Как мошенники обманывают маркетологов: типы фрода в digital-рекламе

Действия мошенников и фейковый трафик — большая проблема маркетологов и рекламодателей. Каждый год появляются новые методы борьбы с ними, однако фродеры тоже не отстают. Эксперты Go Mobile из iAB Russia разобрались, с какими типами фрода можно столкнуться в 2021 году.

Фродовый трафик мешает рекламодателям запускать эффективные кампании и угрожает репутации рекламных сетей. Мы собрали первую максимально полную справочную информацию о фроде на русском языке. Материал получился объемным, поэтому мы разделили его на несколько частей. В первой мы разберем два аспекта:

Вторая часть материала будет посвящена борьбе с фродом и возможностям популярных антифрод-систем.

Материал будет полезен как специалистам, непосредственно работающим с закупкой трафика, так и менеджерам в брендах, которые хотят разобраться в теме и отслеживать эффективность работы подрядчиков или inhouse-команды.

Фрод — действия партнеров, направленные на выполнение KPI рекламодателя несогласованными и часто запрещенными методами. Существует много разновидностей фрода, однако все они преследуют одну цель — получение выгоды за счет присвоения атрибуций и искусственной накрутки оплачиваемых действий (кликов, показов и конверсий).

Не отслеживая фрод, вы:

Мы рассмотрели самые распространенные типы и механизмы фрода. Для удобства мы разделили их на три категории: фрод в медийной рекламе, фрод в performance-рекламе и механизмы фрода — явления, которые нельзя отнести к первым двум категориям.

Целью медийных размещений является контакт бренда с пользователем. В таких запусках рекламодатели платят за показы, поэтому главная цель мошенников здесь — накрутить фейковые просмотры.

Показ объявлений вне поля зрения конечных пользователей. Данный тип фрода не очень опасен. Его легко обнаружить на этапе анализа эффективности рекламных источников — источники с фродовым трафиком «выдают» себя за счет невысокого уровня кликов и низкого коэффициента конверсий.

Pixel Stuffing — размещение рекламного объявления на небольшом (1х1 пиксель) участке страницы. Пользователь даже не видит объявление, а с рекламодателя списываются деньги за его размещение.

Ad Stacking — параллельный показ нескольких объявлений, при этом одно объявление скрыто под другим. Пользователь видит только верхнее, а за показ платят даже те рекламодатели, чьи объявления были скрыты.

Background Ad Activity — показ рекламы на странице вне поля видимости пользователя, просмотр при этом фиксируется.

Любой вид трафика, исходящий не от реальных пользователей.

SIVT (Sophisticated IVT) — трафик, который имитирует действия реальных пользователей. SIVT использует разные паттерны и постоянно меняется, поэтому его непросто идентифицировать. Часто фродеры располагают свой софт на серверах известных дата-центров (например, Google или Amazon) — и это их выдает. Зная диапазоны этих IP-адресов, можно вычислить мошенников.

Вид фрода, связанный с подменой доменов и ID приложений.

App Spoofing — подмена приложения для рекламных размещений. Мошенник создает приложение и регистрирует его в рекламной сети под названием приложения, которое находится в вайт-листах и считается чистым источником.

Рекламодатели думают, что закупают объемы трафика в белом источнике, но в реальности их объявления показываются в приложении мошенника. Такое может случиться в любой рекламной сети. Фродеров найдут, но со временем, поэтому они успеют навредить.

App Spoofing может серьезно повлиять на репутационные потери рекламодателей и сетей. Так, реклама фонда по защите от домашнего насилия может показываться на сайте Мужского государства — движения, которое признали экстремистским и запретили на территории РФ.

В performance-размещениях рекламодателям нужны события глубже просто кликов — установки, покупки и др. Поэтому здесь фрод представляет собой имитацию совершения целевых действий пользователями.

Выполнение фейковых кликов для того, чтобы перехватить атрибуцию. Обычно performance-кампании запускаются с моделью last-click, т.е. атрибуция присваивается последнему рекламному источнику, который посещал пользователь перед тем, как совершить атрибуцию. Поэтому задача фродеров — сделать этот последний клик за юзера.

Заранее невозможно определить, какие из пользователей в итоге совершат целевое действие, поэтому мошенники взаимодействуют с большим количеством юзеров и делают очень много фальшивых кликов. Именно их видит рекламодатель в своей аналитике, отсюда и название — Click Spamming.

Cookie Stuffing — тип фрода, при котором пользователя принуждают сделать клик, чтобы он перешел по рекламной ссылке фродера и сохранил в браузере Cookie. В будущем этот Cookie покажет трекинговой системе рекламодателя, что этот пользователь взаимодействовал с рекламой данного партнера.

Для этого мошенники могут:

С помощью Cookie stuffing мошенник может привязать необходимый cookie к пользователю вне зависимости от канала, из которого он пришел, чтобы получить вознаграждение даже за органических пользователей.

Auto redirects — принудительное перенаправление пользователя на страницу фродера через трекинговые ссылки. Например, пользователь открывает одну страницу, но его перекидывает на другую.

Присвоение установок приложения другим рекламным источникам за счет заранее внедренного вредоносного ПО.

Click Hijacking — перехват легального клика и последующей установки с помощью отправки дублирующего клика (false click report) из конкурирующей сети.

Click injection — имитация клика перед тем, как приложение полностью установлено, для присваивания клика мошенническому источнику. Механизм работает так: одно из ранее установленных приложений «следит» за новыми установками и отправляет уведомление, чтобы фродер перехватил совершенный клик и присвоил его себе.

В этом разделе мы собрали явления, которые нельзя отнести к типам фрода. Они представляют собой механизмы создания фейкового трафика.

Имитация реальных действий (например, клики) пользователя с помощью вредоносного кода.

Bots —использование программы, которая может выполнять или повторять с высокой частотой действия, которые требуются от реальных пользователей.

SDK Hacking — внедрение мошенниками вредоносного кода в приложение для генерации фальшивых кликов. По сути этот тип фрода имитирует целевые действия, которых никогда не было (в отличие от Click Injection, который «ворует» совершенное действие). Происходит это так:

1. С помощью кода злоумышленник совершает фиктивные клики с рандомными Device ID, чтобы трекинговая система зафиксировала трафик, исходящий от рекламного партнера.

2. Фродер отправляет запрос в трекер, чтобы выдать свой компьютер за установленное приложение. В качестве доказательств передает Device ID, которые использовал для имитации кликов. Трекинговая система засчитывает эти установки как реальные, хотя на самом деле они никогда не совершались.

Device Farms — имитация пользовательской активности с помощью множества устройств со специальными программами, фейковыми Device ID и IP-адресами.

Вид фрода, связанный с подменой доменов.

DNS Spoofing — подмена имени домена в ссылках атрибуции. Так злоумышленник может перенаправить любой трафик, предназначенный для определенного домена, на собственный сервер. Фродеры подделывают соответствие IP-адреса и домена на DNS-сервере, чтобы направить пользователя на необходимый злоумышленнику сайт. Этот механизм фрода сложен в реализации и не очень распространен.

Выполнение целевых действий пользователями за вознаграждение.

Мотивированный трафик не всегда считается фродовым, так как часть рекламодателей используют его в качестве продвижения. Например, если рекламодатель хочет продвинуть свое приложение в другом приложении сходной тематики.

Такая практика распространена в гейминге. Пользователей игры призывают установить приложение за внутриигровое вознаграждение (игровая валюта, инвентарь и пр.). После мотивированной установки юзер может остаться в приложении, так как ему понравилась игра.

Использование в рекламных материалах недостоверной информации. Мислиды сложно обнаружить, поэтому они могут нести существенные репутационные риски.

Применение различных видов мошенничества в сочетании с использованием действий реальных пользователей. Этот вид мошенничества сложнее всего обнаружить — в нем нет никаких очевидных закономерностей. В лучшем случае вы сможете определить смешанный фрод по общему KPI для трафика, который будет немного ниже целевого.

Мы разобрались, какие типы и механизмы фрода используют мошенники для обмана в digital-рекламе. В следующем материале мы расскажем:

В подготовке материала участвовали: Игорь Гусев (СТО), Олег Захаров (Research Manager), Марина Науменко (Copywriter).