Ранее мы писали про скрипты «ретаргетинга» и фрод, который идет через CPA-сети и рекламные агентства. В преддверии высокого сезона решили описать новый подход к фроду, который удалось найти.
Проверка скриптов ретаргетинга
Коротко: большинство сайтов из нашей первой статьи не удалили фродящие коды, но сами коды поменялись (например, домен retag.pw, подобно Лернейской Гидре, распался на десятки одноразовых доменов). Думаем, это - наша заслуга, и фродеры стали осторожней. Больше нам не выложить красивый скриншот с similarweb как доказательство фрода. Придется разбираться с каждым из одноразовых доменов, которые часто меняются.
Фродовая CPA-сеть
Теперь к главному: в этой статье разберем целую CPA-сеть, в которой мы не нашли чистых вебмастеров.
Для крупных фродеров создание свой CPA-сети выглядит как логичный шаг. Ведь действительно, зачем регистрировать вебмастера в общеизвестной CPA-сети когда можно создать свою CPA-сеть используя affise.com и прийти с этой CPA-сетью напрямую в агентство.
Агентства обычно мотивированы увеличить CPA-канал и с радостью подключают новые источники, вставляя неизвестные коды ретаргетинга с анонимных одноразовых доменов (как избежать этого с помощью правильных KPI мы рассказывали в предыдущей статье).
Эту сеть нам помог найти контейнер скриптов Adv.Cake на сайте 220-volt. Напомним, в прошлый раз они вставляли такой код:
Но после нашей статьи его убрали. Также этот код убрали и некоторые CPA-сети (например, GdeSlon) и глобально фрода стало меньше на какое-то время.
Сейчас на том же месте в контейнере Adv.Cake находится такой код:
Давайте разберем как он работает: открываем dev tool и видим пустой файл.
Но это не проблема – мы привыкли, что от нас прячут скрипт. Проверили другие страницы сайта и код также не нашли.
Мы начали искать, что отдает rockcnt.com на самом деле и нашли следующее:
Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября.
Код rockcnt.com на некоторых сайтах возвращает и более знакомые нам скрипты по прошлым статьям.
Далее через серию вставок кода с домена ubscript.com мы находим боевой участок кода:
По коду видно, что создается iframe по CPA-ссылке в невидимой области экрана – это обычный Кукистаффинг.
По CPA ссылке происходит переход на тот же сайт, но с CPA-метками с источником Rocket10 в utm_source.
Не только Adv.Cake подключает rockcnt.com, например, в контейнере TrackAd мы нашли такой код:
По UTM метками, коду подключения из TrackAd, алиасу track.r10web.com на affise.com можно сделать вывод, что Rocket10 приходит в агентство как CPA-сеть с несколькими вебмастерами и полноценной интеграцией.
Результат расследования
Мы проверили вебмастеров Rocket10 по доступному нам трафику и обнаружили: равномерное распределение трафика по вебмастерам, одинаковый фрод через iframe в каждом вебмастере (примерно по 20%). Чистый трафик там тоже есть, но он скорее нужен для отвода глаз, чтобы скрыть фрод по статистике.
Отметим, что Adv.Cake и TrackAd позиционируют себя как антифрод-решения, однако подключают клиентам неизвестный код с анонимных доменов, который довольно часто оказывается фродом.
Сайты, на которых мы нашли вставку rockcnt.com:
123.ru, 220-volt.ru, alpindustria.ru, aromacode.ru, atlasformen.ch, atlasformen.de, atlasformen.fr, atlasformen.nl, atlasformen.pl, avtocod.ru, beautydiscount.ru, bethowen.ru, bonprix.ru, book24.ru, chitai-gorod.ru, condom-shop.ru, delivery-club.ru, dinomama.ru, evropharm.ru, gracy.ru, just.ru, lampart.ru, laredoute.ru, mi-shop.com, mytoys.ru, nebo.ru, niyama.ru, nozhikov.ru, ogo1.ru, ostin.com, pharmacosmetica.ru, pichshop.ru, ps-box.ru, pudra.ru, rukodelov.ru, sendflowers.ru, shop.laroche-posay.ru, shop.misslo.com, sportmaster.ru, store77.net, topradar.ru, tutu.ru, vamsvet.ru, vassatrend.ru, zdravzona.ru.
Также домен usercomebacker.com, похожий по поведению на ubscript.com, был обнаружен на этих сайтах:
lacywear.ru, lwr.kz, toy.ru, yves-rocher.ru, ezakaz.ru, holyskin.ru.
Что в итоге
Технологии мошенников развиваются ежедневно. Чтобы не переплачивать за бесплатный трафик и не платить дважды за трафик с других платных каналов, мы рекомендуем внимательно проверять скрипты, которые ставятся на ваш сайт, особенно через подрядчиков.
Для контроля правильного расходования бюджета лучше привлекать независимых подрядчиков, которые не получают процент с рекламного бюджета.
Мы со своей стороны всегда рады бесплатно проконсультировать и помочь всем, кому это действительно интересно - проверяем работу сторонних кодов на сайте, фрод в СРА-трафике и накрутки со стороны медийных подрядчиков.
Впереди высокий сезон, Black Friday, День холостяка и Новый год - большие рекламные бюджеты, дефицит чистого трафика и повышенный соблазн для мошенников "срубить бабла" на год вперед везде, где за ними не следят.
#маркетинг #cpa #digital #fraudfraud #cookiestuffing #cookiedropping #кукистафинг #кукидроппинг #фрод
Мы увидели упоминание TrackAd в статье и, на наш взгляд, эта статья несет намеренный негативный смысл, поэтому будет справедливо ответить.
Во-первых, партнерская сеть Rocket10 сразу упоминается, как мошенническая, и это только на основании кода, найденного в скрипте. Rocket10 это известная и многопрофильная компания международной группы с разными каналами трафика, в которой работают 130 сотрудников в 5 странах мира. Конечно, это не освобождает их от каких-либо попыток мошенничества, но, по крайней мере, вызывает сомнения в правдивости написанного и дает право на комментарии до публикации статьи с осуждениями.
Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook.
Во-вторых, подозрительный тег Rocket10 был найден в тег-контейнере TrackAd, в инструмент которого также входит известное решение по борьбе с фродом, и сразу была проведена необоснованная связь между предполагаемым мошенничеством в теге и эффективностью самого анти-фрод решения TrackAd.
Прежде всего, это говорит о том, что нет понимая, как функционирует любой тег-контейнер. Контейнер тегов - это технология, у которой есть три основных преимущества:
. доступ к библиотеке тегов источников трафика
. возможность быстрого размещения тегов на сайте без задействия технической команды
. асинхронная загрузка, чтобы избежать медленной загрузки страниц сайта, если код неисправный.
Это относится абсолютно ко всем решениям по управлению тегами, в том числе Google Tag Manager, Qbit, Commander Act или тег-контейнер TrackAd.
Как и GTM в пакете Google Analytics 360, тег-контейнер TrackAd это один из продуктов пакета TrackAd, обособленный от других. Поэтому ни при каких обстоятельствах теги, которые запущены в тег-контейнере TrackAd, не влияют на работу аналитического инструмента TrackAd, одна из функций которого - идентификация фрода в партнерских сетях.
То же самое можно сказать о Google Analytics в сравнении с Google Tag Manager.
Все теги, запущенные через тег-контейнер, также могут быть интегрированы напрямую на сайт, но с большим риском замедления работы в случае неисправности кода.
И наконец, мы всегда поддерживаем и следим за новыми методами выявления фрода. Мы были первыми и именно это делает наш инструмент успешным в Европе. Тем не менее, мы всегда осторожны в суждениях, и, на наш взгляд, эта осторожность должна быть правилом для всех участников анти-фрода. Перед любым сообщением, а тем более обвинением подрядчика, мы предоставляем ему возможность прокомментировать ситуацию. А делается это как раз для того, чтобы избежать публичного осуждения игроков рынка на основе предположений и догадок.
Какие обтекаемые суждения у вас после конкретных примеров. Автор молодец тем, что не был голословен и привел доказательства. Причем он не утверждал категорично, что все плохо.
P.s. я не сторонник не той, ни другой стороны, а читатель кейса
Слишком много воды и пафоса, давайте по существу.
У вас есть инструмент, через который вы рекламодателям подключаете коды различных сервисов или рекламодатель подключает их сам.
Инструмент он на то и инструмент, чтобы кто-то этим инструментом управлял.
- Если ваш клиент покупает у вас инструмент без покупки ваших мозгов, он там сам может себе что угодно наподключать и несет за это ответственность.
- Если ваш клиент покупает у вас мозги с инструментом, то ответственность на вас, вы как компания которая обслуживает данный канал предупреждаете его о возможных рисках и по согласованию включаете эти коды и знакомите клиента с подрядчиком.
В обоих случаях статья полезна, потому что если обнаружили что Рокет10 фродит и усиливает свой типа фейсбучный траф через Стаффинг, то его отрубает в первом случае клиент, во втором случае вы.
Имя и количество сотрудников ничего не значит, международные компании фродят только в путь, особенно французы!
Уважаемые первые на рынке, я 4 года назад на встрече с Жаке, вашим основателем когда общался и он рассказывал про антифрод в области лидогенерации на уровне телефонных номеров в заказах, на мой вопрос по поводу того есть ли решения по кукистаффингу, что он мне сказал? Он меня спросил: «Это что такое? Это какой-то жаргонизм или что?» Это было ровно в тот момент когда наши коды по отлову кукистаффинга уже стояли и работали на клиенте, которого Жаке сейлил.
Прочитав статью говорю, что у Admon есть представление как работает ваш тег менеджер. То что вы пишите говорит о том что вы не понимаете как работает ваш собственный тег менеджер и вы оперируете слишком обстрактными фразами.
Зачем вы пишите про то что код Рокет10 никак не может повлиять на ваши аналитические инструменты не при каких обстоятельствах, если могут? Как не могут? Дата с сайта сливается? Сливается. На сайте редиректы можно включить? Можно. Куки подменить можно? Можно. Вы уверены, что не могут? На чем основаны ваши суждения если код Рокет10 является составляющей сайта и имеет полный к нему доступ? Бред, код Рокет10 впринципе при желании может отключить ваш инструмент и подменить его на свой trackad.
Мне кажется вы либо просто не знаете либо вводите аудиторию в заблуждение. Мы на своих клиентах коды ретаргетинговые просто так не включаем, обо всем предупреждаем и вам советуем просто так не включать и тогда никто статьи с вашим участием писать не будет.
Коллеги, спасибо за комментарий.
В первую очередь, статья написана для информирования участников рынка о существующих рисках. Предупрежден - значит вооружен.
Вывод о качестве трафика Rocket10 был сделан на основании анализа, достаточно подробно описанного в статье. К сожалению, мы не знаем сколько человек трудится в данной компании и в каких странах, но о качестве трафика в конкретных случаях можно судить. Хотя чистый трафик там безусловно тоже есть, и об этом мы написали.
Что касается связи контейнера и антифрод решения от TrackAd, то это скорее - издержки от попытки усидеть на двух стульях сразу. Google Analytics, например, не позиционирует себя как «известное решение по борьбе с фродом».
И наконец, если мы будет согласовывать описание кейсов фрода со всеми действующими лицами, к моменту написания статьи фрод спрячут еще глубже. Мошенники продолжат зарабатывать, а бизнес продолжит считать, что и без контроля все под контролем.
"Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook."
Вы как-то вот на этот момент ответите? У вас вся статья выстроена на этом факте. А факт этот вы придумали.
Андрей, а где написано, что именно на сайте 220-volt.ru был обнаружен фрод с платформы Rocket10?
В статье описан хронологический ход расследования, и что данный источник был обнаружен на 220-volt.ru.
Также приведен пример кода кукистафинга, который данный источник вставляет на других сайтах.
При этом в явном виде указано, что пример взят не с сайта 220-volt.
Я вам уже ответил в ФБ, но продублирую тут.
"Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября."
Если вы не поняли, что вы написали. Поясню. Тут написано, что вы НИЧЕГО НЕ НАШЛИ, но вы думаете что фрод все равно есть и трафик идет фродовый от нас на 220 вольт. Вся суть вашей статьи такая.
Поясним и тут - мы нашли фродящий код кукистафинга, который вставляется на сайты рекламодателей через ваш скрипт.
На сайте 220-volt этот код на данный момент не срабатывает, что не означает , что он не будет срабатывать там или на других сайтах в дальнейшем. (Да, мы заметили, что сегодня вы его отключили.)
Вывод: надо внимательно проверять динамические коды сторонних подрядчиков, устанавливаемые на сайт, так как их функционал может время от времени меняться и наносить ущерб.
Комментарий недоступен
К сожалению, фрод настолько пронизал рекламную отрасль, что с ним часто непонятно как бороться: в нем многие заинтересованы. Например, мы берем КМС Гугла (по идее Гугл говорит о борьбе за чистоту) и видим приличное кол-во левого трафика, который часто даже не маскируется под качественный и человеческий. А ведь это деньги и Гугл вряд ли их возвратит, т.к. косвенно заинтересован в подобной схеме. Это всего лишь частный пример. Я молчу, что творится в тизерках и аналогичных похожих сетях. Хотя может тоже расскажем в отдельном кейсе
КМС ?
Контекстно-медийная сеть Google