Pourquoi avez-vous besoin de détecter la fraude ?

En 2018, une enquête de BuzzFeed News a dévoilé un schéma de fraude publicitaire à grande échelle qui a affecté des millions de données d'utilisateurs Android. Ce schéma de fraude, associant l'usurpation de SDK et la fraude par bot, a fait perdre des millions de dollars aux annonceurs et aux réseaux. Cet événement, loin d'être un cas isolé, révèle un problème en plein essor qui frappe la publicité mobile.

Dans notre livre blanc, Guide expert pour lutter contre la fraude publicitaire mobile, nous recensons les différents modes d'action de la fraude et expliquons comment elle frappe l'ensemble le secteur publicitaire mobile. Bien heureusement, il existe différents moyens pour empêchez la fraude de fausser vos données et reprendre la main sur ce fléau.

Qu'est-ce que la fraude publicitaire mobile ?

La fraude publicitaire mobile, en perpétuelle évolution, se manifeste sous différentes formes. Elle impacte toutes les apps, indépendamment de leur type. Que vous disposiez d'une app d'e-commerce ou de services bancaires, la détection et la prévention de la fraude sont indispensables à la réussite de vos stratégies de croissance. Vous devez donc vous appuyer sur un partenaire de mesure mobile qui combats la fraude et développe continuellement des mesures pour la surveiller et la contrer.

Il existe quatre types principaux de fraude publicitaire mobile : le click spamming, le click injection, l'usurpation de SDK et les installations factices. Nous abordons chacune de ces schémas de fraude publicitaire ci-après.

Click spam

Click spam, ce type de fraude survient lorsqu'un fraudeur exécute des clics au nom d'utilisateurs qui n'en sont pas à l'origine et revendiquent le crédit pour les installations aléatoires qui en résultent.

Le click spam commence au moment où un utilisateur arrive sur une page web mobile ou utilise une app dont le SDK est usurpé pour créer des clics que l'utilisateur n'a pas réalisés. À partir de là, les fraudeurs peuvent employer différentes méthodes.

Méthodes de click spam :

• Une page web mobile exécute une fraude aux clics mobiles en arrière-plan à travers des annonces, sans que l'utilisateur ne s'en rende compte.
• Le spammer peut cliquer en arrière-plan pendant que l'utilisateur s'engage dans son app, en faisant croire que l'utilisateur a interagi avec une annonce.
• Le fraudeur peut générer des clics à tout moment si son app s'exécute en arrière-plan 24/7 (p. ex., sous la forme d'un lanceur d'apps, d'un nettoyeur de mémoire, d'un économiseur de batterie, etc.).
• Le fraudeur peut envoyer des impressions sous la forme de clics pour faire croire qu'un visionnage a été converti en engagement.
• Le spammer peut ouvertement envoyer des clics aux fournisseurs de tracking à partir d'ID d'appareils maquillés ou collectés.

Au final, ils poursuivent tous le même objectif : créer des engagements factices.

L'impact du click spam

Le click spamming est insidieux, car il capture le trafic organique, ainsi que le trafic provenant d'autres sources légitimes, qui, en l'absence de vérification par un système préventif, est attribué erronément au tracker d'un canal payé. C'est par cette méthode que le fraudeur peut revendiquer le crédit de ces installations. S'il n'est pas détecté précocement, le click spam peut fortement dégrader les efforts d'attribution d'une app — les annonceurs, trompés, consacrent inutilement du temps à obtenir des utilisateurs qu'ils ont déjà acquis organiquement ou à travers d'autres canaux.

Cette tromperie impacte fortement les annonceurs. Avant tout parce qu'ils réalisent des dépenses publicitaires pour une installation organique, sans s'en rendre compte. Mais le click spam a hélas d'autres répercussions :

• Erreurs dans le calcul des installations organiques

  Le « braconnage » organique brouille le calcul du nombre d'utilisateurs organiques généré par l'app, ce qui affecte ensuite les analyses des cohortes internes. Il minimise également l'impact des canaux marketing qui génèrent de l'organique (comme le branding et les informations dans la presse) qui ont pu être parasités par le click spamming.

• Des stratégies d'UA mal informées

  Le braconnage organique affaiblit également l'efficacité des décisions en matière d'acquisition. Par exemple, si un réseau publicitaire revendique des utilisateurs organiques affichant de bonnes performances dans une app, alors l'annonceur peut décider d'investir dans ce canal pour acquérir davantage d'utilisateurs de ce type. Cela génère un problème circulaire où l'annonceur continue de payer pour les utilisateurs qu'il aurait acquis naturellement ou par le biais d'autres canaux marketing.

• Omission de canaux plus fiables

  Si le click spam passe inaperçu, les campagnes peu ou pas affectées par des conversions frauduleuses apparaîtront moins performantes que celles touchées par le braconnage organique. L'annonceur ne collectera alors pas le ROI qu'il aurait pu obtenir des canaux non affectés par la fraude, car il aura consacré son budget à des canaux frauduleux.

Click Injection

L'injection de clics est une évolution sophistiquée du click spamming touchant exclusivement les appareils Android. Les fraudeurs peuvent utiliser une app pour savoir quand d'autres apps sont téléchargées sur un appareil et pour déclencher des clics avant que l'installation d'une nouvelle app ne soit terminée. Le fraudeur sera alors crédité de l'installation, lui permettant non seulement de détourner les utilisateurs organiques, mais également les installations originellement générées par une source légitime.

Dit plus simplement, avec l'injection de clics, les fraudeurs utilisent une app pour injecter un engagement au moment opportun afin de capturer les paiements du coût par installation (CPI). Les données que les marketeurs utilisent pour prendre leurs décisions contiennent dès lors des imprécisions systématiques. Le plus souvent, les annonceurs continuent d'investir dans des publicités relativement inefficaces au lieu de consacrer leur budget dans des campagnes mieux placées et mieux conçues.

Usurpation de SDK

L'usurpation de SDK, parfois appelée usurpation de trafic ou attaques par rejeu, survient lorsque des fraudeurs utilisent les données d'un appareil réel pour créer des installations ou des clics qui semblent légitimes.

Les fraudeurs cassent le chiffrement SSL de la communication entre un SDK de tracking et ses serveurs backend, puis démasquent alors les appels d'URL représentant des actions spécifiques de l'app. Ils persistent ensuite jusqu'à obtenir le tracking d'un clic publicitaire, d'une installation ou de tout autre engagement. Ils peuvent alors créer un nombre illimité d'activités d'engagement factices.

Installations factices

Avec cette méthode de fraude publicitaire mobile, les fraudeurs génèrent des installations d'apps, des événements de conversion et d'autres types d'engagements factices. Fermes d'appareils et installations factices.

• Fermes d'appareils manuelles
  Il s'agit d'une usine rassemblant des dizaines de personnes assises devant une multitude de smartphones. Des fermes de ce type existaient dans le monde entier. Toutefois, profitant de l'avancée des technologies, les fraudeurs se sont perfectionnés comme nous le verrons avec l'analyse de deux autres méthodes d'installations factices.

• Fermes d'appareils intelligentes

  Il s'agit également de fermes d'appareils préprogrammés avec des actions automatiques qui permettent aux fraudeurs de falsifier des installations et d'autres activités utilisateur in-app.

• Appareils émulés

  Un programme ou un appareil qui permet à un ordinateur de se comporter comme un autre appareil, le plus souvent un appareil mobile, est un émulateur d'appareil. Les émulateurs d'appareils peuvent être utilisés par les fraudeurs pour dérober les dépenses publicitaires des marketeurs à l'aide d'installations falsifiées et d'activités in-app.

Les « fermiers » d'appareils masquent leur activité :

• En utilisant différents types d'appareils sur lesquels l'option Limiter le tracking des annonces est activée
• En réinitialisant les ID publicitaires à chaque installation
• Masquant l'activité derrière des adresses IP anonymisées

L'activité factice générée par ces fausses installations apparaît comme légitime et peut ponctionner les budgets publicitaires si l'activité frauduleuse n'est pas détectée.

La prévention de la fraude publicitaire mobile peut, comme la fraude, prendre différentes formes. De façon générale, elle englobe des technologies et des rapports qui permettent aux marketeurs mobiles d'identifier la fraude publicitaire, parfois avant même qu'elle ne survienne.

Il est essentiel de bien identifier chacune des méthodes. Lorsque nous comprenons qu'il existe une différence entre les clics injectés, le click spamming à basse fréquence et à haute fréquence, ainsi qu'entre les installations factices et l'usurpation de SDK, il devient bien plus simple de combattre ces méthodes.

Observons maintenant les différentes façons d'identifier et de combattre les différents types de fraude publicitaire.

Comment détecter le click spamming ?

Les annonceurs peuvent détecter le click spamming en recherchant l'existence d'un modèle simple. Chez Adjust, nous avons identifié une différence évidente dans la façon dont les clics légitimes se rapportent aux installations suivantes par rapport aux clics factices des click spammers.

Pour une source de trafic légitime, les clics sont trackés dans une distribution normale. Bien sûr, la forme et la taille exactes de la distribution varient selon la source de trafic, mais le modèle donné par une source de confiance se compose d'un grand nombre d'installations pendant une heure après le clic publicitaire, suivi d'une baisse rapide des performances.

Les sources de click spamming se comportent différemment. Les délais de conversion d'une source frauduleuse présentent une distribution aplatie, car le spammer peut déclencher le clic, mais pas l'installation. Ainsi, ces délais de conversion suivront un modèle de distribution aléatoire.

Cela signifie qu'il est possible d'écarter les click spammers en amont de l'attribution en refusant d'attribuer les installations aux sources de trafic qui revendiquent un trafic avec une distribution click-to-install aplatie. Les annonceurs peuvent donc réagir contre les spammers.

Comment le click injection a-t-il été évité ?

La première fraude à l'injection de clics a été détectée lorsque certains clics semblaient beaucoup trop proches de l'installation qui leur était attribuée. Ce comportement a été identifié dans les graphiques « Click-To-Install-Time » (ou CTIT) sous la forme d'un pic d'activité considérable dès le début de la visualisation des données. Les chercheurs ont alors songé à une possible « fraude d'attribution » présente dans le data set.

Certains acteurs de l'industrie ont eu l'idée de créer un filtre à partir de la détection de type dans le but d'identifier les CTIT « impossibles ». Concrètement, ce filtre permettait de rejeter automatiquement toute installation qui avait lieu dans un intervalle de quelques secondes à partir du clic. Simple dans son exécution, cette solution ne constituait qu'une réponse partielle au problème.

Adjust a donc approfondi ses recherches et travaillé en amont pour mettre au point un système de filtrage plus fiable.

Nous avons présenté notre filtre contre l'injection de clics à la fin de l'année 2017 et l'avons intégré à notre suite de prévention de la fraude. Adjust utilise des horodatages déterministes pour empêcher l'attribution à des engagements frauduleux. Le processus de filtrage fonctionne différemment en fonction de l'origine de l'installation. Pour en savoir plus sur le filtre contre l'injection de clics d'Adjust, cliquez ici. Pour en savoir plus sur la surveillance du CTIT pour détecter le click spamming et le click injection, consultez notre webinaire sur l'approche par le bon sens de la fraude publicitaire mobile.

Comment Adjust détecte-t-elle l'usurpation de SDK ?

Encore une fois, l'usurpation de SDK se produit lorsque les fraudeurs envoient des requêtes factices aux serveurs des éditeurs d'apps (ou des sociétés d'attribution). Adjust a créé une signature unique qui chiffre les paquets de communication du SDK, en vérifiant la validité d'une installation lors de sa réception. Cette fonctionnalité spécifique fait partie de tous les packages que nous proposons à nos clients.

Comment détecter les installations factices ?

Alors, comme distinguer les installations factices provenant de fermes d'appareils et d'émulateurs des installations issues des utilisateurs que vous souhaitez acquérir ?

De nombreux systèmes de prévention de la fraude sont capables de remarquer que ces installations ne génèrent que très peu d'activité in-app et ne débouchent donc sur aucun achat. Cependant, le problème est que la plupart des utilisateurs légitimes ont souvent le même comportement. Après tout, la rétention au jour 1 pour la plupart des verticales d'applications dépasse rarement 30 %. Tant que ces installations factices se mêlent au trafic réel, il est très difficile de différencier catégoriquement le réel du factice.

Un marqueur que nous pouvons examiner est l'adresse IP utilisée pour envoyer ces installations factices. Pour essayer de masquer l'origine de ces installations, le trafic est généralement acheminé via des proxies ou des VPN (souvent vers des marchés plus lucratifs comme les États-Unis), ce qui laisse une trace sous la forme d'adresses IP enregistrées auprès de services d'anonymisation ou de centre de données. Ces adresses IP sont généralement inscrites sur des listes disponibles dans le commerce qui peuvent être utilisées pour refuser l'attribution. C'est pourquoi, chez Adjust, nous utilisons une base de données d'adresses IP officielles qui ne recourt pas au blacklisting, mais fournit plutôt des mises à jour quotidiennes sur les métadonnées avec des adresses IP. Nous effectuons une vérification croisée de l'adresse IP de chaque installation dans cette base de données, et si l'adresse IP est associée à un service d'anonymisation ou un centre de données, alors l'installation est isolée du reste de votre jeu de données.

Passons en revue les cinq avantages de la prévention de la fraude qui lui confère son caractère indispensable.

1. Budgets protégés
   La prévention de la fraude vous évite de dépenser vos budgets dans du trafic sans intérêt. Les coûts des campagnes pouvant parfois atteindre des sommets, il est indispensable de protéger vos investissements. Notre solution de prévention de la fraude vous donne cette sécurité.
2. Des données « propres »
   Prenons un exemple : le Réseau A présente un taux de conversion plus élevé que le Réseau B, et les utilisateurs y semblent plus persistants. Face à une telle situation, vous allez généralement investir davantage dans le Réseau A. Toutefois, sans prévention de la fraude, vous ne pouvez pas savoir si le trafic du Réseau A est gangréné par une activité frauduleuse.
   Les annonceurs doivent pouvoir éliminer la fraude pour élaborer leurs stratégies sur la base de données et de KPI précis.
   La fraude génère une cascade de mauvaises décisions et encourage les annonceurs à dépenser leur budget dans des sources douteuses qui semblent afficher de meilleures performances. La prévention de la fraude identifie ces sources de trafic malveillantes et aide à écarter les risques en matière de dépenses publicitaires.
3. De meilleures options
   La prévention de la fraude filtre non seulement la fraude, mais aide à identifier les sources de trafic défaillantes, vous permettant ainsi de cibler les partenaires qui vous conviennent le mieux. Parvenir à choisir les meilleurs partenaires est, pour vous, gage de réussite. Les marketeurs doivent se montrer prudents face aux nouvelles méthodes de fraude et collaborer avec les MMP à cet effet.
4. Sécuriser l'image de marque
   Le World FinTech Report 2019 a interrogé de nombreux fournisseurs bancaires et fintech pour identifier les grandes menaces pesant sur le secteur des services financiers. La sécurité a été de loin la préoccupation la plus citée. Depuis l'introduction du CCPA et du RGPD, les marques se sont montrées plus prudentes concernant les données des utilisateurs. Aujourd'hui, l'image de marque d'une entreprise peut pâtir rapidement d'une mauvaise gestion de la sécurité. Il est donc indispensable de combattre la fraude sous toutes ses formes pour sécuriser l'image de marque et les données des utilisateurs.
5. Dynamiser votre avantage concurrentiel
   Les avantages offerts par la prévention de la fraude sont accessibles à toutes les entreprises. Et si vos concurrents déploient une solution de ce type et que vous ne le savez pas, ils acquerront de meilleurs utilisateurs que vous et en plus grand nombre.
   Une app qui filtre la fraude sera bien plus efficace dans son acquisition, car elle touchera des utilisateurs réels. De plus, la prévention de la fraude permet de planifier plus efficacement les dépenses et d'éviter que les budgets ne soient drainés par la fraude.
   Vos concurrents peuvent être très au point dans la mitigation des risques. Mais vous aussi, et c'est là le plus important.

Les fournisseurs de mesure mobile (MMP) jouent un rôle de médiation nécessaire en matière d'attribution entre les réseaux et les entreprises d'apps (ce processus est décrit en détail ici). De la même façon, l'intervention d'un médiateur en prévention de la fraude est également nécessaire pour réguler l'écosystème. Voici pourquoi ce rôle revient naturellement aux MMP comme Adjust.

Un nombre réduit de réseaux vendant du trafic frauduleux risque fort de ternir l'image de l'économie des apps. De nombreux partenaires prennent le problème à bras le corps en proposant des solutions anti-fraude, mais tous les réseaux ne jouent pas le jeu pour réglementer leur trafic ou s'attacher à proposer des technologies anti-fraudes. Il revient donc aux MMP d'analyser le trafic transitant par le système et de déterminer si les installations sont valides ou pas.

Les réseaux n'ont pas accès aux mêmes données que les MMP. Même si un réseau s'attache entièrement à prévenir la fraude auprès de ses sources, d'autres méthodes frauduleuses peuvent s'immiscer dans son système. Par exemple, l'usurpation de SDK permet aux fraudeurs d'éviter la détection en déclenchant des installations apparemment réelles, mais qui contournent les vérifications que seules les MMP sont en mesure de mettre en place sur la base des données dont ils disposent.

Les MMP se placent en intermédiaires pour aider à établir la confiance entre les réseaux et les annonceurs. Les MMP n'ont rien à gagner avec la fraude, car elle affecte les données tierces et écorne également leur réputation. Les MMP ont donc tout intérêt à prendre des mesures sérieuses de lutte contre la fraude.

Certains fournisseurs, appelés « fournisseurs de détection de la fraude », situés hors de l'écosystème de mesure mobile, proposent des solutions de prévention de la fraude. Notre partenaire réseau CrossInstall (qui fait maintenant partie de Twitter) a établi une comparaison détaillée de ces entreprises avec la valeur proposée par les MMP ici.

Ce qui différencie Adjust en matière de prévention de la fraude

Notre approche diffère fondamentalement de celle employée par les autres solutions en cela qu'elle repose sur la détection en temps réel.

Le rejet en temps réel constitue la seule façon de prévenir la fraude. De nombreuses autres solutions se limitent à une détection des faits en aval et vous informent uniquement lorsque la fraude est avérée. Avec un tel fonctionnement, il vous revient de prendre contact avec les réseaux pour justifier de l'origine illicite du trafic. Cette démarche souvent fastidieuse vous fait perdre un temps précieux dans votre démarche d'acquisition utilisateur. « C'est une énorme perte de temps » comme le dit Cyrus Lee, anciennement Senior User Acquisition Manager chez Playstudios, dans un article de blog. « Si vous achetez beaucoup de fraude, vos obtenez en fin de mois de nombreuses conversions devant faire l'objet d'un remboursement. »

Même si le trafic est légitime, les fournisseurs qui ne proposent pas des solutions en temps réel sont souvent à l'origine de faux positifs. Avec certaines méthodologies masquées dans les technologies « black-box », il est impossible de remettre en question chaque installation. Pour vous aider à mieux comprendre vos besoins, nous avons rédigé l'article suivant : Détection, prévention et autres facteurs constitutifs d'un filtre anti-fraude efficace.

Adjust se positionne comme une société qui pense la fraude différemment. Chez Adjust, la prévention de la fraude a toujours été au cœur de notre approche et joue un rôle essentiel dans nos décisions. Nous utilisons la prévention en temps réel pour garantir la précision des données et proposer aux clients des données propres et exploitables sur la base desquelles prendre des décisions marketing de qualité.

Le co-fondateur d'Adjust à propos de la prévention de la fraude

Co-fondateur et ancien CTO, Paul Müller, a écrit plusieurs articles sur la prévention de la fraude que vous trouverez ici. Notre responsabilité, en tant que fournisseur d'attribution, est de lutter activement contre la fraude. Et c'est une mission qui nous tient à cœur.

Comme le dit M. Müller « Comme nous rejetons la fraude, nous devons assumer la responsabilité de toutes les attributions bloquées par notre système et défendre chacun de nos partenaires. Nous assumons à chaque instant la charge de cette responsabilité que nous nous sommes donnée. »

« La prévention de la fraude n'est pas un simple stratagème marketing ou une façon de brouiller les pistes. C'est une grande responsabilité. Si nous parvenons à y répondre favorablement, nos solutions anti-fraude profiteront à l'ensemble de l'écosystème publicitaire mobile. Dans le cas contraire, ces mesures seront perçues comme de la poudre aux yeux ne s'attaquant pas au cœur du problème. »

Chez Adjust, notre volonté de développer des solutions anti-fraude restera toujours la première de nos préoccupations. Pour en savoir plus sur la lutte d'Adjust contre la fraude publicitaire, consultez notre Guide de la fraude publicitaire mobile. Et si vous souhaitez d'ores et déjà utiliser une plateforme d'analyses mobiles proposant une prévention de la fraude de premier ordre, contactez-vous !