Фродовые войны: скрытая угроза в CPI-маркетинге

Маркетолог BlaBlaCar Станислав Измайлов рассказал, как распознавать и бороться с click injection.

В 2016 году мой коллега Тимофей рассказывал о двух самых популярных видах мошенничества в CPI-маркетинге: мотивированных установках и краже трафика, они же — click spam (в обоих случаях речь идёт о том, как паблишеры накручивают результаты по установкам вашего мобильного приложения, чтобы вы заплатили им больше, чем должны на самом деле). В 2017 году мы столкнулись с новой, хорошо скрытой угрозой — click injection.

Принцип работы click injection похож на click spam, только вместо хаотичного града ложных кликов вредоносный софт распознаёт и заражает меткой мошенника установку приложения из нужного оффера.

Объясню на пальцах: вы приходите в агентство и заключаете с ним договор на установки приложения. Далее агентство размещает оффер в рекламных сетях. Там ваш оффер разбирают специалисты (арбитражники), которые закупают у агентства установки по оптовым ценам, а перепродают или реализуют — по розничным, на этом и зарабатывают.

Некоторые из эти арбитражников — ушлые ребята. Они берут вашу метку, которая позволяет агентству считать количество установок от каждого из арбитражников, и через вредоносный софт (под ударом ПО на Android) изменяют её и заражают так, что прочие установки, в том числе органические или от других арбитражников, будут засчитываться как реализованные ими — этими ушлыми ребятами.

В результате click injection мы уже не увидим высокой конверсии из клика в установку, как при мотивированных установках. А по поведению этот вид мошенничества не распознать, ведь такой трафик приходит из органики или надёжных источников, таких как Facebook, Google или даже Twitter. Проседание вышеупомянутых источников тоже заметить нелегко: click injection питается всем трафиком без разбора, откусывая по кусочку везде, где получится.

Часто мошенники комбинируют различные виды махинаций с трафиком, чтобы придать ему более реалистичный вид и минимизировать риск разоблачения всех фродовых установок. Из-за этого бывает так, что на одном источнике можно заметить как плохую конверсию из клика в установку и низкую активность пользователей после установки, так и click injection.

Обнаружив эту ситуацию и разобравшись в ней, мы были в шоке от масштаба проблемы. Если вы впервые о ней слышите и размещаете рекламу в CPI-сетях, то независимо от того, что они обещают, объём установок с click injection абсолютно точно составляет от 10% до 60% (из оплаченных вами 100%).

Винить сами сети не стоит, некоторые из них точно стараются бороться с фродом. К сожалению, переподключаться после блокировки под другим ID номером или приходить в другую сеть и работать с тем же оффером — это нормальная для мошенников-арбитражников практика.

К тому же, click injection серьёзно путает карты и не даёт правильно оценить эффективность источников. Вполне вероятно, что большая часть конверсий приходится на органику, которую вы закупаете под видом in-app трафика. Поэтому, когда трафик очистится от мошеннических установок, реальные показатели могут оказаться совсем другими.

Обратить внимание нужно на CTIT (click to install time) — это промежуток времени от клика до установки. До недавнего момента можно было смело клеймить все установки, пришедшие до 15 секунд после клика. Время может увеличиваться в зависимости от размера приложения.

Важно понимать, что доступная для анализа временная метка являлась временем открытия приложения. Например, наше приложение BlaBlaCar на Android весит около 15 Мб. Время, необходимое для нажатия на баннер, открытия Google Play, загрузки, установки и открытия приложения, не могло быть меньше 30 секунд.

Всё изменилось в ноябре 2017 года, когда Google открыл доступ к усовершенствованному API. Раньше цепочка выглядела так: просмотр — клик — открытие приложения — действия в приложении. Сейчас для аналитики доступно больше ступеней, каждой из которых соответствует своя временная метка: просмотр — клик — открытие Google Play — нажатие кнопки «Установить» — завершение установки — открытие приложения — действия в приложении.

Большинство заражений меткой мошенников происходит в промежуток между нажатием на кнопку «Установить» и завершением установки на устройстве. Соответственно, CTIT у таких установок окажется негативным, так как установки будут приходить до кликов по баннеру. Другая часть заражений случается между завершением установки на устройстве и открытием приложения, такие установки можно по-прежнему распознать по небольшому CTIT, скажем, до десяти секунд.

Разумеется, всегда найдётся пользователь, который, вероятно, сёрфит интернет со скоростью 3.2 Тб в секунду, подключаясь напрямую через трансокеанический подводный кабель. Поэтому отдельные случаи сверхбыстрых установок, как и других аномалий, всегда возможны. Выход один — нужно смотреть на всю картину целиком и обращать внимание на всплески.

Сама механика довольно простая: бери временные метки кликов и установок и сравнивай: когда случился клик, через сколько секунд началась загрузка, через сколько пользователь оказался в Google Play, когда завершилась установка и так далее. Временные метки можно отслеживать самостоятельно, а можно воспользоваться сторонними решениями: антифрод-инструментами трекинговых сервисов или отдельными приложениями.

Важно помнить, что трекинговые сервисы получают деньги за объём установок, поэтому они часто могут не замечать фейковые установки. Инструменты антифрода действуют наоборот — они готовы искать подвох даже там, где его нет. Поэтому рекламодателям нужно самостоятельно анализировать отчёты и делать выводы.

Конечно, многое зависит и от ваших бюджетов. Вполне возможно, что будет разумнее отступить и перестать закупать in-app трафик, перекинув бюджеты на более надёжные источники, например, Facebook. Да, стоимость установки, скорее всего, окажется выше, но не придётся тратиться на антифрод-инструменты, к тому же пропадёт риск того, что вы платите за собственную органику.

Само собой, следует оспаривать выплаты за click injection, но также важно отключать источники с большим процентом таких установок. Есть мнение, что click injection, который можно обнаружить по анализу CTIT, — это только верхушка айсберга. Поэтому, отсекая его и оплачивая остаток, мы только стимулируем мошенников набирать обороты. Но это уже совсем другая история.

#маркетинг