Фродовые войны: скрытая угроза в CPI-маркетинге

Маркетолог BlaBlaCar Станислав Измайлов рассказал, как распознавать и бороться с click injection.

Станислав Измайлов
Станислав Измайлов

В 2016 году мой коллега Тимофей рассказывал о двух самых популярных видах мошенничества в CPI-маркетинге: мотивированных установках и краже трафика, они же — click spam (в обоих случаях речь идёт о том, как паблишеры накручивают результаты по установкам вашего мобильного приложения, чтобы вы заплатили им больше, чем должны на самом деле). В 2017 году мы столкнулись с новой, хорошо скрытой угрозой — click injection.

Как это работает

Принцип работы click injection похож на click spam, только вместо хаотичного града ложных кликов вредоносный софт распознаёт и заражает меткой мошенника установку приложения из нужного оффера.

Объясню на пальцах: вы приходите в агентство и заключаете с ним договор на установки приложения. Далее агентство размещает оффер в рекламных сетях. Там ваш оффер разбирают специалисты (арбитражники), которые закупают у агентства установки по оптовым ценам, а перепродают или реализуют — по розничным, на этом и зарабатывают.

Некоторые из эти арбитражников — ушлые ребята. Они берут вашу метку, которая позволяет агентству считать количество установок от каждого из арбитражников, и через вредоносный софт (под ударом ПО на Android) изменяют её и заражают так, что прочие установки, в том числе органические или от других арбитражников, будут засчитываться как реализованные ими — этими ушлыми ребятами.

В результате click injection мы уже не увидим высокой конверсии из клика в установку, как при мотивированных установках. А по поведению этот вид мошенничества не распознать, ведь такой трафик приходит из органики или надёжных источников, таких как Facebook, Google или даже Twitter. Проседание вышеупомянутых источников тоже заметить нелегко: click injection питается всем трафиком без разбора, откусывая по кусочку везде, где получится.

Часто мошенники комбинируют различные виды махинаций с трафиком, чтобы придать ему более реалистичный вид и минимизировать риск разоблачения всех фродовых установок. Из-за этого бывает так, что на одном источнике можно заметить как плохую конверсию из клика в установку и низкую активность пользователей после установки, так и click injection.

Масштаб проблемы

Обнаружив эту ситуацию и разобравшись в ней, мы были в шоке от масштаба проблемы. Если вы впервые о ней слышите и размещаете рекламу в CPI-сетях, то независимо от того, что они обещают, объём установок с click injection абсолютно точно составляет от 10% до 60% (из оплаченных вами 100%).

Винить сами сети не стоит, некоторые из них точно стараются бороться с фродом. К сожалению, переподключаться после блокировки под другим ID номером или приходить в другую сеть и работать с тем же оффером — это нормальная для мошенников-арбитражников практика.

К тому же, click injection серьёзно путает карты и не даёт правильно оценить эффективность источников. Вполне вероятно, что большая часть конверсий приходится на органику, которую вы закупаете под видом in-app трафика. Поэтому, когда трафик очистится от мошеннических установок, реальные показатели могут оказаться совсем другими.

Как распознать

Обратить внимание нужно на CTIT (click to install time) — это промежуток времени от клика до установки. До недавнего момента можно было смело клеймить все установки, пришедшие до 15 секунд после клика. Время может увеличиваться в зависимости от размера приложения.

Важно понимать, что доступная для анализа временная метка являлась временем открытия приложения. Например, наше приложение BlaBlaCar на Android весит около 15 Мб. Время, необходимое для нажатия на баннер, открытия Google Play, загрузки, установки и открытия приложения, не могло быть меньше 30 секунд.

Всё изменилось в ноябре 2017 года, когда Google открыл доступ к усовершенствованному API. Раньше цепочка выглядела так: просмотр — клик — открытие приложения — действия в приложении. Сейчас для аналитики доступно больше ступеней, каждой из которых соответствует своя временная метка: просмотр — клик — открытие Google Play — нажатие кнопки «Установить» — завершение установки — открытие приложения — действия в приложении.

Большинство заражений меткой мошенников происходит в промежуток между нажатием на кнопку «Установить» и завершением установки на устройстве. Соответственно, CTIT у таких установок окажется негативным, так как установки будут приходить до кликов по баннеру. Другая часть заражений случается между завершением установки на устройстве и открытием приложения, такие установки можно по-прежнему распознать по небольшому CTIT, скажем, до десяти секунд.

Разумеется, всегда найдётся пользователь, который, вероятно, сёрфит интернет со скоростью 3.2 Тб в секунду, подключаясь напрямую через трансокеанический подводный кабель. Поэтому отдельные случаи сверхбыстрых установок, как и других аномалий, всегда возможны. Выход один — нужно смотреть на всю картину целиком и обращать внимание на всплески.

Как с этим бороться

Сама механика довольно простая: бери временные метки кликов и установок и сравнивай: когда случился клик, через сколько секунд началась загрузка, через сколько пользователь оказался в Google Play, когда завершилась установка и так далее. Временные метки можно отслеживать самостоятельно, а можно воспользоваться сторонними решениями: антифрод-инструментами трекинговых сервисов или отдельными приложениями.

Важно помнить, что трекинговые сервисы получают деньги за объём установок, поэтому они часто могут не замечать фейковые установки. Инструменты антифрода действуют наоборот — они готовы искать подвох даже там, где его нет. Поэтому рекламодателям нужно самостоятельно анализировать отчёты и делать выводы.

Конечно, многое зависит и от ваших бюджетов. Вполне возможно, что будет разумнее отступить и перестать закупать in-app трафик, перекинув бюджеты на более надёжные источники, например, Facebook. Да, стоимость установки, скорее всего, окажется выше, но не придётся тратиться на антифрод-инструменты, к тому же пропадёт риск того, что вы платите за собственную органику.

Само собой, следует оспаривать выплаты за click injection, но также важно отключать источники с большим процентом таких установок. Есть мнение, что click injection, который можно обнаружить по анализу CTIT, — это только верхушка айсберга. Поэтому, отсекая его и оплачивая остаток, мы только стимулируем мошенников набирать обороты. Но это уже совсем другая история.

2929
19 комментариев

Ещё один из вариантов борьбы - договариваться про неоплату по тем партнерам/трекерам, которые за отчетный период показали более 20% rejected installs (работает с Adjust, который сам отклоняет инсталы, базируясь на анализе временных меток и распределения инсталов).

3

хорошая идея, но не факт, что CPI/CPA сети на это согласятся

4

Да, если есть Fraud prevention tool от Adjust

4

Если используете такой трекер как AppsFlyer , то есть прекрасное решение Project360, который опредялет фродовый трафик по любым заданным параметрам. При подписании договора с рекламными агентствами указывайте, что будете ссылаться на статистику подобных антифрод систем, и прописывайте возврат денег за низкокачественные инсталлы. Это сейчас популярная практика, сами на этом сэкономили не одну тысячу долларов. У крупных рекламных агентсв процент фрода не больше 5-7% в зависимости от гео, так как они в основном следят за этим. Будьте требовательны к трафику, за который платите, иначе вам нальют г#*^а!)

4

Станислав, надеюсь ты название позаимствовал не специально (по запросу на YouTube "Фродовые войны: скрытая угроза" - мой вебинар, в котором в том числе про Click injection есть инфа)
ЗЫ: Тимофею привет :)

3

привет! нет, не специально, не видел твой вебинар :) great minds think alike, как говорится

Давно волнует вопрос. На чем BlaBlaCar зарабатывает? Очень давно уже при бронировании перечеркнута цена и написано бесплатно. Так же водители при создании заявки не платят за нее.

1