Rocket Фрод

Ранее мы писали про скрипты «ретаргетинга» и фрод, который идет через CPA-сети и рекламные агентства. В преддверии высокого сезона решили описать новый подход к фроду, который удалось найти.

Лернейская Гидра, у которой вместо одной отрубленной головы вырастали две новые
Лернейская Гидра, у которой вместо одной отрубленной головы вырастали две новые

Проверка скриптов ретаргетинга

Коротко: большинство сайтов из нашей первой статьи не удалили фродящие коды, но сами коды поменялись (например, домен retag.pw, подобно Лернейской Гидре, распался на десятки одноразовых доменов). Думаем, это - наша заслуга, и фродеры стали осторожней. Больше нам не выложить красивый скриншот с similarweb как доказательство фрода. Придется разбираться с каждым из одноразовых доменов, которые часто меняются.

Фродовая CPA-сеть

Теперь к главному: в этой статье разберем целую CPA-сеть, в которой мы не нашли чистых вебмастеров.

Для крупных фродеров создание свой CPA-сети выглядит как логичный шаг. Ведь действительно, зачем регистрировать вебмастера в общеизвестной CPA-сети когда можно создать свою CPA-сеть используя affise.com и прийти с этой CPA-сетью напрямую в агентство.

Агентства обычно мотивированы увеличить CPA-канал и с радостью подключают новые источники, вставляя неизвестные коды ретаргетинга с анонимных одноразовых доменов (как избежать этого с помощью правильных KPI мы рассказывали в предыдущей статье).

Эту сеть нам помог найти контейнер скриптов Adv.Cake на сайте 220-volt. Напомним, в прошлый раз они вставляли такой код:

Код осуществлял iframe-кукистафинг (подробнее - в нашем первом <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fadmon.pro%2Fblog%2F%25D0%25BF%25D1%2580%25D0%25B8%25D0%25B2%25D0%25B5%25D1%2582-%25D0%25BC%25D0%25B8%25D1%2580%2F&postId=49635" rel="nofollow noopener" target="_blank">расследовании</a>).
Код осуществлял iframe-кукистафинг (подробнее - в нашем первом расследовании).

Но после нашей статьи его убрали. Также этот код убрали и некоторые CPA-сети (например, GdeSlon) и глобально фрода стало меньше на какое-то время.

Сейчас на том же месте в контейнере Adv.Cake находится такой код:

Текущий код, который вставляется через контейнер Adv.Cake
Текущий код, который вставляется через контейнер Adv.Cake

Давайте разберем как он работает: открываем dev tool и видим пустой файл.
Но это не проблема – мы привыкли, что от нас прячут скрипт. Проверили другие страницы сайта и код также не нашли.
Мы начали искать, что отдает rockcnt.com на самом деле и нашли следующее:

Скрипт, который отдает код rockcnt
Скрипт, который отдает код rockcnt

Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября.
Код rockcnt.com на некоторых сайтах возвращает и более знакомые нам скрипты по прошлым статьям.

Далее через серию вставок кода с домена ubscript.com мы находим боевой участок кода:

Код кукистаффинга с домена ubscript.com
Код кукистаффинга с домена ubscript.com

По коду видно, что создается iframe по CPA-ссылке в невидимой области экрана – это обычный Кукистаффинг.
По CPA ссылке происходит переход на тот же сайт, но с CPA-метками с источником Rocket10 в utm_source.

Не только Adv.Cake подключает rockcnt.com, например, в контейнере TrackAd мы нашли такой код:

Содержимое контейнера TrackAd
Содержимое контейнера TrackAd

По UTM метками, коду подключения из TrackAd, алиасу track.r10web.com на affise.com можно сделать вывод, что Rocket10 приходит в агентство как CPA-сеть с несколькими вебмастерами и полноценной интеграцией.

Результат расследования

Мы проверили вебмастеров Rocket10 по доступному нам трафику и обнаружили: равномерное распределение трафика по вебмастерам, одинаковый фрод через iframe в каждом вебмастере (примерно по 20%). Чистый трафик там тоже есть, но он скорее нужен для отвода глаз, чтобы скрыть фрод по статистике.

Отметим, что Adv.Cake и TrackAd позиционируют себя как антифрод-решения, однако подключают клиентам неизвестный код с анонимных доменов, который довольно часто оказывается фродом.

Сайты, на которых мы нашли вставку rockcnt.com:

123.ru, 220-volt.ru, alpindustria.ru, aromacode.ru, atlasformen.ch, atlasformen.de, atlasformen.fr, atlasformen.nl, atlasformen.pl, avtocod.ru, beautydiscount.ru, bethowen.ru, bonprix.ru, book24.ru, chitai-gorod.ru, condom-shop.ru, delivery-club.ru, dinomama.ru, evropharm.ru, gracy.ru, just.ru, lampart.ru, laredoute.ru, mi-shop.com, mytoys.ru, nebo.ru, niyama.ru, nozhikov.ru, ogo1.ru, ostin.com, pharmacosmetica.ru, pichshop.ru, ps-box.ru, pudra.ru, rukodelov.ru, sendflowers.ru, shop.laroche-posay.ru, shop.misslo.com, sportmaster.ru, store77.net, topradar.ru, tutu.ru, vamsvet.ru, vassatrend.ru, zdravzona.ru.

Также домен usercomebacker.com, похожий по поведению на ubscript.com, был обнаружен на этих сайтах:

lacywear.ru, lwr.kz, toy.ru, yves-rocher.ru, ezakaz.ru, holyskin.ru.

Что в итоге

Технологии мошенников развиваются ежедневно. Чтобы не переплачивать за бесплатный трафик и не платить дважды за трафик с других платных каналов, мы рекомендуем внимательно проверять скрипты, которые ставятся на ваш сайт, особенно через подрядчиков.

Для контроля правильного расходования бюджета лучше привлекать независимых подрядчиков, которые не получают процент с рекламного бюджета.
Мы со своей стороны всегда рады бесплатно проконсультировать и помочь всем, кому это действительно интересно - проверяем работу сторонних кодов на сайте, фрод в СРА-трафике и накрутки со стороны медийных подрядчиков.

Впереди высокий сезон, Black Friday, День холостяка и Новый год - большие рекламные бюджеты, дефицит чистого трафика и повышенный соблазн для мошенников "срубить бабла" на год вперед везде, где за ними не следят.

Узнать больше о рекламном фроде и не только можно в нашем блоге или на странице FaceBook.

1616
12 комментариев

Мы увидели упоминание TrackAd в статье и, на наш взгляд, эта статья несет намеренный негативный смысл, поэтому будет справедливо ответить.

Во-первых, партнерская сеть Rocket10 сразу упоминается, как мошенническая, и это только на основании кода, найденного в скрипте. Rocket10 это известная и многопрофильная компания международной группы с разными каналами трафика, в которой работают 130 сотрудников в 5 странах мира. Конечно, это не освобождает их от каких-либо попыток мошенничества, но, по крайней мере, вызывает сомнения в правдивости написанного и дает право на комментарии до публикации статьи с осуждениями.

Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook.

Во-вторых, подозрительный тег Rocket10 был найден в тег-контейнере TrackAd, в инструмент которого также входит известное решение по борьбе с фродом, и сразу была проведена необоснованная связь между предполагаемым мошенничеством в теге и эффективностью самого анти-фрод решения TrackAd.

Прежде всего, это говорит о том, что нет понимая, как функционирует любой тег-контейнер. Контейнер тегов - это технология, у которой есть три основных преимущества:
. доступ к библиотеке тегов источников трафика
. возможность быстрого размещения тегов на сайте без задействия технической команды
. асинхронная загрузка, чтобы избежать медленной загрузки страниц сайта, если код неисправный.

Это относится абсолютно ко всем решениям по управлению тегами, в том числе Google Tag Manager, Qbit, Commander Act или тег-контейнер TrackAd.
Как и GTM в пакете Google Analytics 360, тег-контейнер TrackAd это один из продуктов пакета TrackAd, обособленный от других. Поэтому ни при каких обстоятельствах теги, которые запущены в тег-контейнере TrackAd, не влияют на работу аналитического инструмента TrackAd, одна из функций которого - идентификация фрода в партнерских сетях.

То же самое можно сказать о Google Analytics в сравнении с Google Tag Manager.
Все теги, запущенные через тег-контейнер, также могут быть интегрированы напрямую на сайт, но с большим риском замедления работы в случае неисправности кода.

И наконец, мы всегда поддерживаем и следим за новыми методами выявления фрода. Мы были первыми и именно это делает наш инструмент успешным в Европе. Тем не менее, мы всегда осторожны в суждениях, и, на наш взгляд, эта осторожность должна быть правилом для всех участников анти-фрода. Перед любым сообщением, а тем более обвинением подрядчика, мы предоставляем ему возможность прокомментировать ситуацию. А делается это как раз для того, чтобы избежать публичного осуждения игроков рынка на основе предположений и догадок.

Комментарий недоступен

1

К сожалению, фрод настолько пронизал рекламную отрасль, что с ним часто непонятно как бороться: в нем многие заинтересованы. Например, мы берем КМС Гугла (по идее Гугл говорит о борьбе за чистоту) и видим приличное кол-во левого трафика, который часто даже не маскируется под качественный и человеческий. А ведь это деньги и Гугл вряд ли их возвратит, т.к. косвенно заинтересован в подобной схеме. Это всего лишь частный пример. Я молчу, что творится в тизерках и аналогичных похожих сетях. Хотя может тоже расскажем в отдельном кейсе