Блог Зачем нужно противодействовать мошенниче...

Зачем нужно противодействовать мошенничеству?

Введение

В 2018 г. в исследовании BuzzFeed News была описана широко распространенная и очень вредоносная схема рекламного фрода, от которой пострадали миллионы пользователей Android. Эта мошенническая схема, коварная смесь SDK-спуфинга и мошеннических ботов, помогла ее авторам украсть миллионы долларов у рекламодателей и сетей. И это не исключительный случай — таких схем в мобильной рекламе становится все больше. Ознакомьтесь со статистикой, представленной в отчете Statista за 2021 г.:

Статистика по мобильному рекламному фроду:

  • 7 % установок на iOS и 12 % установок на Android были мошенническими
  • Уровень фрода после атрибуции для приложений iOS составлял 19 %, а для Android — 13 %.
  • Мошеннические действия событий в приложении составляли 11 % и 13 % от всех действий на Android и iOS соответственно.

Эти данные говорят о том, что фрод — превалирующая проблема для всех устройств. В техническом документе Экспертное руководство по мобильному рекламному фроду мы рассказываем о пагубном воздействии мобильного рекламного фрода на всю отрасль мобильной рекламы. К счастью, мошенничество можно остановить — или хотя бы начать контролировать.

Что такое фрод в мобильных приложениях?

Мошенничество в мобильных приложениях может принимать самые разные формы, а тактики мошенников постоянно меняются. Ни один тип приложений не застрахован от фрода. Выявление мошенничества и противодействие ему — критически важный элемент стратегии развития любых приложений, от электронной коммерции до банковской сферы. Следовательно, важно подобрать ответственного партнера по мобильным измерениям, который будет следить за мошенническими действиями и постоянно разрабатывать новые меры борьбы с ними.

Глава 1. Кликфрод

Типы мобильного кликфрода

Мобильный кликфрод бывает четырех типов: клик-спаминг, внедрение кликов, SDK-спуфинг и фермы устройств. Далее мы подробно рассмотрим все эти техники.

Клик-спам

Клик-спам — это когда мошенники присваивают себе органических пользователей. Фродеры скликивают объявления за пользователей, которые на самом деле не делали этого, а также присваивают себе случайные установки пользователей.

Клик-спам начинается в тот момент, когда пользователь мобильного устройства заходит на веб-страницу или в приложение, которым управляет мошенник. Дальше события могут развиваться по нескольким сценариям.

Методы клик-спама:

  • Кликфрод на странице может выполняться автоматически в фоновом режиме, если на экране есть интерактивные рекламные объявления (и даже если их нет).
  • Спамер может начать скликивать объявления в фоновом режиме, пока пользователь взаимодействует с приложением, имитируя действия пользователя.
  • Мошенническое приложение непрерывно генерирует клики, если это приложение работает в фоновом режиме 24/7 (например, средства запуска, средства очистки памяти, средства экономии заряда и т. д.).
  • Мошенник может выдавать показы объявления пользователю за действительные клики.
  • Спамер может имитировать клики и отправлять их поставщикам, отслеживающим трафик, с искусственно сгенерированных ID-адресов.

Любой клик-спам имеет один характерный признак: пользователь не намерен взаимодействовать с рекламой и не заинтересован в загрузке показанного приложения.

Вред от клик-спама

Коварство клик-спаминга в том, что он перехватывает органический трафик, который, если его не проверит система противодействия мошенничеству, будет ложно атрибутирован к трекеру платного канала. Это позволит мошеннику записать такие клики на свой счет. Если не заметить клик-спаминг на ранней стадии, он может серьезно отразиться на атрибуции всех событий в приложении: рекламодатели запутаются в статистике и будут тратить силы и время на привлечение пользователей, которых они уже приобрели органическим путем.

Такой обман имеет серьезные последствия. Самое очевидное из них — рекламодатели, сами того не зная, будут платить за органические установки, тратя на них свой рекламный бюджет. Но это еще не все: клик-спаминг имеет и другие отрицательные стороны.

  • Неправильная оценка числа органических установок

    Кража органического трафика приводит к неправильному подсчету числа органических пользователей, генерируемых приложением, а это, в свою очередь, искажает результаты внутреннего когортного анализа. Кроме того, в результате этого могут пострадать показатели таких генерирующих органических пользователей маркетинговых каналов, как брендинг и работа с прессой. Клик-спаминг способен полностью их парализовать.

  • Неточные данные для формирования стратегий UA

    Кража органического трафика также ставит под угрозу адекватность дальнейших решений. Например, если рекламная сеть выявляет органических пользователей, которые активно работают в приложении, то рекламодатель может решить инвестировать в этот канал, чтобы привлечь еще больше клиентов того же типа. Создается замкнутый круг: рекламодатель продолжает платить за пользователей, которых он мог бы на самом деле приобрести естественным путем или через другие маркетинговые каналы.

  • Отказ от более надежных каналов

    Если клик-спаминг остается незамеченным, кампании без мошеннических конверсий будут казаться менее успешными, чем кампании, незаконно присваивающие себе органических пользователей. В таком случае рекламодатель потеряет ROI, который он мог бы получить от не пострадавших от мошенничества каналов, так как основной бюджет уходит на мошеннические каналы.

Внедрение кликов

Внедрение кликов — это более совершенная форма клик-спаминга, характерная только для устройств на Android. Через специальное приложение мошенники получают информацию о загрузке других приложений на устройство и инициируют клики до завершения установки нового приложения. Мошенник записывает установки на свой счет, что позволяет ему незаконно присваивать не только органических пользователей, но и установки, полученные благодаря реальной рекламе из законного источника.

Короче говоря, в этом случае мошенники используют приложение для внедрения клика точно в нужное время и последующего получения оплаты за установку (CPI). Вследствие этого данные, которые маркетологи используют для принятия решений, будут содержать систематические неточности. Часто бывает так, что рекламодатели продолжают вкладывать деньги не в самую эффективную рекламу, потенциально лишая бюджетов более удачно размещенные и лучше проработанные кампании.

Если вы запускаете много кампаний с целью CPI в нескольких рекламных сетях, особенно на рынках, где CPI чрезвычайно популярна, например в США, риск попасться на крючок мошенников возрастает. Здесь мошенники обычно действуют в нескольких разных рекламных сетях.

SDK-спуфинг

SDK-спуфинг, который иногда еще называют спуфингом трафика или атаками повторного воспроизведения, происходит, когда мошенники используют реальное устройство для имитации действительных установок или кликов.

Для этого они используют боты, которые скрывают код внутри приложения. Этот код затем взламывает шифрование SSL коммуникаций между SDK отслеживания и его бэкенд-серверами. Мошенники перехватывают запросы по URL-адресам для определенных действий в приложении и экспериментируют до тех пор, пока не смогут успешно отслеживать рекламный клик, установку или другой тип вовлечения. После этого они смогут создавать бесконечное множество таких ложных действий по вовлечению.

Фермы устройств

При таком способе мобильного рекламного фрода мошенники создают ложные установки приложений, события конверсии и другие типы вовлечения вручную. Что такое фермы устройств? Представьте себе фабрику с десятками работников, каждый из которых управляет десятками iPhone. Такие фермы существуют по всему миру.

Фермеры устройств скрывают свою активность следующими способами:

  • Использование различных типов устройств и ограничение отслеживания рекламы
  • Сброс идентификаторов устройства с каждой установкой
  • Смена IP-адресов для сокрытия повторных активаций

Ложная активность, которую демонстрируют такие фермы, выглядит вполне легитимно. Если она останется незамеченной, то рекламные бюджеты компаний будут расходоваться очень быстро.

Глава 2. Противодействие мобильному мошенничеству

Как защититься от мобильного мошенничества?

Противодействие мошенничеству, как и само мошенничество, может принимать разные формы. Однако благодаря специальным технологиям и тщательному изучению отчетов мобильные маркетологи порой могут выявить фальшивые действия еще до того, как они произойдут.

Каждый способ необходимо выявлять отдельно. Определив, в чем разница между внедренными кликами, клик-спамингом с низкой и высокой частотой, мы сможем эффективнее выявлять эти методы. Больше не нужно будет обращаться к издателям приложений, чтобы решить, какой клик считать истинным, а какой ложным.

Давайте подробнее рассмотрим эти способы, чтобы научиться выявлять разные типы рекламного фрода и бороться с ними.

Как обнаружить клик-спам?

Клик-спаминг можно мгновенно распознать, если обратить внимание на простую закономерность. Мы в Adjust смогли выявить четкую разницу между распределением во времени кликов от настоящей рекламы по сравнению с кликами от спамеров.

Клики из настоящего источника трафика атрибутируются с нормальным распределением. Конечно, точная форма и объемы распределения будут отличаться в зависимости от источника трафика, но, как правило, из надежного источника больше всего установок будет в первый час, а затем активность быстро начнет снижаться.

Img

Источники с клик-спамингом ведут себя по-другому. Установки из мошеннического источника распределяются равномерно, потому что спамер может инициировать только клик, но не установку. Таким образом, для установок (и времени от клика до установки) будет характерно случайное распределение.

Это значит, что клик-спамеров возможно устранить до атрибуции — нужно прекратить атрибутировать установки источникам, показывающим равномерное распределение трафика. Рекламодатели могут противостоять спамерам.

Как предотвратить внедрение кликов?

Впервые техника внедрения кликов была обнаружена, когда отдельные клики оказались подозрительно близко к атрибутируемой им установке. На графиках времени от клика до установки (CTIT) такой фрод отображается в виде огромного всплеска активности в самом начале визуализации данных, который предупреждает исследователей о вероятности присутствия поддельных атрибуций в изучаемом наборе.

Некоторые специалисты отрасли продвигают идею создания фильтра для обнаружения и выявления «невозможных» CTIT. Но в таком случае любая установка, произошедшая через несколько секунд после клика, будет сочтена ложной. Несмотря на то что работать с таким фильтром несложно, полностью проблему он не решит.

В Adjust решили копнуть глубже и пойти в обратном направлении, чтобы найти более надежную систему фильтрации.

Мы анонсировали фильтр внедренных кликов в 2017 г. Сегодня он входит в состав решения Fraud Prevention Suite. Принцип работы нашего фильтра — запрещать атрибуции установок из определенных источников, если по ним видно, что клик произошел между новой временной отметкой install_begin и первым открытием приложения пользователем (или при следующем запуске сессии, поскольку это также относится к повторным атрибуциям).

Дальнейшие исследования даже привели нас к совместному проекту с Google, в рамках которого мы выявили самую эффективную временную отметку фильтра в формате «да/нет» — нажатие на кнопку «скачать». Активно отфильтровать такое мошенническое действие (как и многие другие виды фрода) может только решение для атрибуции от Adjust. Чтобы более подробно познакомиться с системой мониторинга CTIT на предмет клик-спама и внедрения кликов, посмотрите наш вебинар о разумном подходе к противодействию мобильному рекламному фроду.

Как выявлять фермы устройств?

Итак, как же отличить фермы устройств — реальных устройств с реальными людьми — от не менее реальных пользователей, которых вы хотите привлечь?

О том, что эти пользователи просто не остаются и никогда ничего не покупают, могут сообщить многие системы противодействия мошенничеству. Однако проблема в том, что таким же образом поступает и большинство реальных пользователей. В конце концов, удержание в первый день для большинства вертикалей приложений редко превышает 30 %. Поэтому, если трафик от ферм устройств смешан с реальным, сказать, где здесь правда, а где подделка, очень сложно.

Более детально рассмотрев стандартные действия мошенников, мы видим, что им постоянно приходится сбрасывать идентификаторы устройств, чтобы установка считалась новой. Например, в случае с iOS SDK Adjust считает новой только установку, выполненную после полного сброса устройства. Это занимает более 15 минут, что значительно замедляет работу мошенников.

Еще один момент, на который стоит обратить внимание, — это IP-адрес, используемый для отправки запросов к SDK. В случае отсутствия маскировки или VPN он, скорее всего, будет принадлежать таким странам, как Вьетнам или Таиланд. Такие адреса легко отфильтровать. При перегоне трафика через прокси-серверы или VPN на более прибыльные рынки, такие как США, часто отображаются IP-адреса, зарегистрированные на дата-центры. Такие IP-адреса обычно можно найти в доступных для коммерческого использования списках и запретить для них атрибуцию. Использование внутренних IP-адресов тоже возможно, но это гораздо медленнее и намного дороже, поэтому такой способ мошенничества менее привлекателен.

Вопрос по ферме устройств: может ли ферма кликов переключать IP-адреса при ее обнаружении/блокировании, или есть способ заблокировать эти фермы навсегда?

Нет, заносить фермы устройств в список блокировок нет смысла. Это не принесет пользы, так как они с легкостью меняют IP-адреса и VPN-сервисы. Adjust приобретает официальную базу данных IP-адресов, но мы не используем ее для создания списка блокировок. Вместо этого мы ежедневно обновляем метаданные с IP-адресами. Именно они помогают обучать алгоритмы фильтрации.

Например, если дата-центр покупает новые диапазоны IP-адресов, то мы узнаем об этом на следующий день. Мы также узнаем все о потерях или продажах диапазонов IP-адресов. Таким образом мы обеспечиваем минимальный объем ложноположительных результатов.

Каким образом Adjust помогает выявлять SDK-спуфинг?

Adjust создала новое решение — хеш цифровой подписи для проверки каждого обращения SDK к нашему серверу. Мы добавили одноразовый динамический параметр к URL-адресу. Такой параметр нельзя подобрать или украсть. Такой метод позволяет быть уверенным, что атаки повторного воспроизведения не сработают.

Чтобы узнать больше о цифровой подписи SDK, обратитесь к нашей документации.

Глава 3. Преимущества противодействия мошенничеству

Пять преимуществ противодействия мошенничеству

Давайте рассмотрим пять преимуществ нашего решения, которые делают его важной инвестицией для противодействия мошенничеству.

  1. Экономия бюджета
    Противодействуя мошенничеству, вы перестанете тратить бюджет маркетинговой кампании на трафик, который не приносит результата. Учитывая, что сегодня на продвижение тратятся тысячи, а то и миллионы долларов, столь крупные суммы необходимо защищать от неправомерного использования. Мошенники не должны получить к ним доступ.

  2. Чистые данные
    Рассмотрим следующий сценарий: у сети A более высокий коэффициент конверсии, чем у сети B, и пользователи при этом проводят в ней больше времени. Обычно это означает, что вы будете больше инвестировать в сеть А. Однако, если вы не будете вкладывать средства в противодействие мошенничеству, то не сможете с уверенностью утверждать, что трафик сети А не мошеннический.
    Избавившись от мошеннического трафика, рекламодатель сможет выстроить стратегию на основе точных данных и KPI.
    Из-за мошенничества одно неправильное решение тянет за собой другое, и рекламодатели тратят средства на сомнительные источники, которые кажутся им более эффективными. Внедряя системы противодействия мошенничеству, вы сможете выявить сети с фальшивым трафиком и снизить количество рискованных решений, связанных с расходами на рекламу.

  3. Дополнительные возможности
    Противодействие мошенничеству позволяет фильтровать не только мошеннический трафик, но и трафик, идущий из ненадежных источников. Это позволяет вам понять, с какими партнерами будет выгоднее всего работать. Выбирайте тех, кто будет способствовать вашему успеху. Маркетологи должны постоянно проявлять бдительность, отслеживать появление новых способов мошенничества и сотрудничать с MMP по этому вопросу.

  4. Защита средств бренда
    World FinTech Report 2019 — это опрос банков и представителей финтех-компаний на предмет выявления самых серьезных проблем, с которым сталкивается сектор финансовых услуг. В самом верху списка оказалась проблема безопасности. После введения CCPA и GDPR бренды стали более аккуратно относиться к данным пользователей. В случае проблем с безопасностью теперь страдает не только репутация, но и материальные активы бренда. Именно поэтому важно противодействовать мошенничеству во всех его формах.

  5. Конкурентное преимущество
    Противодействовать мошенничеству может каждый. Однако, если ваш конкурент внедрил систему противодействия мошенничеству, а вы нет, вы должны понимать, что он привлечет больше пользователей — и они будут более качественными.
    Приложение, которое отфильтровывает мошенничество, будет более эффективно привлекать пользователей, потому что его реклама будет охватывать реальных клиентов. Кроме противодействия мошенничеству помогает расходовать бюджеты всех сторон более рационально, не позволяя расходовать средства на мошенников.
    Ваши конкуренты могут прекрасно справляться с задачей снижения рисков. Но если они могут это делать, значит, можете и вы.

Глава 4. Предотвращение мошенничества на рекламе со стороны провайдера

Почему провайдер атрибуции должен бороться с мобильным рекламным фродом?

Партнеры по мобильным измерениям (MMP) необходимы для эффективной передачи издателями приложений данных об атрибуции из рекламных сетей (подробно описано здесь). Для противодействия мошенничеству также необходим посредник, который выступил бы в качестве модератора экосистемы. Вот несколько основных причин, почему эту роль играют такие MMP, как Adjust.

Несколько сетей, которые сознательно продают мошеннический трафик для приложений, очернили репутацию этого канала для продвижения как такового. Большинство партнеров активно работают с решениями антифрода, но не всем сетям можно доверять в плане того, что с их трафиком всегда все в порядке и они используют технологии антифрода. Поэтому задачу анализа трафика, проходящего через систему, и определения того, является ли конкретная установка действительной, выполняют ММР.
**У рекламных сетей нет доступа к данным, которые есть у MMP. Даже если сеть уделяет достаточно внимания предотвращению мошенничества из известных ей источников, остается возможность проникнуть в систему другим способом. Например, мошенники могут применить SDK-спуфинг, чтобы избежать обнаружения за счет инициирования похожих на реальные установок и обойти проверки, которые могут создать только ММР на основе имеющихся у них данных.

Помочь выстроить доверительные отношения между сетями и рекламодателями могут ММР, работающие как посредники. Мошенничество невыгодно для ММР, потому что при этом страдают данные первой стороны, что в свою очередь наносит ущерб репутации ММР. Все ММР по умолчанию должны вести серьезную борьбу с мошенничеством.

Обратите внимание, что существуют сервисы, не входящие в экосистему мобильных измерений, но предлагающие решения по противодействию мошенничеству. Их называют «поставщиками систем обнаружения мошенничества». Наши сетевые партнеры CrossInstall (теперь часть Twitter) в своей статье подробно разобрали плюсы и минусы таких компаний по сравнению с MMP.

Какие преимущества может предложить Adjust по сравнению с другими решениями по противодействию мошенничеству

Наше решение отличается от других предложений одним ключевым нюансом — противодействие идет в реальном времени.

Отказ в реальном времени — это единственный способ противодействия мошенничеству. Большинство решений могут обнаруживать мошенничество только постфактум, то есть они просто сообщают вам о факте наличия мошеннических действий. Но это означает, что вам придется самим разговаривать с сетями и выяснять, какой трафик был нелегитимным. Подобные коммуникации отнимают много времени, которое можно было бы потратить на привлечение пользователей, и приводят к конфликтам. «С рекламой всегда нужно работать по горячим следам, — говорит Сайрус Ли (Cyrus Lee), бывший старший менеджер по привлечению пользователей в Playstudios, в предыдущей [публикации в блоге].(https://www.adjust.com/blog/does-fraud-give-your-competitors-an-advantage/). — Чем больше мошеннического трафика вы покупаете, тем больше в конце месяца у вас уйдет времени на разговоры о возврате денег».

Кроме того, решения постфактум могут привести к тому, что действительные установки будут ошибочно опознаны как мошеннические. Даже в случае легитимного трафика, если решение вашего поставщика не работает в реальном времени, вы будете получать больше ложных срабатываний системы. Конкретные алгоритмы распознавания часто являются секретом фирмы, что приводит к невозможности оспорить каждую установку. Чтобы помочь вам лучше понять, что может понадобиться в этом деле, мы написали статью: [Обнаружение, предотвращение и принципы хорошего фильтра для борьбы с мошенничеством].(https://www.adjust.com/blog/mobile-fraud-theory-part-2/).

Adjust использует принципиально иной подход к проблеме фрода. С самого начала работы мы уделяем много внимания противодействию мошенничеству и ставим во главу угла точность и достоверность данных.

Сооснователь Adjust о противодействии мошенничеству

Наш сооснователь и бывший технический директор Пауль Мюллер (Paul Müller) написал серию статей о противодействии мошенничеству, которые вы можете прочитать в блоге. Борьба с мошенничеством — это большая ответственность для поставщика услуг по атрибуции, и мы берем на себя эту ответственность в полной мере.

Как говорит Мюллер (Müller): «Заявления о том, что мы не пропускаем рекламный фрод, ведут к необходимости быть готовыми взять на себя ответственность за любую атрибуцию, предотвращенную нашей системой, и защищать каждую из них перед нашими партнерами. Мы должны рассматривать каждый конкретный случай и принимать по нему верное решение».

«Противодействие мошенничеству не должно быть просто маркетинговой уловкой и не должно сбивать клиентов с толку. Это серьезная ответственность. Если все сделать правильно, решения по антифроду будут выгодны всей экосистеме мобильной рекламы. При некачественной же реализации подобная система превратится в бесполезную игрушку, неспособную решить основную проблему».

Разработка решений для противодействия мошенничеству всегда была и остается неотъемлемой частью миссии компании Adjust. Чтобы узнать больше о том, как Adjust борется с рекламным фродом, ознакомьтесь с нашим Руководством по мобильному рекламному фроду. А если вы готовы начать сотрудничество с платформой мобильной аналитики, которая предлагает самые современные средства защиты от мошенничества, свяжитесь с нами!

Хотите получать обновления Adjust?