Кукистафинг и фродящий ретаргетинг: мошеннические схемы в интернет-маркетинге

Руководитель отдела мониторинга компании Admon Алексей Фиошкин — о новых мошеннических схемах в интернет-рекламе и способах борьбы с ними.

Многие компании, которые предлагают пользователям оплачивать услуги и продукты в онлайне, сталкиваются с фродом (от английского fraud — «мошенничество»). Фрод как болезнь электронной коммерции существовал всегда, но в последнее время вышел на новый уровень реализации и распространился на рекламу. Появляются гениальные методы мошенничества, и выявить их становится всё сложнее.

Откуда берётся фрод

Фрод любого типа — это желание недобросовестного подрядчика заработать. Если десять лет назад фрод использовали для мошеннических действий с платёжными данными пользователей, сегодня он стал проблемой для отделов маркетинга и рекламы.

Есть несколько основных типов фрода, с которым сталкиваются рекламодатели. Например, подмена меток с помощью мошеннических расширений и вирусов. Этим пользуются недобросовестные подрядчики, которые работают с компанией по модели CPA (cost per action).

Другой тип — скручивание показов в работе по CPM-модели (cost per mille) — тоже встречается часто. Там же, где эффективность оценивается по модели CPC (cost per click), рекламу до сих пор могут «скликивать».

Фрод нового поколения более опасен потому, что его источником становится сам сайт рекламодателя: мошеннические скрипты ставятся напрямую в код сайта или взаимодействуют с интегрированными сервисами рекламы.

Фрод — вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи («Википедия»)

Рекламодатель подключает, например, систему ретаргетинга, а та в свою очередь подключает тех, кто фродит. Видов недобросовестных рекламных схем существует много. Наверняка некоторые из них прямо сейчас работают на вашем сайте.

Встреча с фродом лицом к лицу

Недавно мы начали работу с крупным интернет-магазином. Наша задача состояла в том, чтобы оценить качество рекламы и отследить фрод. Поначалу уровень фрода для магазина такого масштаба был вполне «обычным».

Однако перед майскими праздниками он начал расти. Ничего странного: те, кто зарабатывают на фроде, специально активизируются перед выходными и праздничными днями.

Рекламодатель видит изменения в статистике, но делает при этом неправильные выводы и не замечает фрод. Например, CPA вырос, CPC упал, а рекламодатель списывает такие изменения на праздники: просто все уехали на природу, и трафик изменился.

Скриншот из личного кабинета Admon

В этом случае мы столкнулись с классическим кукистафингом: через две-три секунды после перехода на сайт с рекламы пользователи видели редирект на ту же страницу, но уже с партнёрскими CPA-метками. Мы обнаружили сотни таких переходов с CPC-рекламы и из органики. То есть каждый пришедший пользователь в этом случае присваивается партнёру, а рекламодатель платит за него в лучшем случае дважды.

Собрав данные о веб-мастерах CPA-сетей и переходах на сайт из устройств с низким уровнем кукистафинга, мы пришли к выводу, что причина спрятана в коде сайта, а не, например, во фродящих плагинах к браузеру. Оказалось, что сайт использует код ретаргетинга с последующим появлением цепочки переходов и вызовов через код веб-мастера. Иными словами, обычный код ничего не подозревающего ретаргетинга вызывает замаскированный вражеский код недобросовестного веб-мастера.

Вторая причина фрода, которую мы обнаружили, — сайт подключает код оптимизирующего CPA-канал агентства. Более того, это агентство также оказывает антифрод-услуги. Парадокс в том, что агентство само внедрило в структуру сайта вызывающий фрод скрипт. Так агентство создаёт проблему самому себе и, возможно, даже зарабатывает на этом, потому что получает процент с канала.

Рекламодатель в это время теряет деньги, так как оплачивает органический трафик, уже оплаченные посещения и... работу агентства. Конкретно в этом примере за время майских праздников магазин мог потерять порядка 300 тысяч рублей.

Таких рекламодателей большинство. Они отдают управление в руки недобросовестных подрядчиков и не всегда понимают, насколько это опасно. В свою очередь мошеннические схемы становится всё более сложными, и трудно представить, сколько денег рекламодатели потеряют завтра.

Можно ли найти фрод самостоятельно

Чтобы обнаружить признаки фрода, можно использовать SimilarWeb. В отчёте Referrals рекламодатель может увидеть, откуда трафик пришёл на сайт и куда уходит с него. Затем стоит обратить внимание на незнакомые домены и проверить по SimilarWeb источники трафика для них.

https://www.similarweb.com/website/pult.ru#referrals

Например, в нашем случае подозрение вызвал домен retag.pw. Мы видим, что его входящий трафик идёт с сайта pult.ru, а в исходящем — реферальные ссылки. Есть над чем задуматься.

https://www.similarweb.com/website/retag.pw#referrals

SimilarWeb не является универсальным решением для работы с фродом и позволяет лишь обнаружить наличие проблемы. Рекламодатель не получает информацию об источнике фрода, не понимает, какие веб-мастера фродят, и не может оценить масштаб потерь. Кроме того, обнаружить подозрительный трафик с помощью SimilarWeb могут только владельцы больших сайтов (более 200 тысяч уникальных посетителей в месяц).

Как избежать ловушки с фродом

  1. Скептически относиться к подрядчикам, которые одновременно выступают в роли рекламного агентства и антифродовой компании. Конфликт интересов очевиден, и найти кристально чистую и принципиальную в вопросах дополнительной прибыли компанию сложно.
  2. Разрешить ставить сторонние скрипты ограниченному числу проверенных сотрудников. Сайт не должен превратиться в кладбище скриптов. Мы постоянно сталкиваемся с тем, что у рекламодателя в коде сайта «пылятся» скрипты, когда-либо использовавшихся сервисов. И в этом случае речь идёт не только о фроде, но и о возможной утечке данных, которые после разрыва отношений с третьей стороной по-прежнему ей передаются.
  3. Ещё лучше — минимизировать количество сторонних скриптов на сайте за счёт работы с данными через одно окно. Таких решений на рынке немного, но они есть. Например, платформа DigitalDataManager, которую рекламодатель интегрирует один раз и затем использует как безопасное окно для подключения всех маркетинговых и аналитических сервисов. Фрод здесь не пройдёт.
  4. Использовать на сайте content security policy (CSP), X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и другие инструменты, которые защитят сайт от запускаемого через код сайта фрода. При этом их эффективность в борьбе с другими источниками фрода составляет всего 20%.
  5. Анализировать сообщения об ошибках в консоли самого сайта, которые могут быть косвенными признаками фрода. Это позволит вовремя заметить признаки кукистафинга и противодействовать ему, сохраняя рекламный бюджет.
  6. Следить за кодом самостоятельно. Проверять источники трафика по SimilarWeb и куда трафик уходит с сайта. В сложных случаях и для большей точности обратиться к профессионалам, у которых есть собственные системы для мониторинга фрода.

Экспертное мнение

С фродом в партнёрских сетях я столкнулся несколько лет назад. Наивно полагая, что этой напасти подвержены только очень крупные проекты, я не уделил проблеме должного внимания. Разобравшись детально и подсчитав ущерб в сотнях тысяч рублей, понял, как сильно ошибался.

Вне всякого сомнения, с теми или иными видами фрода сталкивается практически 100% рекламодателей, которые используют в маркетинге CPA-схемы. Отказываясь от борьбы или доверяя защиту от фрода сомнительным компаниям, они оплачивают комфортную жизнь мошенников.

О том, как бороться с этим безобразием собственными силами, я подробно рассказал в книге «Ваш интернет-магазин от А до Я». Там же описаны и другие неприятности, которые могут подстерегать рекламодателей в работе с партнёрскими сетями, и способы борьбы с ними.

Кроме фрода есть и другие причины внимательно относиться к подключению сторонних скриптов. Чаще всего рекламодатели сталкиваются с кражей статистических данных или открывают возможность конкурентам таргетировать рекламу на своих посетителей и клиентов. Этим особенно «грешат» бесплатные сервисы. Но это уже совсем другая история.

Тимофей Шиколенков, директор по маркетингу компании «Аудиомания», автор книги «Ваш интернет-магазин от А до Я»

Установка сторонних скриптов в код сайта — всегда риски: снижение скорости загрузки, фрод, JavaScript-ошибки. С этим сталкивается каждый рекламодатель. Проблема обострилась, потому что число желающих оказаться в коде сайта выросло в разы. Риск есть, даже если рекламодатель осторожен и работает только с проверенными сервисами. Никогда не знаешь, какой скрипт загрузится следом.

На мой взгляд, времена, когда маркетинговые сервисы подключались напрямую к сайту, уходят в прошлое. И не только из-за фрода. Компании хотят управлять интеграциями и потоками данных через одно окно. Это удобно, быстро и, как правило, безопасно. Захотел начать работу с сервисом — подключил его одним нажатием кнопки, захотел отключить — так же легко отключил.

Когда мы интегрируем клиенту DigitalDataManager, часто видим в коде сайта скрипты сервисов, с которыми компания уже много лет не работает, но которым данные до сих пор отдаёт.

Денежные потери из-за подобной утечки сегодня могут быть не менее значимыми, чем от фрода. И они суммируются с потерями от плохого качества трекинга и от низкой скорости загрузки сайта.

Константин Юревич,

гендиректор, сооснователь Driveback (DigitialDataManager)

Работа с компаниями, использующими ретаргетинг по CPA в плане контроля, ничем не отличается от работы с купонным или кэшбек-трафиком. Партнёрская программа подразумевает вовлечение рекламодателя, и если пускать процесс на самотёк, результат работы будет неудовлетворительным.

Некоторые ретаргетинговые компании каннибализируют другие источники трафика и вызывают фрод. Другие качественно таргетируют рекламные предложения, приводят трафик с высоким средним чеком, хорошей конверсией и низким CPO.

Ещё одна проблема также вызывает у нас беспокойство — засилье всевозможных кодов рекламных сетей на сайте. Оно приводит к ошибкам в срабатывании трекинговых кодов партнёрских сетей. В результате веб-мастера с качественным трафиком недополучают свои заказы и направляют трафик на других рекламодателей.

Сергей Гершун, руководитель партнерской сети «Где Слон»
0
21 комментарий
Написать комментарий...

Комментарий удален модератором

Развернуть ветку
Timofey Shikolenkov

Александр, а Вы рекламодатель или партнёр?
Или просто развенчатель "заговоров" и "тайных планов"?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Toma Umyarova

Странно, что сам letyshops подозрений не вызвал...

Ответить
Развернуть ветку
Serg Ignatov

Летишоп уводит пользователей с сайта вполне легально за кешбоком. Можно конечно обсудить хорошо это или плохо, но не запрещено правилами большинства CPA оферов.

Ответить
Развернуть ветку
Константин Арбитраж

Хотелось бы услышать комментарии представителей магазинов со скриншотов.
Только не нужно в духе "фи все фрете", а нормальные такие объяснения - например кто из руководителей CPA направления сделал себе сэппуку , а самое главное когда нормальным вебмастерам компенсируют сфроженые у них заказы? или как обычно нашли фрод и сэкономили?

Ответить
Развернуть ветку
Timofey Shikolenkov

Константин, я об этом много раз рассказывал. И каждый раз призывал рекламодателей не просто отказывать в оплат партнеркам по заказам, где был форд, а именно не учитывать фрод. Не все понимают, почему так надо и почему НЕЛЬЗЯ использовать CPA агентства. Все от неграмотности. Но мы с этим работаем!

Ответить
Развернуть ветку
Alex Antipov

Какой-то порно сленг в названии статьи.

Ответить
Развернуть ветку
Анатоли Маслоу

Алексей, спасибо за статью - о тебе рассказывала наша общая знакомая Ната Л

Ответить
Развернуть ветку
Алексей Фиошкин

Анатолий, всегда пожалуйста, stay tuned!

Ответить
Развернуть ветку
Александр Евсиков

retag, это разве не контейнер Адмитада?

Ответить
Развернуть ветку
Serg Ignatov

Контейнер Admitad действительно называется retag судя по коду window._retag.

Но тут не про контейнер, а про домен retag.pw и он скорее всего не имеет отношение к Admitad

Ответить
Развернуть ветку
Svyatoslav Bobenko

а какой % фродеров от всего потока CPA-трафа вы нашли и как вы это вычисляли?

Ответить
Развернуть ветку
Alex Fioshkin

Тут все индивидуально - зависит от рекламодателя. % фродеров, очевидно - это количество фродеров , пойманных за нарушением, к общему количеству вебмастеров.

Ответить
Развернуть ветку
Svyatoslav Bobenko

так как вы это вычисляли? в статье нет на это ответа.

Ответить
Развернуть ветку
Алексей Фиошкин

В рамках данной статьи мы лишь показали механику возможного фрода. Уровень ущерба зависит от конкретного рекламодателя и особенностями его работы с СРА. Если интересно, буду рад помочь с выявлением фрода и оценкой доли ущерба для вас.

Ответить
Развернуть ветку
DJ

Куки-стаффинг - это не проблема, а фича.
Шейв со стороны партнёрки, вот где проблема.

Ответить
Развернуть ветку
Serg Ignatov

Шейвить по товарке как то странно, давно бы все заметили.
А аккуратно раз в день тереть куку через скрипт ретаргетинга достаточно новая фича.

Почему Куки-стаффинг не проблема для нормальных вебов?

Ответить
Развернуть ветку
Anton Larionov

А чем DigitalDataManager лучше GoogleTagManager ?

Ответить
Развернуть ветку
Юлия Великанова

DigitamDataManager собирает логи всех событий на сайте и складывает их в ваше хранилище (BigQuery). Определить смену cookie можно одним sql-запросом. Кроме того, уже на уровне архитектуры встроена защита от большинства мошеннических моделей кукистафинга. Все интеграции уже написаны и протестированы. Просто так вставить левый «трекер» или пиксель не получится, в то время как GTM на этом и строится.

Ответить
Развернуть ветку
Anton Larionov

А тогда от OWOX BI в чем отличие. Он вроде тоже самое делает, не?

Ответить
Развернуть ветку
Mr. K

Антон, привет. Отличие в том, что в DigitalDataManager присутствуют готовые интеграции c большинством CPA-сетей , автоматический трекинг cookies, гибкие настройки дедупликации и встроенная базовая защита от куки-стафинга на уровне интеграции.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Цой жив

Я тут авиабилет пытался на сайта Победа купить, вот кто фродом то занимается. И кнопки местами меняли, и страницы перезагружали сновы выставляя галочки, и какие-то страховки сроком на неделю подсовывали..... Когда прилетел в Аэропорт, еще три раза содрали за багаж. Они даже деньги берут за то что ты в Duty free купил.

Как печально, что в нашей стране регулятор занимается тем что поинтересней, а не защищает граждан от подобных жухальств.

Ответить
Развернуть ветку
18 комментариев
Раскрывать всегда