Afin que le script puisse transmettre des données à Google Analytics, le caractère de remplacement UA-XXXXX-Y doit être remplacé par l’ID desuivi individuel de l’utilisateur respectif. Ceci est donc accessible à tout programme qui lit le code HTML d’un site Web bien préparé.
Cette vulnérabilité peut être corrigée en utilisant le Google Tag Managers. Les exploitants de sites Web disposent ainsi d’une interface utilisateur grâce à laquelle des extraits de code Google (appelés tags) peuvent être gérés de manière centralisée. Au lieu de plusieurs balises pour différents services Google, seul un extrait de code pour le Google Tag Manager est inclus dans le code HTML. Le code de suivi de Google Analytics, y compris l’identification individuelle, reste ainsi protégé contre l’accès par des tiers.
Le ghost spam peut en principe affecter n’importe quel rapport de Google Analytics. En plus des informations relatives au referrer, les hackers utilisent avant tout des rapports sur les principaux événements, les mots-clés, les pages d’atterrissage ou les paramètres de langues, afin d’infiltrer les données de trafic manipulées.
Dans le domaine du ghost spam, c’est le Russe Vitaly Popov qui rencontre le plus de succès. Depuis 2014, le hacker a pu infiltrer à maintes reprises les URL de ses propres sites Web dans les comptes Google Analytics. Fin 2016, le hacker a trompé la communauté du réseau avec une page Google présumée secrète. En plus des abréviations classiques comme fr, fr-fr ou en-us, des milliers d’utilisateurs d’Analytics dans le monde entier ont trouvé le message suivant dans les rapports sur les paramètres linguistiques de leur site Web :
« Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump! »
Cependant, les opérateurs de sites Web curieux qui ont suivi l’invitation ne se sont pas retrouvés sur Google, car :
ɢoogle.com ≠ Google.com
Au lieu de cela, une redirection a été faite vers le site Web de Popov, dont l’URL contient presque tout le texte du tube Money de Pink Floy de l’album The Dark Side of the Moon (1973).
money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com
L’objectif de l’URL était un site Web dans le style d’un catalogue Web du début des années 2000 avec des liens vers divers moteurs de recherche et boutiques en ligne. Aujourd’hui, l’URL ne mène nulle part. Le but exact de l’attaque spam de Popov n’est pas clair. Il est possible que le hacker ne s’intéressait qu’à tester le potentiel de tromperie de l’URL Typosquatting-URL ɢoogle.com.
Fondamentalement, le ghost spam est agaçant mais il ne représente aucun danger pour votre site Web. Puisque le faux trafic ne donne pas lieu à de véritables accès de site Web, ni votre serveur, ni les fichiers logs ne sont surchargés par des requêtes automatiques. Toutefois, le ghost spam devient problématique si vous souhaitez évaluer les statistiques de votre site Web via Google Analytics.