Гайд по борьбе с рекламным фродом. Как обезопасить кампании от мошенничества?

В 2019 году рекламодатели потратили $407 на каждого пользователя Интернета. Из них $61 был потрачен на фейковый трафик. Разбираемся в главных видах рекламного фрода и в том, как обезопасить свои рекламные бюджеты от мошенников.

Программатик возник в ответ на сложность в масштабировании диджитал-рекламы и подписании прямых контрактов с паблишерами (владельцами рекламных площадок). Рекламные серверы позволили настроить процесс аукциона и автоматизировать закупки рекламы, но также привели к некоторым проблемам.

Программатик-экосистема сложна. Огромная сеть партнерских отношений, современные технологии и глобальный маркетплейс, позволяющие показывать персонализированную рекламу, открыли дверь для фрода (от англ. fraud - мошенничество в диджитал рекламе). В 2019 году рекламодатели потеряли, по разным оценкам, от $5,8 млрд до $42 млрд из-за фрода.

В этой статье я рассмотрю наиболее распространенные типы рекламного фрода и представлю лучшие методы защиты от него.

Немного теории

Чтобы реклама работала эффективно, ее должны видеть и кликать реальные пользователи, а не боты/ботнеты, которые имитируют поведение людей. Боты, которые генерируют фейковый трафик, наносят значительный ущерб рекламным и маркетинговым бюджетам. Согласно совместному исследованию Traffic Guard и Juniper Research, в 2019 году рекламодатели потратили $407 на каждого пользователя Интернета. Из них $61 был потрачен на фейковый трафик.

Перед тем, как искать решение проблемы фрода, рекламодателям стоит разобраться в различиях между базовым недействительным трафиком (GIVT) и сложным недействительным трафиком (SIVT) и понять, в какой степени каждый тип может повлиять на их рекламные кампании.

Потери рекламных бюджетов из-за фрода в мире Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.emarketer.com%2Fcontent%2Fpodcast-ad-fraud-rears-its-head-again&postId=159440" rel="nofollow noreferrer noopener" target="_blank">eMarketer</a>
Потери рекламных бюджетов из-за фрода в мире Источник: eMarketer

GIVT

Базовый недействительный трафик похож на фоновый шум: он всегда есть, но не представляет угрозы. Его создают поисковые роботы или боты, которые выполняют определенные технические задачи. Они демонстрируют нехарактерное для реальных пользователей поведение, например, переходы между веб-сайтами каждые несколько секунд. Благодаря этому, их можно легко обнаружить. К GIVT относятся:

● поисковые роботы;

● аналитические роботы;

● боты дата-центров;

● трафик из неизвестных браузеров (например, с использованием VPN).

GIVT можно обнаружить с помощью стандартной процедуры фильтрации по спискам или проверки параметров.

SIVT

Сложный недействительный трафик – это то, что люди обычно имеют в виду, говоря о фроде. SIVT – это трафик, который позволяет создавать фейковые просмотры или клики и, соответственно, получать доход от рекламы. Мошенники генерируют SIVT различными путями: подменой домена, захватом устройства (device hijacking), манипуляций с файлами cookie и т.д.

Этот вид трафика очень трудно обнаружить, потому что он имитирует поведение человека и обычно не бросается в глаза. Для выявления SIVT требуется глубокая аналитика, координация между партнерами и опыт борьбы с фродом. К SIVT относятся:

● взлом пользовательских сеансов и загрузок;

● наслаивание рекламы;

● пикселизация рекламы;

● боты и клик-фермы, замаскированные под реальных пользователей;

● ложные данные о местоположении;

● вредоносное ПО, подмена файлов cookie и многое другое.

Объем трафика GIVT обычно незначителен, в то время как SIVT представляет реальную угрозу и выкачивает деньги, как у рекламодателей, так и у паблишеров. Когда рекламодатель платит за просмотр или клик, мошенник получает свою долю.

Что может навредить вашей рекламе?

Существуют различные виды фрода, такие как fake supply (фейковый рекламный инвентарь), фейковая атрибуция или фейковый трафик. Чтобы определить, подвергались ли ваши рекламные кампании атакам мошенников, важно знать наиболее распространенные виды фрода на различных платформах:

Cамые распространенные виды фрода Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fblog.admixer.com%2F&postId=159440" rel="nofollow noreferrer noopener" target="_blank">Admixer</a>
Cамые распространенные виды фрода Источник: Admixer

Инъекция кликов

Техника инъекции кликов основана на работе вредоносных приложений или расширений браузера, которые производят фейковые клики по рекламным объявлениям.

В прошлом году Facebook подал иск против двух разработчиков приложений — LionMobi и JediMobi — за привлечение фальшивого трафика на рекламную платформу. Эти разработчики получили незаслуженные выплаты от Facebook, имитируя заинтересованность реальных людей рекламными объявлениями.

Это обычная практика мошенничества для простых приложений, таких как гиперказуальные игры, которые скачивают миллионы людей. Такие приложения кликают по рекламе в фоновом режиме, незаметно для пользователя.

Например, приложения, зараженные вредоносной программой Simbad, были скачаны из Google Play 150 миллионов раз. Simbad кликал на рекламу в фоновом режиме и зарабатывал на фейковой активности, при этом еще и съедая мобильный Интернет и заряд батареи.

Клик-спам

Как и инъекция кликов, клик-спам генерирует ложные клики. Однако вместо того, чтобы внедрять вредоносное ПО на устройства реальных пользователей, клик-спам производит большое количество кликов с помощью ботов и клик-ферм. Мошенники «засыпают» систему многочисленными фейковыми кликами в надежде, что некоторые из них пройдут через фильтры и получат выплату.

Правоохранительные органы регулярно выявляют тысячи клик-ферм, преимущественно в странах Tier-2 и Tier-3 (странах с более низким уровнем дохода на душу населения и покупательской способностью). Например, пару лет назад в Таиланде трое мужчин были арестованы за организацию клик-фермы из 300 000 SIM-карт и 400 айфонов.

Маскирование рекламы (Ad injection)

Этот тип мошенничества предполагает размещение рекламы в приложении или на веб-сайте паблишера без его разрешения. Эти рекламные объявления обычно размещаются фродовыми расширениями браузера, которые заменяют или перекрывают существующие рекламные объявления.

Недавно компания AdGuard обнаружила 295 расширений Chrome, которые вставляют рекламу в результаты поиска Google и Bing. Большинство из них работали как поддельные расширения для блокировки рекламы, очистители файлов cookie или погодные боты, которые были доступны в официальном Chrome Web Store. Фродовые расширения загрузили 80 миллионов раз. Впоследствии мошенники перехватывали показы, забирая доходы от рекламы.

Наслаивание рекламы

Наслаивание рекламы (показ рекламы поверх другой рекламы) – это тактика фрода, при которой несколько рекламных объявлений размещаются в одном месте, при этом отображается только верхнее. Таким образом, пользователь не знает, что просматривает другую рекламу, а рекламодатель платит за скрытые поддельные показы.

Пикселизация рекламы

Пикселизация рекламы – еще один метод, который имитирует активность пользователя и размещает рекламу в формате, невидимом для пользователя: в одном пикселе или на скрытых частях интерфейса.

Благодаря хитрому размещению мошенники генерируют фейковые просмотры, а рекламодатель платит за ложные показы.

Перехват загрузок

Одним из наиболее распространенных видов фрода в приложениях является перехват загрузок. Этот тип рекламного мошенничества производит установку вредоносной программы на устройство пользователя для отслеживания активности в магазине приложений. Когда пользователь загружает приложение, вредоносная программа фиксирует и отправляет клик в MMP (Сервисы мобильной атрибуции), чтобы получить долю дохода от установки приложения.

Без соответствующих мер предосторожности вредоносная программа может не только искажать атрибуцию, но и получать оплату за дальнейшие целевые действия посетителей сайта, например, за достижение определенного уровня в игре или совершение покупки в приложении. Такие действия приносят мошенникам более высокую прибыль.

Какие платформы больше всего страдают от фрода?

Веб-фрод

Большинство мошеннических практик развились в вебе. Однако с тех пор рекламный рынок разработал стандарты и протоколы для обнаружения фейкового трафика, и основная часть фрода переместилась на другие платформы. Сегодня на мобильные устройства приходится 26% мошеннического трафика, а на десктоп – 34%.

На десктопе мошенники чаще всего используют ботнеты (ботсети), наслаивание рекламы и редирект (от англ. redirect – автоматическое (принудительное) перенаправление на другую веб-страницу) для генерации поддельного трафика, чаще всего для клик-фрода и фродовых показов.

Одним из главных источников фрода сейчас является видео, на которое приходится почти 64% мошенничества с рекламой. Видео ‒ один из самых быстроразвивающихся и самых дорогих форматов рекламы. Именно поэтому мошенники поспешили создать поддельные показы от поддельных пользователей за свою долю CPM (стоимость за тысячу показов). Самый распространенный вид видео-мошенничества – попытки сайтов подать баннерные рекламные места под видом рекламных мест для видеорекламы.

Фрод в мобильных приложениях

По данным Pixalate, фрод в мобильных приложениях более распространен, чем где-либо в программатик-экосистеме. В то время как десктопные боты действуют с помощью вредоносных программ, фрод в приложениях работает за счет загрузок даже с проверенных торговых площадок, таких как App Store. Традиционная модель веб-отслеживания фрода для этой среды уже устарела.

Недавно Google удалил около 600 приложений для Android и запретил их разработчикам доступ в Play Store в рамках мер по борьбе с рекламным фродом и «вредоносной» мобильной рекламой.

Количество фейковых загрузок мобильных приложений в мире Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.appsflyer.com%2Fmobile-fraud-report-2020%2F&postId=159440" rel="nofollow noreferrer noopener" target="_blank">Appsflyer</a>
Количество фейковых загрузок мобильных приложений в мире Источник: Appsflyer

iOS vs. Android

Android занимает большую долю рынка во всем мире, поэтому мошенники чаще атакуют эту платформу. Уровень фрода в приложениях на Android более чем в 4,5 раза выше, чем на iOS.

Эти существенные различия можно объяснить тем, что iOS реализует строгий процесс проверки. Android, напротив, позволяет скачивать приложения, которые часто содержат вредоносное ПО, не из официального магазина.

Но это может скоро измениться, так как в начале 2021 года Apple отключит рекламный идентификатор пользователей (IDFA) на iOS устройствах.

Рекламная экосистема iOS – лакомый кусок для мошенников из-за гораздо более высоких CPM, чем на устройствах Android. Потеря ID пользователей может привести к быстрому росту мошеннических действий в iOS-приложениях.

Иван Федоров, New Business Director в Admixer

Фрод в приложениях

Разные категории приложений подвержены разным видам фрода. В схемах клик-фрода наиболее уязвимыми являются игры, а также приложения для шоппинга и финансов.

Неигровые приложения

В неигровых приложениях 32% установок — фейковые. У финансовых приложений самый высокий уровень мошенничества – 48%, за ними следуют приложения для путешествий с 45%.

Фрод в неигровых приложениях создают, в первую очередь, боты, которые остаются незамеченными. Они нацелены на менее заметные элементы приложения и зависят от вовлеченности пользователей.

Мобильные игры

Игры отстают по количеству фейковых установок. По данным AppsFlyer, только 3,8% загрузок игр являются мошенническими. В этой сфере преобладает мошенничество с фейковым трафиком. Хотя игры стали менее подвержены фродовым установкам, они остаются уязвимыми для других видов вредоносного ПО.

Фейковый трафик и атрибуция распространены во всех подкатегориях игр. Этот метод основан на ложном признании реальных пользователей с помощью клик-спама и перехвата атрибуции. По данным AppsFlyer, 30% фрода в этой категории связаны с попытками перехвата загрузок, что почти вдвое больше, чем у неигровых приложений.

Как защитить вашу рекламу от фрода?

Антифрод-системы

Программатик-индустрия – переменчивая среда, в которой постоянно вводятся новые протоколы и практики. Отслеживать каждое новое нарушение безопасности очень сложно, поэтому важно найти партнера для верификации трафика.

Например, у Admixer есть два партнера, которые отвечают за качество трафика и обеспечивают защиту бренда. Сравнение данных разных валидаторов улучшает анализ трафика, позволяет нам получать более подробную информацию и выявлять фрод на ранних этапах.

Наличие нескольких антифрод-систем помогает оценить качество трафика во время проверки паблишеров (которую я рекомендую проводить перед каждым новым запуском).

Отслеживание показов

Важно сравнить количество ваших показов со статистикой валидатора и аналитическими данными. Бывают случаи, когда вы видите допустимый уровень фродового трафика, поскольку валидаторы не могут отследить и проверить весь трафик. Мошенники могут убирать пиксель валидации на фейковых показах и оставлять ваш, чтобы получить вознаграждение за фейковый клик или действие.

Единственный правильный способ – проверять каждый показ своим собственным пикселем валидации. Часто пиксели настроены на проверку каждого второго или третьего показа, чтобы сэкономить на месячном лимите, но мошенники могут обнаруживать и имитировать эту частоту:

Например, наша команда не только отслеживает разницу в показах, но и интегрируется с валидаторами, которые используют свои пиксели в нашем домене. Был случай, когда частота была изменена с 2 на 1, и это привело к резкому увеличению уровня недействительного трафика паблишера.

Блокировка множественных запросов

Отслеживание количества запросов и блокировка дублированных запросов, также известные как ограничение скорости обработки запросов (rate limiting), может остановить определенные типы активности ботов. Это также помогает снизить нагрузку на веб-серверы и предотвратить чрезмерное использование API.

Обычно ограничение скорости обработки запросов включает отслеживание их IP-адресов и время записи между отдельными запросами. IP-адрес – это основной способ определить источник запроса. Если в течение периода времени поступает слишком много запросов с одного IP-адреса, rate limiting ограничит обработку запросов с этого IP-адреса. Ограничение скорости обработки запросов – эффективное решение для защиты вашей рекламы от DoS- и DDoS-атак, веб-скрейпинга и ботнетов.

Черные списки

Еще одна важная практика в антифрод менеджменте – это prebid blocklists (предварительные черные списки). Это списки вендоров и платформ, которые были пойманы на распространении фрода. Создание таких списков останавливает фейковый трафик на входе в систему.

У нас в Admixer есть внутренние черные списки, которые мы регулярно обновляем. Мы также используем 3rd-party data (сторонние данные), чтобы уменьшить количество мошеннических запросов. Проверяем в базах данных IP, устройство, идентификатор приложения, домен, опасные приложения и т.д.

Обнаружение фейковых данных и атрибуции

Мошенники часто взламывают данные, которые возвращаются к покупателю показов рекламы. Таким образом им удается сгенерировать больше показов, продемонстрировать более высокую просматриваемость рекламы и имитировать высокую эффективность кампании.

К сожалению, в большинстве случаев вы сможете распознать фейковый показ только после того, как заплатите за него. Источник фрода вы определите только затем. Скорость реакции играет главную роль для обнаружения фрода. Чем быстрее вы поймете, что трафик из определенного источника является мошенническим, тем быстрее вы заблокируете его и минимизируете ущерб для своих партнеров.

В Admixer мы разработали полностью автоматизированный процесс блокировки фрода, который экономит время и позволяет проводить более подробный анализ трафика.

Фрод с атрибуцией менее очевидный, и требует больше времени для изучения и анализа. Чтобы распознать искаженные данные, рекламодатели должны четко определить ключевые показатели эффективности, отслеживать аналитику во время и после кампании (mid-flight и post-flight), а также определить показатели, которые указывают на фрод. Таким образом, вы не пропустите попыток мошенничества с атрибуцией.

Внедрение индустриальных стандартов

Один из самых распространенных видов мошенничества – fake supply (фейковый инвентарь). Этот вид рекламного фрода случается, когда рекламодатели делают ставки на несуществующие рекламные места. Существует множество подходов, которые используют мошенники при fake supply, но большинство из них можно побороть, если следовать индустриальным стандартам.

IAB Tech Lab представила ads.txt, текстовый файл, который паблишеры могут разместить на своих сайтах, чтобы показывать покупателям рекламы список авторизованных реселлеров их рекламного инвентаря.

Другой важный инструмент ‒ это sellers.json, который позволяет проверять источники рекламного инвентаря, прямых паблишеров и реселлеров трафика на adtech платформах, SSPs и рекламных сетях. Эти инициативы обеспечивают дополнительную прозрачность и предоставляют больше данных, которые рекламодатели могут использовать, чтобы проверить, не покупают ли они фейковые показы. В марте 2019 года IAB Tech Lab выпустила новую версию под названием app-ads.txt, которая создали для поддержки мобильных приложений, технологии OTT и любого другого мобильного инвентаря.

RTB 3.0

IAB уже разработало более продвинутый программный протокол для фильтрации фейкового инвентаря – RTB 3.0. У него есть дополнительный уровень защиты Ads.cert, который помогает обнаружить более сложные виды мошенничества, такие как ad injection.

Ads.cert предоставляет дополнительный этап проверки и может отслеживать данные, которые передаются между покупателем и продавцом на каждом этапе цепочки поставок программатик-рекламы, чтобы убедиться, что они не подделаны. Это решение похоже на цифровую подпись, которая позволяют покупателям проверять инвентарь, независимо от того, через скольких торговых посредников он прошел.

Итоги

● Фродовый трафик сопровождал цифровую рекламу с момента ее появления. Если раньше он доминировал в веб-среде, то сейчас преобладает в мобильных приложениях, особенно на Android. На Android приходится почти 90% фрода из-за слабых стандартов безопасности в Google Play Market. Однако предстоящие изменения в IDFA (рекламный идентификатор Apple) может сделать устройства Apple более уязвимым к фроду.

● Приложения категорий «Финансы», «Путешествия» и «Покупки» – наиболее подвержены клик-фроду и фродовым показам. Гейминг невосприимчив к этому виду фрода из-за преобладания модели CPA (оплаты за действие). Тем не менее, игры часто подвергаются «перехвату загрузок».

● Видеореклама – еще одна среда, подверженная рекламному фроду как в вебе, так и в приложениях. Самая распространенная тактика в видеорекламе – выдавать баннерное рекламное место за видео плейсмент и продавать его дороже.

● Чтобы побороть фрод, нужно установить передовые инструменты аналитики и проверки трафика, которые предоставляют дополнительные данные для анализа атрибуции. Сопоставляя данные из разных источников, легче обнаружить фрод.

● Рекламодатели должны внедрить строгий процесс проверки с черными списками мошенников и подозрительного трафика, которые нужно регулярно обновлять и сравнивать со списками сторонних вендоров. Отслеживание показов и фильтры обеспечат безопасность вашего трафика.

1616
5 комментариев

Да, вечная проблема! Большое спасибо за подробный и познавательный гайд.

3

Было бы интересно узнать о возможном решение проблем скликивания рекламы в директе и гугле. Директ так вообще, заявляет о возможности учета статистики скликивания, но при этом сливает бюджет на откровенный склик, при этом не делая особых перерасчетов

1

Спасибо, любопытная статья. Было бы интересно почитать про ваш "автоматизированный процесс блокировки фрода", каких успехов удалось добиться.

Добрый день! Спасибо за ваш комментарий. Наша система защиты состоит из двух больших модулей — prebid защита (когда рекламный инвентарь фильтруется на входе) и postbid защита, когда инвентарь анализируется после реализации рекламных показов.
Первый модуль позволяет заблокировать порядка 75% от общего кол-ва мошеннического инвентаря. Второй модуль детально анализирует среду, в которой размещается рекламный материал и профиль пользователя, если это реальный пользователь. Также, второй модуль используется для обучения первого (создание и обновление триггеров, по которым отсекается трафик на входе в адсервер).