Основы: типы фрода, с которых всё начинается

6 июня 2019 г. Tutorial
Основы: типы фрода, с которых всё начинается
Рекламный фрод бывает в самых разных формах — click spam, фейковые установки, SDK spoofing, device farms. FraudScore объясняет, как работают эти схемы, какие симптомы стоит заметить и какой ущерб они наносят, чтобы вы могли защитить свой рекламный бюджет и перестать терять деньги на мошенников.
Подход FraudScore

Фрод — это разновидность «преступления» в любой возможной ситуации. Маркетолог сам роет себе яму, если не замечает фрод. Он вкладывает всё больше денег в мошеннические каналы, которые показывают отличную статистику, получает впечатляющие, но искажённые результаты и продолжает вкладываться в эти источники. Это порочный круг рекламы, который необходимо разорвать.

Борьба с фродом начинается с понимания и распознавания его разных форм. В этой статье мы кратко разберём наиболее распространённые типы фрода в индустрии.

1. Click Spam
Определение и как это работает

Мошенник пытается сгенерировать клики за спиной у пользователя, который о них даже не знает. Пользователь может быть органическим для приложения или рекламы, но мошенник пытается «перехватить» последнюю активность и взять на себя всю заслугу. Основной метод — заражение реального устройства пользователя, чтобы получить клик, который приведёт к реальным органическим конверсиям.

Как «зараза» может попасть на устройство реального пользователя? Представьте, что пользователь открывает мобильную веб‑страницу или приложение:

  • Имитация взаимодействия — мошенник может имитировать поведение пользователя, отправляя “impression as click” так, что создаётся впечатление, будто пользователь увидел рекламу и кликнул.
  • Старый трюк — простое редирект-перенаправление пользователя на страницу магазина приложений, даже если он не нажимал на рекламу. Используются промо-трекинговые ссылки, а пользовательский опыт страдает.
  • Заражённые приложения — лаунчеры, приложения для экономии батареи, кастинг экрана, чистильщики памяти и т.п. Они генерируют клики в фоне, без ведома пользователя.
  • Невидимая угроза или pixel stuffing — рекламные ссылки размещаются в пикселях на мобильных веб-страницах и обрабатываются без видимых проявлений для пользователя. Часто встречается на страницах с видео-контентом.
Стандартные симптомы

Низкий CR или длинный хвост на графиках TTI. Реальные пользователи обычно открывают приложение в течение первых 30 минут–1 часа после установки. Исключения существуют, поэтому рекомендуется использовать инструменты вроде FraudScore.

Проблема, которую это создаёт

Click spam использует реальных пользователей, чтобы получить заслугу за установки. Рекламодатель может видеть впечатляющую статистику по такому источнику, увеличивать вложения, но в итоге бюджет либо сгорает, либо распределяется неправильно, что приводит к реальным потерям.

2. Фейковые установки
Определение и как это работает

Фейковая установка — это полностью поддельная установка, сгенерированная искусственным пользователем. Такой тип фрода приносит вред всем участникам цепочки — рекламодателю, сети, разработчику и публишеру.

Мошенники используют дата-центры и программное обеспечение, чтобы имитировать реальные устройства, создавая «новые» устройства с уникальными ID и версиями ОС. Эти устройства эмулируют поведение пользователя: кликают по рекламе, скачивают приложение и запускают его после установки.

Стандартные симптомы

Проверьте стоимость трафика у других поставщиков. Цена ниже рыночной может указывать на фейковый трафик. Также обратите внимание на:

  • Активность после установки — если бо́льшая часть пользователей действует одинаково (например, открывают приложение в день 5, 10 или 17), скорее всего трафик фейковый.
Проблема, которую это создаёт

Рекламодатель платит за установки, которых по сути не существует, бюджет расходуется впустую. Сети теряют надёжность, если установки окажутся фейковыми. Некоторые мошенники даже имитируют post-install поведение, чтобы трафик выглядел реальным.

3. Click Injection
Определение и как это обычно работает

Click injection возможен только на Android и относится к сложной форме click spam. Мошенникам нужна вредоносная программа на устройстве пользователя или своё приложение, дающее доступ к устройству. После установки вредоносная программа отлавливает «broadcast’ы» об установке и приписывает последующие установки себе. Мошенники отслеживают, какие приложения оплачивают кампании, и манипулирует атрибуцией.

Стандартные симптомы

Аномально низкий TTI и очень высокий CR. Google улучшил защиту данных об установках с 2017 года, но схемы click injection продолжают развиваться.

Проблема, которую это создаёт

Бюджет рекламодателя уходит на «внедрённые» клики. Разработчики могут вкладываться в регионы, которые выглядят эффективными, но результаты фальшивые. Сети страдают от снижения качества трафика.

4. SDK Spoofing
Определение и как это обычно работает

SDK spoofing имитирует установки без реальной пользовательской активности, но использует данные реальных устройств. Мошенники получают доступ через приложения (экономки батареи, чистильщики памяти и др.), собирают данные устройств, взламывают SSL-шифрование между SDK и серверами и неоднократно симулируют установки.

Стандартные симптомы

Мошенник взламывает SSL; как только SDK обновляется, фальшивая активность прекращается. SDK spoofing сложен, потому что задействует реальные данные устройств. Всегда проверяйте, что версии установленного SDK совпадают с последним релизом.

Проблема, которую это создаёт

Реальных установок, кликов и пользовательской активности нет, но деньги списываются. Сети сначала могут показывать хорошие метрики, однако трафик остаётся ненадёжным.

5. Device farms
Определение и как это обычно работает

Используются реальные устройства и люди, но цель — зарабатывать деньги на установках/кликах без rеtentions и покупок. Работники управляют десятками устройств, выполняя заранее заданные действия.

Стандартные симптомы

Низкие показатели удержания или необычное время первого запуска могут указывать на device farm. Проверьте IP-адреса на надёжность; возможен VPN или прокси. Продвинутые антифрод-платформы способны выявить подозрительную IP-активность.

Проблема, которую это создаёт

Реальные устройства и люди генерируют трафик, но без реальной вовлечённости. Рекламодатели и сети оказываются обманутыми, а бюджеты расходуются впустую.

Заключение

Эта статья даёт краткий обзор основных типов фрода. Фрод разнообразен и постоянно эволюционирует. Данные за август–ноябрь 2018 года показывают разную палитру схем, которую наглядно отражает следующая схема:

./1.png

У каждой категории есть свои симптомы, которые FraudScore анализирует для обнаружения мошеннической активности. Наш подход сочетает метрики и паттерны для системного обнаружения фрода.

Для более детального описания методологии перейдите по ссылке.

FraudScore полностью берёт на себя ответственность за обнаружение и борьбу с фродом, затрагивающим наших клиентов. Мы предоставляем долгосрочную поддержку, экспертизу и обучение.

Рекламный фрод сегодня признан серьёзной проблемой индустрии. Сети теряют доверие, маркетологи переплачивают, а бюджеты расходуются впустую, если фрод остаётся незамеченным.