Кукистафинг и фродящий ретаргетинг: мошеннические схемы в интернет-маркетинге
Руководитель отдела мониторинга компании Admon Алексей Фиошкин — о новых мошеннических схемах в интернет-рекламе и способах борьбы с ними.
Многие компании, которые предлагают пользователям оплачивать услуги и продукты в онлайне, сталкиваются с фродом (от английского fraud — «мошенничество»). Фрод как болезнь электронной коммерции существовал всегда, но в последнее время вышел на новый уровень реализации и распространился на рекламу. Появляются гениальные методы мошенничества, и выявить их становится всё сложнее.
Откуда берётся фрод
Фрод любого типа — это желание недобросовестного подрядчика заработать. Если десять лет назад фрод использовали для мошеннических действий с платёжными данными пользователей, сегодня он стал проблемой для отделов маркетинга и рекламы.
Есть несколько основных типов фрода, с которым сталкиваются рекламодатели. Например, подмена меток с помощью мошеннических расширений и вирусов. Этим пользуются недобросовестные подрядчики, которые работают с компанией по модели CPA (cost per action).
Другой тип — скручивание показов в работе по CPM-модели (cost per mille) — тоже встречается часто. Там же, где эффективность оценивается по модели CPC (cost per click), рекламу до сих пор могут «скликивать».
Фрод нового поколения более опасен потому, что его источником становится сам сайт рекламодателя: мошеннические скрипты ставятся напрямую в код сайта или взаимодействуют с интегрированными сервисами рекламы.
Рекламодатель подключает, например, систему ретаргетинга, а та в свою очередь подключает тех, кто фродит. Видов недобросовестных рекламных схем существует много. Наверняка некоторые из них прямо сейчас работают на вашем сайте.
Встреча с фродом лицом к лицу
Недавно мы начали работу с крупным интернет-магазином. Наша задача состояла в том, чтобы оценить качество рекламы и отследить фрод. Поначалу уровень фрода для магазина такого масштаба был вполне «обычным».
Однако перед майскими праздниками он начал расти. Ничего странного: те, кто зарабатывают на фроде, специально активизируются перед выходными и праздничными днями.
Рекламодатель видит изменения в статистике, но делает при этом неправильные выводы и не замечает фрод. Например, CPA вырос, CPC упал, а рекламодатель списывает такие изменения на праздники: просто все уехали на природу, и трафик изменился.
В этом случае мы столкнулись с классическим кукистафингом: через две-три секунды после перехода на сайт с рекламы пользователи видели редирект на ту же страницу, но уже с партнёрскими CPA-метками. Мы обнаружили сотни таких переходов с CPC-рекламы и из органики. То есть каждый пришедший пользователь в этом случае присваивается партнёру, а рекламодатель платит за него в лучшем случае дважды.
Собрав данные о веб-мастерах CPA-сетей и переходах на сайт из устройств с низким уровнем кукистафинга, мы пришли к выводу, что причина спрятана в коде сайта, а не, например, во фродящих плагинах к браузеру. Оказалось, что сайт использует код ретаргетинга с последующим появлением цепочки переходов и вызовов через код веб-мастера. Иными словами, обычный код ничего не подозревающего ретаргетинга вызывает замаскированный вражеский код недобросовестного веб-мастера.
Вторая причина фрода, которую мы обнаружили, — сайт подключает код оптимизирующего CPA-канал агентства. Более того, это агентство также оказывает антифрод-услуги. Парадокс в том, что агентство само внедрило в структуру сайта вызывающий фрод скрипт. Так агентство создаёт проблему самому себе и, возможно, даже зарабатывает на этом, потому что получает процент с канала.
Рекламодатель в это время теряет деньги, так как оплачивает органический трафик, уже оплаченные посещения и... работу агентства. Конкретно в этом примере за время майских праздников магазин мог потерять порядка 300 тысяч рублей.
Таких рекламодателей большинство. Они отдают управление в руки недобросовестных подрядчиков и не всегда понимают, насколько это опасно. В свою очередь мошеннические схемы становится всё более сложными, и трудно представить, сколько денег рекламодатели потеряют завтра.
Можно ли найти фрод самостоятельно
Чтобы обнаружить признаки фрода, можно использовать SimilarWeb. В отчёте Referrals рекламодатель может увидеть, откуда трафик пришёл на сайт и куда уходит с него. Затем стоит обратить внимание на незнакомые домены и проверить по SimilarWeb источники трафика для них.
Например, в нашем случае подозрение вызвал домен retag.pw. Мы видим, что его входящий трафик идёт с сайта pult.ru, а в исходящем — реферальные ссылки. Есть над чем задуматься.
SimilarWeb не является универсальным решением для работы с фродом и позволяет лишь обнаружить наличие проблемы. Рекламодатель не получает информацию об источнике фрода, не понимает, какие веб-мастера фродят, и не может оценить масштаб потерь. Кроме того, обнаружить подозрительный трафик с помощью SimilarWeb могут только владельцы больших сайтов (более 200 тысяч уникальных посетителей в месяц).
Как избежать ловушки с фродом
- Скептически относиться к подрядчикам, которые одновременно выступают в роли рекламного агентства и антифродовой компании. Конфликт интересов очевиден, и найти кристально чистую и принципиальную в вопросах дополнительной прибыли компанию сложно.
- Разрешить ставить сторонние скрипты ограниченному числу проверенных сотрудников. Сайт не должен превратиться в кладбище скриптов. Мы постоянно сталкиваемся с тем, что у рекламодателя в коде сайта «пылятся» скрипты, когда-либо использовавшихся сервисов. И в этом случае речь идёт не только о фроде, но и о возможной утечке данных, которые после разрыва отношений с третьей стороной по-прежнему ей передаются.
- Ещё лучше — минимизировать количество сторонних скриптов на сайте за счёт работы с данными через одно окно. Таких решений на рынке немного, но они есть. Например, платформа DigitalDataManager, которую рекламодатель интегрирует один раз и затем использует как безопасное окно для подключения всех маркетинговых и аналитических сервисов. Фрод здесь не пройдёт.
- Использовать на сайте content security policy (CSP), X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и другие инструменты, которые защитят сайт от запускаемого через код сайта фрода. При этом их эффективность в борьбе с другими источниками фрода составляет всего 20%.
- Анализировать сообщения об ошибках в консоли самого сайта, которые могут быть косвенными признаками фрода. Это позволит вовремя заметить признаки кукистафинга и противодействовать ему, сохраняя рекламный бюджет.
- Следить за кодом самостоятельно. Проверять источники трафика по SimilarWeb и куда трафик уходит с сайта. В сложных случаях и для большей точности обратиться к профессионалам, у которых есть собственные системы для мониторинга фрода.
Комментарий удален модератором
Александр, а Вы рекламодатель или партнёр?
Или просто развенчатель "заговоров" и "тайных планов"?
Комментарий удален модератором
Странно, что сам letyshops подозрений не вызвал...
Летишоп уводит пользователей с сайта вполне легально за кешбоком. Можно конечно обсудить хорошо это или плохо, но не запрещено правилами большинства CPA оферов.
Хотелось бы услышать комментарии представителей магазинов со скриншотов.
Только не нужно в духе "фи все фрете", а нормальные такие объяснения - например кто из руководителей CPA направления сделал себе сэппуку , а самое главное когда нормальным вебмастерам компенсируют сфроженые у них заказы? или как обычно нашли фрод и сэкономили?
Константин, я об этом много раз рассказывал. И каждый раз призывал рекламодателей не просто отказывать в оплат партнеркам по заказам, где был форд, а именно не учитывать фрод. Не все понимают, почему так надо и почему НЕЛЬЗЯ использовать CPA агентства. Все от неграмотности. Но мы с этим работаем!
Какой-то порно сленг в названии статьи.
Алексей, спасибо за статью - о тебе рассказывала наша общая знакомая Ната Л
Анатолий, всегда пожалуйста, stay tuned!
retag, это разве не контейнер Адмитада?
Контейнер Admitad действительно называется retag судя по коду window._retag.
Но тут не про контейнер, а про домен retag.pw и он скорее всего не имеет отношение к Admitad
а какой % фродеров от всего потока CPA-трафа вы нашли и как вы это вычисляли?
Тут все индивидуально - зависит от рекламодателя. % фродеров, очевидно - это количество фродеров , пойманных за нарушением, к общему количеству вебмастеров.
так как вы это вычисляли? в статье нет на это ответа.
В рамках данной статьи мы лишь показали механику возможного фрода. Уровень ущерба зависит от конкретного рекламодателя и особенностями его работы с СРА. Если интересно, буду рад помочь с выявлением фрода и оценкой доли ущерба для вас.
Куки-стаффинг - это не проблема, а фича.
Шейв со стороны партнёрки, вот где проблема.
Шейвить по товарке как то странно, давно бы все заметили.
А аккуратно раз в день тереть куку через скрипт ретаргетинга достаточно новая фича.
Почему Куки-стаффинг не проблема для нормальных вебов?
А чем DigitalDataManager лучше GoogleTagManager ?
DigitamDataManager собирает логи всех событий на сайте и складывает их в ваше хранилище (BigQuery). Определить смену cookie можно одним sql-запросом. Кроме того, уже на уровне архитектуры встроена защита от большинства мошеннических моделей кукистафинга. Все интеграции уже написаны и протестированы. Просто так вставить левый «трекер» или пиксель не получится, в то время как GTM на этом и строится.
А тогда от OWOX BI в чем отличие. Он вроде тоже самое делает, не?
Антон, привет. Отличие в том, что в DigitalDataManager присутствуют готовые интеграции c большинством CPA-сетей , автоматический трекинг cookies, гибкие настройки дедупликации и встроенная базовая защита от куки-стафинга на уровне интеграции.
Комментарий удален модератором
Я тут авиабилет пытался на сайта Победа купить, вот кто фродом то занимается. И кнопки местами меняли, и страницы перезагружали сновы выставляя галочки, и какие-то страховки сроком на неделю подсовывали..... Когда прилетел в Аэропорт, еще три раза содрали за багаж. Они даже деньги берут за то что ты в Duty free купил.
Как печально, что в нашей стране регулятор занимается тем что поинтересней, а не защищает граждан от подобных жухальств.