Маркетинг admon.pro
1 365

Rocket Фрод

Ранее мы писали про скрипты «ретаргетинга» и фрод, который идет через CPA-сети и рекламные агентства. В преддверии высокого сезона решили описать новый подход к фроду, который удалось найти.

В закладки
Лернейская Гидра, у которой вместо одной отрубленной головы вырастали две новые

Проверка скриптов ретаргетинга

Коротко: большинство сайтов из нашей первой статьи не удалили фродящие коды, но сами коды поменялись (например, домен retag.pw, подобно Лернейской Гидре, распался на десятки одноразовых доменов). Думаем, это - наша заслуга, и фродеры стали осторожней. Больше нам не выложить красивый скриншот с similarweb как доказательство фрода. Придется разбираться с каждым из одноразовых доменов, которые часто меняются.

Фродовая CPA-сеть

Теперь к главному: в этой статье разберем целую CPA-сеть, в которой мы не нашли чистых вебмастеров.

Для крупных фродеров создание свой CPA-сети выглядит как логичный шаг. Ведь действительно, зачем регистрировать вебмастера в общеизвестной CPA-сети когда можно создать свою CPA-сеть используя affise.com и прийти с этой CPA-сетью напрямую в агентство.

Агентства обычно мотивированы увеличить CPA-канал и с радостью подключают новые источники, вставляя неизвестные коды ретаргетинга с анонимных одноразовых доменов (как избежать этого с помощью правильных KPI мы рассказывали в предыдущей статье).

Эту сеть нам помог найти контейнер скриптов Adv.Cake на сайте 220-volt. Напомним, в прошлый раз они вставляли такой код:

Код осуществлял iframe-кукистафинг (подробнее - в нашем первом расследовании).

Но после нашей статьи его убрали. Также этот код убрали и некоторые CPA-сети (например, GdeSlon) и глобально фрода стало меньше на какое-то время.

Сейчас на том же месте в контейнере Adv.Cake находится такой код:

Текущий код, который вставляется через контейнер Adv.Cake

Давайте разберем как он работает: открываем dev tool и видим пустой файл.
Но это не проблема – мы привыкли, что от нас прячут скрипт. Проверили другие страницы сайта и код также не нашли.
Мы начали искать, что отдает rockcnt.com на самом деле и нашли следующее:

Скрипт, который отдает код rockcnt

Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября.
Код rockcnt.com на некоторых сайтах возвращает и более знакомые нам скрипты по прошлым статьям.

Далее через серию вставок кода с домена ubscript.com мы находим боевой участок кода:

Код кукистаффинга с домена ubscript.com

По коду видно, что создается iframe по CPA-ссылке в невидимой области экрана – это обычный Кукистаффинг.
По CPA ссылке происходит переход на тот же сайт, но с CPA-метками с источником Rocket10 в utm_source.

Не только Adv.Cake подключает rockcnt.com, например, в контейнере TrackAd мы нашли такой код:

Содержимое контейнера TrackAd

По UTM метками, коду подключения из TrackAd, алиасу track.r10web.com на affise.com можно сделать вывод, что Rocket10 приходит в агентство как CPA-сеть с несколькими вебмастерами и полноценной интеграцией.

Результат расследования

Мы проверили вебмастеров Rocket10 по доступному нам трафику и обнаружили: равномерное распределение трафика по вебмастерам, одинаковый фрод через iframe в каждом вебмастере (примерно по 20%). Чистый трафик там тоже есть, но он скорее нужен для отвода глаз, чтобы скрыть фрод по статистике.

Отметим, что Adv.Cake и TrackAd позиционируют себя как антифрод-решения, однако подключают клиентам неизвестный код с анонимных доменов, который довольно часто оказывается фродом.

Сайты, на которых мы нашли вставку rockcnt.com:

123.ru, 220-volt.ru, alpindustria.ru, aromacode.ru, atlasformen.ch, atlasformen.de, atlasformen.fr, atlasformen.nl, atlasformen.pl, avtocod.ru, beautydiscount.ru, bethowen.ru, bonprix.ru, book24.ru, chitai-gorod.ru, condom-shop.ru, delivery-club.ru, dinomama.ru, evropharm.ru, gracy.ru, just.ru, lampart.ru, laredoute.ru, mi-shop.com, mytoys.ru, nebo.ru, niyama.ru, nozhikov.ru, ogo1.ru, ostin.com, pharmacosmetica.ru, pichshop.ru, ps-box.ru, pudra.ru, rukodelov.ru, sendflowers.ru, shop.laroche-posay.ru, shop.misslo.com, sportmaster.ru, store77.net, topradar.ru, tutu.ru, vamsvet.ru, vassatrend.ru, zdravzona.ru.

Также домен usercomebacker.com, похожий по поведению на ubscript.com, был обнаружен на этих сайтах:

lacywear.ru, lwr.kz, toy.ru, yves-rocher.ru, ezakaz.ru, holyskin.ru.

Что в итоге

Технологии мошенников развиваются ежедневно. Чтобы не переплачивать за бесплатный трафик и не платить дважды за трафик с других платных каналов, мы рекомендуем внимательно проверять скрипты, которые ставятся на ваш сайт, особенно через подрядчиков.

Для контроля правильного расходования бюджета лучше привлекать независимых подрядчиков, которые не получают процент с рекламного бюджета.
Мы со своей стороны всегда рады бесплатно проконсультировать и помочь всем, кому это действительно интересно - проверяем работу сторонних кодов на сайте, фрод в СРА-трафике и накрутки со стороны медийных подрядчиков.

Впереди высокий сезон, Black Friday, День холостяка и Новый год - большие рекламные бюджеты, дефицит чистого трафика и повышенный соблазн для мошенников "срубить бабла" на год вперед везде, где за ними не следят.

Узнать больше о рекламном фроде и не только можно в нашем блоге или на странице FaceBook.

#маркетинг #cpa #digital #fraudfraud #cookiestuffing #cookiedropping #кукистафинг #кукидроппинг #фрод

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "admon.pro", "author_type": "self", "tags": ["\u0444\u0440\u043e\u0434","\u043c\u0430\u0440\u043a\u0435\u0442\u0438\u043d\u0433","\u043a\u0443\u043a\u0438\u0441\u0442\u0430\u0444\u0438\u043d\u0433","\u043a\u0443\u043a\u0438\u0434\u0440\u043e\u043f\u043f\u0438\u043d\u0433","fraudfraud","digital","cpa","cookiestuffing","cookiedropping"], "comments": 11, "likes": 18, "favorites": 12, "is_advertisement": false, "subsite_label": "marketing", "id": 49635, "is_wide": false, "is_ugc": true, "date": "Wed, 31 Oct 2018 10:04:14 +0300" }
{ "id": 49635, "author_id": 182148, "diff_limit": 1000, "urls": {"diff":"\/comments\/49635\/get","add":"\/comments\/49635\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/49635"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199113 }

11 комментариев 11 комм.

Популярные

По порядку

Написать комментарий...
0

Мы увидели упоминание TrackAd в статье и, на наш взгляд, эта статья несет намеренный негативный смысл, поэтому будет справедливо ответить.

Во-первых, партнерская сеть Rocket10 сразу упоминается, как мошенническая, и это только на основании кода, найденного в скрипте. Rocket10 это известная и многопрофильная компания международной группы с разными каналами трафика, в которой работают 130 сотрудников в 5 странах мира. Конечно, это не освобождает их от каких-либо попыток мошенничества, но, по крайней мере, вызывает сомнения в правдивости написанного и дает право на комментарии до публикации статьи с осуждениями.

Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook.

Во-вторых, подозрительный тег Rocket10 был найден в тег-контейнере TrackAd, в инструмент которого также входит известное решение по борьбе с фродом, и сразу была проведена необоснованная связь между предполагаемым мошенничеством в теге и эффективностью самого анти-фрод решения TrackAd.

Прежде всего, это говорит о том, что нет понимая, как функционирует любой тег-контейнер. Контейнер тегов - это технология, у которой есть три основных преимущества:
. доступ к библиотеке тегов источников трафика
. возможность быстрого размещения тегов на сайте без задействия технической команды
. асинхронная загрузка, чтобы избежать медленной загрузки страниц сайта, если код неисправный.

Это относится абсолютно ко всем решениям по управлению тегами, в том числе Google Tag Manager, Qbit, Commander Act или тег-контейнер TrackAd.
Как и GTM в пакете Google Analytics 360, тег-контейнер TrackAd это один из продуктов пакета TrackAd, обособленный от других. Поэтому ни при каких обстоятельствах теги, которые запущены в тег-контейнере TrackAd, не влияют на работу аналитического инструмента TrackAd, одна из функций которого - идентификация фрода в партнерских сетях.

То же самое можно сказать о Google Analytics в сравнении с Google Tag Manager.
Все теги, запущенные через тег-контейнер, также могут быть интегрированы напрямую на сайт, но с большим риском замедления работы в случае неисправности кода.

И наконец, мы всегда поддерживаем и следим за новыми методами выявления фрода. Мы были первыми и именно это делает наш инструмент успешным в Европе. Тем не менее, мы всегда осторожны в суждениях, и, на наш взгляд, эта осторожность должна быть правилом для всех участников анти-фрода. Перед любым сообщением, а тем более обвинением подрядчика, мы предоставляем ему возможность прокомментировать ситуацию. А делается это как раз для того, чтобы избежать публичного осуждения игроков рынка на основе предположений и догадок.

Ответить
1

Лернейская Гидра

А вот нет. Это арт из замечательной игры моего детства. Titan Quest

Ответить
0

Мы увидели упоминание TrackAd в статье и, на наш взгляд, эта статья несет намеренный негативный смысл, поэтому будет справедливо ответить.

Во-первых, партнерская сеть Rocket10 сразу упоминается, как мошенническая, и это только на основании кода, найденного в скрипте. Rocket10 это известная и многопрофильная компания международной группы с разными каналами трафика, в которой работают 130 сотрудников в 5 странах мира. Конечно, это не освобождает их от каких-либо попыток мошенничества, но, по крайней мере, вызывает сомнения в правдивости написанного и дает право на комментарии до публикации статьи с осуждениями.

Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook.

Во-вторых, подозрительный тег Rocket10 был найден в тег-контейнере TrackAd, в инструмент которого также входит известное решение по борьбе с фродом, и сразу была проведена необоснованная связь между предполагаемым мошенничеством в теге и эффективностью самого анти-фрод решения TrackAd.

Прежде всего, это говорит о том, что нет понимая, как функционирует любой тег-контейнер. Контейнер тегов - это технология, у которой есть три основных преимущества:
. доступ к библиотеке тегов источников трафика
. возможность быстрого размещения тегов на сайте без задействия технической команды
. асинхронная загрузка, чтобы избежать медленной загрузки страниц сайта, если код неисправный.

Это относится абсолютно ко всем решениям по управлению тегами, в том числе Google Tag Manager, Qbit, Commander Act или тег-контейнер TrackAd.
Как и GTM в пакете Google Analytics 360, тег-контейнер TrackAd это один из продуктов пакета TrackAd, обособленный от других. Поэтому ни при каких обстоятельствах теги, которые запущены в тег-контейнере TrackAd, не влияют на работу аналитического инструмента TrackAd, одна из функций которого - идентификация фрода в партнерских сетях.

То же самое можно сказать о Google Analytics в сравнении с Google Tag Manager.
Все теги, запущенные через тег-контейнер, также могут быть интегрированы напрямую на сайт, но с большим риском замедления работы в случае неисправности кода.

И наконец, мы всегда поддерживаем и следим за новыми методами выявления фрода. Мы были первыми и именно это делает наш инструмент успешным в Европе. Тем не менее, мы всегда осторожны в суждениях, и, на наш взгляд, эта осторожность должна быть правилом для всех участников анти-фрода. Перед любым сообщением, а тем более обвинением подрядчика, мы предоставляем ему возможность прокомментировать ситуацию. А делается это как раз для того, чтобы избежать публичного осуждения игроков рынка на основе предположений и догадок.

Ответить
3

Какие обтекаемые суждения у вас после конкретных примеров. Автор молодец тем, что не был голословен и привел доказательства. Причем он не утверждал категорично, что все плохо.
P.s. я не сторонник не той, ни другой стороны, а читатель кейса

Ответить
2

Коллеги, спасибо за комментарий.
В первую очередь, статья написана для информирования участников рынка о существующих рисках. Предупрежден - значит вооружен.
Вывод о качестве трафика Rocket10 был сделан на основании анализа, достаточно подробно описанного в статье. К сожалению, мы не знаем сколько человек трудится в данной компании и в каких странах, но о качестве трафика в конкретных случаях можно судить. Хотя чистый трафик там безусловно тоже есть, и об этом мы написали.
Что касается связи контейнера и антифрод решения от TrackAd, то это скорее - издержки от попытки усидеть на двух стульях сразу. Google Analytics, например, не позиционирует себя как «известное решение по борьбе с фродом».
И наконец, если мы будет согласовывать описание кейсов фрода со всеми действующими лицами, к моменту написания статьи фрод спрячут еще глубже. Мошенники продолжат зарабатывать, а бизнес продолжит считать, что и без контроля все под контролем.

Ответить
0

"Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook."

Вы как-то вот на этот момент ответите? У вас вся статья выстроена на этом факте. А факт этот вы придумали.

Ответить
0

Андрей, а где написано, что именно на сайте 220-volt.ru был обнаружен фрод с платформы Rocket10?
В статье описан хронологический ход расследования, и что данный источник был обнаружен на 220-volt.ru.
Также приведен пример кода кукистафинга, который данный источник вставляет на других сайтах.
При этом в явном виде указано, что пример взят не с сайта 220-volt.

Ответить
0

Я вам уже ответил в ФБ, но продублирую тут.

"Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября."

Если вы не поняли, что вы написали. Поясню. Тут написано, что вы НИЧЕГО НЕ НАШЛИ, но вы думаете что фрод все равно есть и трафик идет фродовый от нас на 220 вольт. Вся суть вашей статьи такая.

Ответить
3

Поясним и тут - мы нашли фродящий код кукистафинга, который вставляется на сайты рекламодателей через ваш скрипт.
На сайте 220-volt этот код на данный момент не срабатывает, что не означает , что он не будет срабатывать там или на других сайтах в дальнейшем. (Да, мы заметили, что сегодня вы его отключили.)
Вывод: надо внимательно проверять динамические коды сторонних подрядчиков, устанавливаемые на сайт, так как их функционал может время от времени меняться и наносить ущерб.

Ответить
0

К сожалению, фрод настолько пронизал рекламную отрасль, что с ним часто непонятно как бороться: в нем многие заинтересованы. Например, мы берем КМС Гугла (по идее Гугл говорит о борьбе за чистоту) и видим приличное кол-во левого трафика, который часто даже не маскируется под качественный и человеческий. А ведь это деньги и Гугл вряд ли их возвратит, т.к. косвенно заинтересован в подобной схеме. Это всего лишь частный пример. Я молчу, что творится в тизерках и аналогичных похожих сетях. Хотя может тоже расскажем в отдельном кейсе

Ответить
0

Контекстно-медийная сеть Google

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }