Зачем нужно противодействовать мошенничеству?
Tiahn Wetzler, Manager, Content & Editorial, Adjust, 18 февр. 2022 г..
Введение
В 2018 г. в исследовании BuzzFeed News была описана широко распространенная и очень вредоносная схема рекламного фрода, от которой пострадали миллионы пользователей Android. Эта мошенническая схема, коварная смесь SDK-спуфинга и мошеннических ботов, помогла ее авторам украсть миллионы долларов у рекламодателей и сетей. И это не исключительный случай — таких схем в мобильной рекламе становится все больше.
В техническом документе Экспертное руководство по мобильному рекламному фроду мы рассказываем о пагубном воздействии мобильного рекламного фрода на всю отрасль мобильной рекламы. К счастью, мошенничество можно остановить — или хотя бы начать контролировать — и не допустить искажения набора данных.
Что такое мобильный рекламный фрод?
Мобильный рекламный фрод может принимать самые разные формы, а тактики мошенников постоянно меняются. Ни один тип приложений не застрахован от фрода. Выявление мошенничества и противодействие ему — критически важный элемент стратегии развития приложений во всех вертикалях — от электронной коммерции до банковской сферы. Следовательно, важно подобрать ответственного партнера по мобильным измерениям, который будет следить за мошенническими действиями и постоянно разрабатывать новые меры борьбы с ними.
Глава 1. Кликфрод
Типы мобильного кликфрода
Мобильный рекламный фрод бывает четырех типов: клик-спаминг, внедрение кликов, SDK-спуфинг и ложные установки. Далее мы подробно рассмотрим все эти типы.
Клик-спам
Клик-спам — это такой тип фрода, когда мошенники скликивают объявления за пользователей, которые на самом деле не делали этого, а также присваивают себе случайные установки пользователей.
Клик-спам начинается в тот момент, когда пользователь мобильного устройства заходит на веб-страницу или в приложение, где есть SDK, используемый мошенниками для создания кликов, которых пользователь на самом деле не совершал. Дальше события могут развиваться по нескольким сценариям.
Методы клик-спама:
- Мошенники незаметно скликивают объявления на мобильных веб-страницах в фоновом режиме, а пользователь ничего об этом не знает.
- Спамер может начать скликивать объявления в фоновом режиме, пока пользователь взаимодействует с приложением, имитируя действия пользователя.
- Мошенническое приложение непрерывно генерирует клики, если это приложение работает в фоновом режиме 24/7 (например, средства запуска, средства очистки памяти, средства экономии заряда и т. д.).
- Мошенник может выдавать показы объявления пользователю за действительные клики.
- Спамер может отправлять клики прямо отслеживающим их поставщикам с искусственно сгенерированных или собранных ID устройств.
Но все они преследуют одну цель: создание ложного вовлечения.
Вред от клик-спама
Коварство клик-спаминга в том, что он перехватывает органический трафик, а также трафик из других легитимных источников, который, если его не проверит система противодействия мошенничеству, будет ложно атрибутирован к трекеру платного канала, вовлеченному в это мошенническое действие. Это позволит мошеннику записать такие клики на свой счет. Если не заметить клик-спаминг на ранней стадии, он может серьезно отразиться на атрибуции всех событий в приложении: рекламодатели запутаются в статистике и будут тратить силы и время на привлечение пользователей, которых они уже приобрели органическим путем или по другим каналам.
Такой обман имеет серьезные последствия. Самое очевидное из них — рекламодатели, сами того не зная, могут платить за органические установки, тратя на них свой рекламный бюджет. Но это еще не все: клик-спаминг имеет и другие отрицательные стороны.
-
Неправильная оценка числа органических установок
Кража органического трафика приводит к неправильному подсчету числа органических пользователей, генерируемых приложением, а это, в свою очередь, искажает результаты внутреннего когортного анализа. Кроме того, в результате этого могут пострадать показатели таких генерирующих органических пользователей маркетинговых каналов, как брендинг и работа с прессой. Клик-спаминг способен полностью их парализовать.
-
Неточные данные для формирования стратегий UA
Кража органического трафика также ставит под угрозу адекватность дальнейших решений. Например, если рекламная сеть выявляет органических пользователей, которые активно работают в приложении, то рекламодатель может решить инвестировать в этот канал, чтобы привлечь еще больше клиентов того же типа. Создается замкнутый круг: рекламодатель продолжает платить за пользователей, которых он мог бы на самом деле приобрести естественным путем или через другие маркетинговые каналы.
-
Отказ от более надежных каналов
Если клик-спаминг остается незамеченным, кампании без мошеннических конверсий будут казаться менее успешными, чем кампании, незаконно присваивающие себе органических пользователей. В таком случае рекламодатель потеряет ROI, который он мог бы получить от не пострадавших от мошенничества каналов, так как основной бюджет уходит на мошеннические каналы.
Внедрение кликов
Внедрение кликов — это более совершенная форма клик-спаминга, характерная только для устройств на Android. Через специальное приложение мошенники получают информацию о загрузке других приложений на устройство и инициируют вовлечение до завершения установки нового приложения (до открытия приложения). Мошенник записывает установки на свой счет, что позволяет ему незаконно присваивать не только органических пользователей, но и установки, полученные благодаря реальной рекламе из настоящего источника.
Короче говоря, в этом случае мошенники используют приложение для внедрения вовлечения точно в нужное время для получения оплаты за установку (CPI) или оплату за привлечение (СРА). Вследствие этого данные, которые маркетологи используют для принятия решений, будут содержать систематические неточности. Часто бывает так, что рекламодатели продолжают вкладывать деньги не в самую эффективную рекламу, потенциально лишая бюджетов более удачно размещенные и лучше проработанные кампании.
SDK-спуфинг
SDK-спуфинг, который иногда еще называют спуфингом трафика или атаками повторного воспроизведения, происходит, когда мошенники используют реальные данные устройства для имитации действительных установок или кликов.
Мошенники взламывают SSL шифрование коммуникаций между SDK отслеживания и его бэкенд-серверами. Затем они перехватывают запросы по URL-адресам для определенных действий в приложении и экспериментируют до тех пор, пока не смогут успешно отслеживать рекламный клик, установку и другой тип вовлечения. После этого они могут создавать бесконечное множество таких ложных действий по вовлечению.
Ложные установки
При таком способе мобильного рекламного фрода мошенники создают ложные установки приложений, события конверсии и другие типы вовлечения. Фермы устройств и ложные установки.
— Ручные фермы устройств
Представьте себе фабрику с десятками работников, каждый из которых управляет огромным количеством смартфонов. Такие фермы раньше существовали по всему миру. Однако по мере развития технологии развивались и техники мошенников. Давайте подробнее рассмотрим два других метода ложной установки.
— #### Интеллектуальные фермы устройств
Например, есть фермы интеллектуальных устройств, на которых мошенники с помощью предварительно запрограммированных действий могут совершать ложные установки и осуществлять другую фейковую активность в приложении от имени пользователя.
— #### Эмуляторы устройств
Программа или устройство, позволяющее компьютеру вести себя как другое устройство, чаще всего мобильное, называется эмулятором устройства. Эмуляторы устройств могут использоваться мошенниками для кражи средств, выделенных маркетологами на рекламу, с помощью ложных установок и мошеннических действий в приложении.
Фермеры устройств скрывают свою активность следующими способами:
— Использование различных типов устройств и ограничение отслеживания рекламы
— Сброс идентификаторов устройства с каждой установкой
— Скрытие действий путем использования анонимных IP-адресов
Ложная активность, создаваемая за счет таких ложных установок, выглядит вполне легитимно. Если она останется незамеченной, то рекламные бюджеты компаний будут расходоваться очень быстро.
Глава 2. Противодействие мобильному мошенничеству
Как защититься от мобильного мошенничества?
Противодействие мобильному рекламному фроду, как и сам фрод, может принимать разные формы. Однако благодаря специальным технологиям и тщательному изучению отчетов мобильные маркетологи порой могут выявить рекламный фрод еще до того, как он произойдет.
Каждый способ фрода необходимо выявлять отдельно. Определив, в чем разница между внедренными кликами, клик-спамингом с низкой и высокой частотой, а также между ложными установками и SDK-спуфингом, мы сможем эффективнее выявлять их.
Давайте подробнее рассмотрим эти способы, чтобы научиться выявлять разные типы рекламного фрода и бороться с ними.
Как обнаружить клик-спам?
Чтобы легко распознать клик-спаминг, нужно обратить внимание на простую закономерность. Мы в Adjust смогли выявить четкую разницу между тем, как настоящие и фейковые рекламные клики коррелируют по времени с последующими установками.
Клики из настоящего источника трафика отслеживаются в рамках нормального распределения. Конечно, точная форма и объемы распределения будут отличаться в зависимости от источника трафика, но, как правило, из надежного источника больше всего установок будет в первый час, а затем активность рекламных кликов быстро начнет спадать.
Источники с клик-спамингом ведут себя по-другому. Время конверсии из мошеннического источника распределяется равномерно, потому что спамер может инициировать только клик, но не установку. Таким образом, для времени конверсии должно быть характерно случайное распределение.
Это значит, что клик-спамеров возможно устранить до атрибуции — нужно прекратить атрибутировать установки источникам, показывающим равномерное распределение времени от клика до установки. Рекламодатели могут противостоять спамерам.
Как предотвратить внедрение кликов?
Впервые техника внедрения кликов была обнаружена, когда отдельные клики оказались подозрительно близко к атрибутируемой им установке. На графиках времени от клика до установки (CTIT) такой фрод отображается в виде огромного всплеска активности в самом начале визуализации данных, который предупреждает исследователей о вероятности присутствия поддельных атрибуций в изучаемом наборе.
Некоторые специалисты отрасли продвигают идею создания фильтра для обнаружения и выявления «невозможных» CTIT. Но в таком случае атрибуция любой установки, произошедшая через несколько секунд после клика, будет сочтена ложной. Несмотря на то что фильтр довольно прост в применении, полностью проблему он не решит.
В Adjust решили копнуть глубже и пойти в обратном направлении, чтобы найти более надежную систему фильтрации.
Мы анонсировали фильтр внедренных кликов в конце 2017 г. Сегодня он входит в состав решения Fraud Prevention Suite. Adjust использует детерминированные временные отметки для предотвращения атрибуции мошеннических вовлечений. Наш процесс фильтрации работает по-разному, в зависимости от того, откуда поступает установка. Чтобы узнать подробнее о фильтрации внедрения кликов от Adjust, щелкните здесь. Чтобы более подробно познакомиться с системой мониторинга CTIT на предмет клик-спама и внедрения кликов, посмотрите наш вебинар о разумном подходе к противодействию мобильному рекламному фроду.
Каким образом Adjust помогает выявлять SDK-спуфинг?
Вспомним, что SDK-спуфинг возникает, когда мошенники отправляют ложные запросы к серверам издателей приложений (или компаний, занимающихся атрибуцией). Adjust создал уникальную криптографическую подпись для коммуникационных пакетов SDK, которая подтверждает действительность установки после получения данных. Эта функция входит во все наши пакеты услуг для клиентов.
Как выявлять ложные установки?
Как же отличить ложные установки, идущие от эмуляторов и ферм устройств, от установок реальных пользователей?
Многие системы противодействия мошенничеству могут отметить эти установки как подозрительные, поскольку с ними связана низкая или нулевая активность в приложении, к тому же они никогда не приводят к покупкам. Однако проблема в том, что таким же образом ведет себя и большинство реальных пользователей. В конце концов, удержание в первый день для большинства вертикалей приложений редко превышает 30 %. Поэтому, если трафик от ложных установок смешан с реальным, сложно сказать, где здесь настоящий пользователь, а где поддельный.
Еще один фактор, на который стоит обратить внимание, — это IP-адрес, используемый для отправки этих ложных установок. Для того чтобы скрыть происхождение этих установок, трафик обычно перегоняется через прокси-серверы или VPN на более прибыльные рынки, такие как США, и оставляет след в виде IP-адресов, зарегистрированных на анонимные сервисы или дата-центры. Такие IP-адреса обычно можно найти в доступных для коммерческого использования списках и запретить для них атрибуцию. Вот почему в Adjust мы используем базу данных официальных IP-адресов, не занесенных в черный список, в которой ежедневно появляются новые метаданные с IP-адресами. Мы выполняем перекрестную проверку IP-адреса каждой установки по этой базе данных и, если оказывается, что этот IP-адрес связан с каким-либо сервисом или дата-центром, производящим анонимизацию, то такая установка удаляется из вашего набора остальных данных.
Глава 3. Преимущества противодействия мошенничеству
Пять преимуществ противодействия мошенничеству
Давайте рассмотрим пять преимуществ нашего решения, которые делают его важной инвестицией для противодействия мошенничеству.
- Экономия бюджета
Противодействуя мошенничеству, вы перестанете тратить бюджет маркетинговой кампании на трафик, который не приносит результата. Учитывая, что сегодня на продвижение тратятся тысячи, а то и миллионы долларов, столь крупные суммы необходимо защищать от неправомерного использования. Мошенники не должны получить к ним доступ. - Чистые данные
Рассмотрим следующий сценарий: у сети A более высокий коэффициент конверсии, чем у сети B, и пользователи при этом проводят в ней больше времени. Обычно это означает, что вы будете больше инвестировать в сеть А. Однако, если вы не будете вкладывать средства в противодействие мошенничеству, то не сможете с уверенностью утверждать, что трафик сети А не мошеннический.
Избавившись от мошеннического трафика, рекламодатель сможет выстроить стратегию на основе точных данных и KPI.
Из-за мошенничества одно неправильное решение влечет за собой другое, и рекламодатели тратят средства на сомнительные источники, которые кажутся им более эффективными. Внедряя системы противодействия мошенничеству, вы сможете выявить источники такого трафика и снизить количество рискованных решений, связанных с расходами на рекламу. - Дополнительные возможности
Противодействие мошенничеству позволяет вам фильтровать трафик, идущий из ненадежных источников, и понять, с какими партнерами будет выгоднее всего работать. Выбирайте тех, кто будет способствовать вашему успеху. Маркетологи должны постоянно быть на чеку, отслеживать появление новых способов мошенничества и сотрудничать с MMP по этому вопросу. - Защита средств бренда
World FinTech Report 2019 — это опрос банков и представителей финтех-компаний на предмет выявления самых серьезных проблем, с которым сталкивается сектор финансовых услуг. В самом верху списка оказалась проблема безопасности. После введения CCPA и GDPR бренды стали более аккуратно относиться к данным пользователей. В случае проблем с безопасностью теперь страдает не только репутация, но и материальные активы бренда. Именно поэтому важно противодействовать мошенничеству во всех его формах. - Конкурентное преимущество
Противодействовать мошенничеству может каждый. Однако, если ваш конкурент внедрил систему противодействия мошенничеству, а вы нет, вы должны понимать, что он привлечет больше пользователей — и они будут более качественными.
Приложение, которое отфильтровывает мошенничество, будет более эффективно привлекать пользователей, потому что его реклама будет охватывать реальных клиентов. Кроме противодействия мошенничеству помогает расходовать бюджеты всех сторон более рационально, не позволяя расходовать средства на мошенников.
Ваши конкуренты могут прекрасно справляться с задачей снижения рисков. Но если они могут это делать, значит, можете и вы.
Глава 4. Предотвращение мошенничества на рекламе со стороны провайдера
Почему провайдер атрибуции должен бороться с мобильным рекламным фродом?
Партнеры по мобильным измерениям (MMP) необходимы для эффективной передачи издателями приложений данных об атрибуции из рекламных сетей (подробно описано здесь). Для противодействия мошенничеству также необходим посредник, который выступил бы в качестве модератора экосистемы. Вот несколько основных причин, почему эту роль играют такие MMP, как Adjust.
Несколько сетей, которые сознательно продают мошеннический трафик для приложений, очернили репутацию этого канала для продвижения как такового. Большинство партнеров активно работают с решениями антифрода, но не всем сетям можно доверять в плане того, что с их трафиком всегда все в порядке и они используют технологии антифрода. Поэтому ММР анализируют трафик, проходящий через систему, и определяют, является ли конкретная установка действительной.
У рекламных сетей нет доступа к данным, которые есть у MMP. Даже если сеть уделяет достаточно внимания предотвращению мошенничества из известных ей источников, остается возможность проникнуть в систему другим способом. Например, мошенники могут применить SDK-спуфинг, чтобы избежать обнаружения за счет инициирования похожих на реальные установок и обойти проверки, которые могут создать только ММР на основе имеющихся у них данных.
Помочь выстроить доверительные отношения между сетями и рекламодателями могут ММР, работающие как посредники. Мошенничество невыгодно для ММР, потому что при этом страдают данные первой стороны, что в свою очередь наносит ущерб репутации ММР. Все ММР по умолчанию должны вести серьезную борьбу с мошенничеством.
Обратите внимание, что существуют сервисы, не входящие в экосистему мобильных измерений, но предлагающие решения по противодействию мошенничеству. Их называют «поставщиками систем обнаружения мошенничества». Наши сетевые партнеры CrossInstall (теперь часть Twitter) в своей статье подробно разобрали плюсы и минусы таких компаний по сравнению с MMP.
Какие преимущества может предложить Adjust по сравнению с другими решениями по противодействию мошенничеству
Наше решение отличается от других предложений одним ключевым нюансом — противодействие идет в реальном времени.
Отказ в реальном времени — это единственный способ противодействия мошенничеству. Большинство решений могут обнаруживать мошенничество только постфактум, то есть они просто сообщают вам о факте наличия мошеннических действий. Но это означает, что вам придется самим разговаривать с сетями и выяснять, какой трафик был нелегитимным. Подобные коммуникации отнимают много времени, которое можно было бы потратить на привлечение пользователей, и приводят к конфликтам. «С рекламой всегда нужно работать по горячим следам, — говорит Сайрус Ли (Cyrus Lee), бывший старший менеджер по привлечению пользователей в Playstudios, в предыдущей [публикации в блоге].(https://www.adjust.com/resources/ebooks/the-adjust-guide-to-mobile-fraud/). — Чем больше мошеннического трафика вы покупаете, тем больше в конце месяца у вас уйдет времени на разговоры о возврате денег».
Даже в случае легитимного трафика, если решение вашего поставщика не работает в реальном времени, вы будете получать больше ложных срабатываний системы. Конкретные алгоритмы распознавания часто являются секретом фирмы, что приводит к невозможности оспорить каждую установку. Чтобы помочь вам лучше понять, что может понадобиться в этом деле, мы написали статью: [Обнаружение, предотвращение и принципы хорошего фильтра для борьбы с мошенничеством].(https://www.adjust.com/blog/mobile-fraud-theory-part-2/).
Adjust использует принципиально иной подход к проблеме фрода. С самого начала работы мы уделяем много внимания борьбе с мошенничеством и ставим во главу угла точность и достоверность данных. Мы противодействуем мошенничеству в реальном времени, чтобы всегда предоставлять нашим клиентам набор точных и прозрачных данных, на основании которых они смогут принимать маркетинговые решения и побеждать конкурентов.
Сооснователь Adjust о противодействии мошенничеству
Наш сооснователь и бывший технический директор Пауль Мюллер (Paul Müller) написал серию статей о противодействии мошенничеству, которые вы можете прочитать в блоге. Борьба с мошенничеством — это большая ответственность для поставщика услуг по атрибуции, и мы берем на себя эту ответственность в полной мере.
Как говорит Мюллер (Müller): «Заявления о том, что мы не пропускаем рекламный фрод, ведут к необходимости быть готовыми взять на себя ответственность за любую атрибуцию, предотвращенную нашей системой, и защищать каждую из них перед нашими партнерами. Мы должны рассматривать каждый конкретный случай и принимать по нему верное решение».
«Противодействие мошенничеству не должно быть просто маркетинговой уловкой и не должно сбивать клиентов с толку. Это серьезная ответственность. Если все сделать правильно, решения по антифроду будут выгодны всей экосистеме мобильной рекламы. При некачественной же реализации подобная система превратится в бесполезную игрушку, неспособную решить основную проблему».
Разработка решений для противодействия мошенничеству всегда была и остается неотъемлемой частью миссии компании Adjust. Чтобы узнать больше о том, как Adjust борется с рекламным фродом, ознакомьтесь с нашим Руководством по мобильному рекламному фроду. А если вы готовы начать сотрудничество с платформой мобильной аналитики, которая предлагает самые современные средства защиты от мошенничества, свяжитесь с нами!
Хотите ежемесячно получать свежие данные о приложении? Подпишитесь на нашу рассылку.