی هدف استفاده شوند. برای مثال، فرض کنید نام هتل شما "Mavi Koy Resort" است. یک کلاهبردار می‌تواند با صرف بودجه تبلیغاتی شبانه، قیمتی بسیار بالاتر از شما روی کلمه کلیدی "قیمت‌های Mavi Koy Resort" پیشنهاد دهد.

شما سال‌ها وقت صرف سئوی سایت خود می‌کنید؛ کلاهبردار اما با صرف چند صد لیر، تبلیغی برای یک سایت جعلی راه می‌اندازد و تمام کلیک‌ها را در ساعت اول به تله خود می‌کشاند. این نوع حمله malvertising (تبلیغات مخرب) نامیده می‌شود و بخش هتل یکی از اهداف اصلی این حملات است.

از دیدگاه کاربر، وضعیت نگران‌کننده‌تر است: حتی مصرف‌کننده آگاه به مسائل امنیتی که سال‌هاست خرید آنلاین انجام می‌دهد، با این پیش‌فرض عمل می‌کند که "تبلیغات گوگل قابل اعتماد هستند". این کوری روانشناختی بزرگترین سلاح کلاهبرداران است.

کلاهبردار ابتدا هتل هدف را انتخاب می‌کند. در حالی که املاک بزرگ و شناخته شده با حجم جستجوی بالا اهداف اصلی هستند، هتل‌های بوتیک متوسط نیز به طور مکرر هدف قرار می‌گیرند. دلیل آن این است که هتل‌های بوتیک معمولاً مکانیسم‌های حفاظتی ضعیف‌تری برای برند خود دارند.

پس از شناسایی هدف، این مراحل دنبال می‌شود:

• یک دامنه typosquatting نزدیک به دامنه واقعی هتل خریداری می‌شود (مثلاً "mavikoyresort-prices.com" یا "mavi-koy-resort.net"). برای تحلیل دقیق حملات typosquatting، راهنمای امنیت دامنه هتل ما را بخوانید.
• یک وب‌سایت جعلی ایجاد می‌شود که تصاویر، محتوای متنی و حتی نظرات مشتریان را از هتل واقعی کپی می‌کند.
• اطلاعات تماس، یک فرم رزرو جعلی و زیرساخت پرداخت برای سایت جعلی راه‌اندازی می‌شود.

وقتی سایت جعلی آماده شد، کمپین Google Ads ایجاد می‌شود. کلاهبردار از چندین تکنیک استفاده می‌کند:

هدف‌گذاری کلمات کلیدی نام برند: نام واقعی هتل با انواعی مانند "رزرو Mavi Koy Resort"، "رزرو زودهنگام Mavi Koy Resort" و "قیمت Mavi Koy Resort" به لیست کلمات کلیدی اضافه می‌شود. پیشنهاد قیمت روی نام برندهای رقیب در خط‌مشی گوگل صراحتاً ممنوع نیست؛ فقط استفاده مستقیم در متن تبلیغ محدود شده است.

دستکاری URL نمایش داده شده: سیستم‌های تبلیغاتی اجازه می‌دهند URL نمایش داده شده با URL هدایت واقعی متفاوت باشد. کلاهبردار "mavikoyresort.com/special-offer" را به عنوان URL نمایش می‌نویسد؛ در حالی که صفحه فرود واقعی در دامنه کاملاً متفاوتی است.

بهینه‌سازی امتیاز کیفیت بالا: معیاری به نام "امتیاز کیفیت" برای رتبه‌بندی بالاتر با هزینه کمتر در Google Ads استفاده می‌شود. کلاهبرداران متن تبلیغ و صفحه فرود را برای بهینه‌سازی این معیار آماده می‌کنند؛ بنابراین، آن‌ها می‌توانند با پول کمتر رتبه‌ای بالاتر از مالک واقعی هتل کسب کنند.

این تکنیک پیچیده‌ترین روش برای دور زدن فرآیند تایید تبلیغ گوگل است. هنگام ایجاد تبلیغ، کلاهبردار به ربات‌های تایید خودکار گوگل یک سایت کاملاً قانونی و بی‌ضرر نشان می‌دهد. هنگامی که تبلیغ تایید شد، یک اسکریپت در پس‌زمینه فعال می‌شود.

این اسکریپت آدرس IP بازدیدکننده، اثر انگشت مرورگر (user agent) و الگوهای رفتاری را تحلیل می‌کند. بازدیدها از محدوده‌های IP ربات گوگل به سایت قانونی هدایت می‌شوند؛ بازدید یک کاربر واقعی در صفحه جعلی هتل فرود می‌آید.

Cloaking هم خط‌مشی Google Ads و هم قوانین حمایت از مصرف‌کننده را در بسیاری از کشورها نقض می‌کند. در ترکیه، این اقدام تحت مواد مربوط به قانون تجارت الکترونیک جرم محسوب می‌شود.

عبارات خاصی در متون تبلیغاتی استفاده می‌شود: "فقط ۳ اتاق باقی مانده"، "پایان امروز: ۶۰٪ تخفیف"، "فصل تابستان تقریباً پر شده"، "قیمت فقط برای این هفته".

این تکنیک با نام بازاریابی کمیابی شناخته می‌شود و توسط کسب‌وکارهای قانونی نیز استفاده می‌شود. تفاوت کلاهبرداران در این است که آن‌ها بدون وجود کمیابی واقعی، فشار مصنوعی ایجاد می‌کنند. زمان تفکر منطقی کاربر کوتاه می‌شود؛ "ترس از دست دادن" (FOMO) تحریک شده و منجر به تصمیمی آنی در صفحه پرداخت می‌شود.

قیمتی سی یا چهل درصد کمتر از قیمت سایت رسمی هتل نشان داده می‌شود. وقتی کاربری که فرم رزرو را پر کرده به مرحله پرداخت می‌رسد، انواع "هزینه‌های اضافی" وارد بازی می‌شوند: "هزینه تحویل هتل"، "مالیات محیط زیست"، "هزینه تکمیل ورود زودهنگام". این اضافات قیمت را به قیمت واقعی نزدیک می‌کند؛ با این حال، تا زمانی که کاربر به این مرحله برسد، قبلاً اطلاعات کارت اعتباری خود را وارد کرده است.

برای درک اینکه آیا یک تبلیغ Google Ads جعلی است یا خیر، می‌توان بررسی‌های زیر را انجام داد:

• بررسی کنید که آیا URL تبلیغ و URL نمایش داده شده کاملاً مطابقت دارند یا خیر. هرگونه تفاوت یک زنگ خطر است که نیاز به بررسی دارد.
• پس از کلیک، دامنه واقعی را در نوار آدرس مرورگر بررسی کنید. دامنه‌هایی با خط تیره، نقطه یا اعدادی که به نام هتل شناخته شده اضافه شده‌اند باید مشکوک تلقی شوند.
• وجود آیکون قفل SSL در صفحه پرداخت به تنهایی کافی نیست؛ سایت‌های جعلی نیز از HTTPS استفاده می‌کنند. راهنمای ما را که نحوه تأیید اعتبار گواهینامه‌های SSL را توضیح می‌دهد بررسی کنید.
• چرا قیمت اینقدر با قیمت وب‌سایت خود هتل متفاوت است؟ حتی در یک کمپین واقعی، باید توضیح منطقی برای این تفاوت وجود داشته باشد.

Google Ads خط‌مشی محافظت از علامت تجاری دارد. شما می‌توانید فرم شکایت علامت تجاری گوگل را با مدارک ثبت برند خود پر کنید.

اگر این درخواست پذیرفته شود، نتایج زیر حاصل می‌شود:

• اشخاص ثالث از استفاده از نام برند شما در متون تبلیغاتی منع می‌شوند.
• کمپین‌های مشکوکی که با نام برند شما راه‌اندازی شده‌اند، تحت بررسی دستی تیم گوگل قرار می‌گیرند.
• به لطف شناسایی خودکار تخلف، کمپین‌های جعلی جدید سریع‌تر غیرفعال می‌شوند.

با این حال، یک محدودیت وجود دارد: گوگل به طور کلی مانع از هدف‌گذاری نام برند شما به عنوان کلمه کلیدی توسط اشخاص ثالث نمی‌شود. فقط استفاده مستقیم در متن تبلیغ محدود شده است.

راه‌اندازی یک کمپین تبلیغاتی تدافعی (محافظتی) برای کسب رتبه اول در جستجوهای نام برند خودتان یک اقدام موثر است. مزایای این رویکرد عبارتند از:

• وقتی روی نام برند خود پیشنهاد قیمت می‌دهید، امتیاز کیفیت شما بسیار بالا خواهد بود؛ بنابراین، هزینه هر کلیک شما کمتر خواهد بود.
• برای پیشی گرفتن از شما، کلاهبردار نیاز به صرف بودجه بسیار بالاتری دارد؛ این امر کلاهبرداری را غیرسودآور می‌کند.
• وقتی رتبه اول را تضمین می‌کنید، احتمال کلیک کاربر روی تبلیغ دیگر به شدت کاهش می‌یابد.

کمپین‌های جعلی Google Ads معمولاً عمر کوتاهی دارند: آن‌ها برای چند روز تا چند هفته فعال می‌مانند، سپس حساب بسته می‌شود و فرآیند با یک حساب جدید تکرار می‌شود. آن‌ها می‌توانند در طول این چرخه آسیب‌های جدی وارد کنند.

بنابراین، شناسایی زودهنگام کمپین‌های جدیدی که برند شما را هدف قرار می‌دهند حیاتی است. لازم است به طور منظم نام خود را در موتورهای جستجو جستجو کنید، URLهای نتایج "Sponsored" را بررسی کنید و از ابزارهایی استفاده کنید که این فرآیندها را خودکار می‌کنند. برای تمام مراحل شناسایی سایت‌های جعلی هتل و شروع فرآیندهای حذف، این راهنما را ببینید.

هنگامی که با یک تبلیغ جعلی Google Ads مواجه شدید، این مراحل را دنبال کنید:

۱. از تبلیغ اسکرین‌شات بگیرید؛ URL کامل، عنوان تبلیغ و تاریخ را ثبت کنید. ۲. از مکانیسم شکایت درون تبلیغ با کلیک بر روی لینک "Is this ad wrong?" استفاده کنید. ۳. URL فیشینگ را به Google Safe Browsing گزارش دهید. ۴. به عنوان مالک مجاز برند با تیم پشتیبانی Google Ads ارتباط برقرار کرده و نقض علامت تجاری را مستند کنید. ۵. اگر در ترکیه هستید، گزارش اضافی به BTK ارسال کنید.

فرآیند معمولاً ظرف ۲۴ تا ۷۲ ساعت نتیجه می‌دهد؛ با این حال، اگر کلاهبردار حساب جدیدی باز کند، فرآیند از اول شروع می‌شود.

آیا کلیک کردن روی تبلیغ گوگل ایمن است؟ تبلیغات گوگل به طور خودکار مضر نیستند؛ با این حال، باید مراقب بود. پس از کلیک، URL را در نوار آدرس بررسی کنید. اگر دقیقاً با دامنه اصلی هتل مطابقت ندارد، اطلاعات شخصی یا پرداخت را وارد نکنید. در صورت شک، تبلیغ را ببندید و سایت رسمی هتل را با تایپ مستقیم URL در نوار وارد کنید.

من مورد کلاهبرداری قرار گرفته‌ام، چه کار می‌توانم بکنم؟ ابتدا با بانک خود تماس بگیرید و درخواست chargeback بدهید. این فرآیند برای پرداخت‌های کارت اعتباری معمولاً ظرف ۱۲۰ روز نتیجه می‌دهد. سپس شکایت کیفری در دادسرا تنظیم کنید و URL را به Google Safe Browsing گزارش دهید. برای تمام مراحلی که در صورت قربانی شدن در سایت‌های جعلی تعطیلات باید دنبال کنید، این راهنما را بخوانید.

چرا گوگل اجازه این تبلیغات را می‌دهد؟ سیاست‌های Google Ads برای جلوگیری از سوءاستفاده آشکار طراحی شده‌اند؛ با این حال، تکنیک‌های cloaking شناسایی را در مرحله تایید تبلیغ دشوار می‌کند. گوگل دائماً روی توسعه الگوریتم در این زمینه کار می‌کند. گزارش‌ها مستقیماً به بهبود سیستم کمک می‌کنند؛ بنابراین، گزارش هر تبلیغ جعلی مهم است.

آیا می‌توانم خودم تبلیغات جعلی هتل خود را پیگیری کنم؟ بله، می‌توانید با جستجوی نام برند خود هر چند روز یکبار در حالت خصوصی (incognito) مرورگر، نتایج "Sponsored" را دستی بررسی کنید. استفاده از حالت خصوصی مانع از پنهان شدن نتایج شخصی‌سازی شده می‌شود و به شما اجازه می‌دهد همان صفحه‌ای را ببینید که کلاهبردار به مصرف‌کننده واقعی نشان می‌دهد. برای مانیتورینگ جامع‌تر و خودکار، باید از ابزارهای حرفه‌ای محافظت از برند استفاده کرد.