{"id":10776,"title":"\u0411\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u044d\u0442\u043e\u043c\u0443 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0443 \u0432 \u043e\u043a\u0435\u0430\u043d \u043f\u043e\u043f\u0430\u0434\u0451\u0442 \u043c\u0435\u043d\u044c\u0448\u0435 \u043f\u043b\u0430\u0441\u0442\u0438\u043a\u0430","url":"\/redirect?component=advertising&id=10776&url=https:\/\/vc.ru\/acer_russia\/347915-acer-vypustila-pervyy-noutbuk-iz-pererabotannogo-plastika&placeBit=1&hash=368c351f012741e124bb4bc6c0b9b05d5e0f9033fab83ea5e301424877f73936","isPaidAndBannersEnabled":false}
Маркетинг
admon.ai

Rocket Фрод

Ранее мы писали про скрипты «ретаргетинга» и фрод, который идет через CPA-сети и рекламные агентства. В преддверии высокого сезона решили описать новый подход к фроду, который удалось найти.

Лернейская Гидра, у которой вместо одной отрубленной головы вырастали две новые

Проверка скриптов ретаргетинга

Коротко: большинство сайтов из нашей первой статьи не удалили фродящие коды, но сами коды поменялись (например, домен retag.pw, подобно Лернейской Гидре, распался на десятки одноразовых доменов). Думаем, это - наша заслуга, и фродеры стали осторожней. Больше нам не выложить красивый скриншот с similarweb как доказательство фрода. Придется разбираться с каждым из одноразовых доменов, которые часто меняются.

Фродовая CPA-сеть

Теперь к главному: в этой статье разберем целую CPA-сеть, в которой мы не нашли чистых вебмастеров.

Для крупных фродеров создание свой CPA-сети выглядит как логичный шаг. Ведь действительно, зачем регистрировать вебмастера в общеизвестной CPA-сети когда можно создать свою CPA-сеть используя affise.com и прийти с этой CPA-сетью напрямую в агентство.

Агентства обычно мотивированы увеличить CPA-канал и с радостью подключают новые источники, вставляя неизвестные коды ретаргетинга с анонимных одноразовых доменов (как избежать этого с помощью правильных KPI мы рассказывали в предыдущей статье).

Эту сеть нам помог найти контейнер скриптов Adv.Cake на сайте 220-volt. Напомним, в прошлый раз они вставляли такой код:

Код осуществлял iframe-кукистафинг (подробнее - в нашем первом расследовании).

Но после нашей статьи его убрали. Также этот код убрали и некоторые CPA-сети (например, GdeSlon) и глобально фрода стало меньше на какое-то время.

Сейчас на том же месте в контейнере Adv.Cake находится такой код:

Текущий код, который вставляется через контейнер Adv.Cake

Давайте разберем как он работает: открываем dev tool и видим пустой файл.
Но это не проблема – мы привыкли, что от нас прячут скрипт. Проверили другие страницы сайта и код также не нашли.
Мы начали искать, что отдает rockcnt.com на самом деле и нашли следующее:

Скрипт, который отдает код rockcnt

Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября.
Код rockcnt.com на некоторых сайтах возвращает и более знакомые нам скрипты по прошлым статьям.

Далее через серию вставок кода с домена ubscript.com мы находим боевой участок кода:

Код кукистаффинга с домена ubscript.com

По коду видно, что создается iframe по CPA-ссылке в невидимой области экрана – это обычный Кукистаффинг.
По CPA ссылке происходит переход на тот же сайт, но с CPA-метками с источником Rocket10 в utm_source.

Не только Adv.Cake подключает rockcnt.com, например, в контейнере TrackAd мы нашли такой код:

Содержимое контейнера TrackAd

По UTM метками, коду подключения из TrackAd, алиасу track.r10web.com на affise.com можно сделать вывод, что Rocket10 приходит в агентство как CPA-сеть с несколькими вебмастерами и полноценной интеграцией.

Результат расследования

Мы проверили вебмастеров Rocket10 по доступному нам трафику и обнаружили: равномерное распределение трафика по вебмастерам, одинаковый фрод через iframe в каждом вебмастере (примерно по 20%). Чистый трафик там тоже есть, но он скорее нужен для отвода глаз, чтобы скрыть фрод по статистике.

Отметим, что Adv.Cake и TrackAd позиционируют себя как антифрод-решения, однако подключают клиентам неизвестный код с анонимных доменов, который довольно часто оказывается фродом.

Сайты, на которых мы нашли вставку rockcnt.com:

123.ru, 220-volt.ru, alpindustria.ru, aromacode.ru, atlasformen.ch, atlasformen.de, atlasformen.fr, atlasformen.nl, atlasformen.pl, avtocod.ru, beautydiscount.ru, bethowen.ru, bonprix.ru, book24.ru, chitai-gorod.ru, condom-shop.ru, delivery-club.ru, dinomama.ru, evropharm.ru, gracy.ru, just.ru, lampart.ru, laredoute.ru, mi-shop.com, mytoys.ru, nebo.ru, niyama.ru, nozhikov.ru, ogo1.ru, ostin.com, pharmacosmetica.ru, pichshop.ru, ps-box.ru, pudra.ru, rukodelov.ru, sendflowers.ru, shop.laroche-posay.ru, shop.misslo.com, sportmaster.ru, store77.net, topradar.ru, tutu.ru, vamsvet.ru, vassatrend.ru, zdravzona.ru.

Также домен usercomebacker.com, похожий по поведению на ubscript.com, был обнаружен на этих сайтах:

lacywear.ru, lwr.kz, toy.ru, yves-rocher.ru, ezakaz.ru, holyskin.ru.

Что в итоге

Технологии мошенников развиваются ежедневно. Чтобы не переплачивать за бесплатный трафик и не платить дважды за трафик с других платных каналов, мы рекомендуем внимательно проверять скрипты, которые ставятся на ваш сайт, особенно через подрядчиков.

Для контроля правильного расходования бюджета лучше привлекать независимых подрядчиков, которые не получают процент с рекламного бюджета.
Мы со своей стороны всегда рады бесплатно проконсультировать и помочь всем, кому это действительно интересно - проверяем работу сторонних кодов на сайте, фрод в СРА-трафике и накрутки со стороны медийных подрядчиков.

Впереди высокий сезон, Black Friday, День холостяка и Новый год - большие рекламные бюджеты, дефицит чистого трафика и повышенный соблазн для мошенников "срубить бабла" на год вперед везде, где за ними не следят.

Узнать больше о рекламном фроде и не только можно в нашем блоге или на странице FaceBook.

0
12 комментариев
Популярные
По порядку
Написать комментарий...
TrackAd

Мы увидели упоминание TrackAd в статье и, на наш взгляд, эта статья несет намеренный негативный смысл, поэтому будет справедливо ответить.

Во-первых, партнерская сеть Rocket10 сразу упоминается, как мошенническая, и это только на основании кода, найденного в скрипте. Rocket10 это известная и многопрофильная компания международной группы с разными каналами трафика, в которой работают 130 сотрудников в 5 странах мира. Конечно, это не освобождает их от каких-либо попыток мошенничества, но, по крайней мере, вызывает сомнения в правдивости написанного и дает право на комментарии до публикации статьи с осуждениями.

Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook.

Во-вторых, подозрительный тег Rocket10 был найден в тег-контейнере TrackAd, в инструмент которого также входит известное решение по борьбе с фродом, и сразу была проведена необоснованная связь между предполагаемым мошенничеством в теге и эффективностью самого анти-фрод решения TrackAd.

Прежде всего, это говорит о том, что нет понимая, как функционирует любой тег-контейнер. Контейнер тегов - это технология, у которой есть три основных преимущества:
. доступ к библиотеке тегов источников трафика
. возможность быстрого размещения тегов на сайте без задействия технической команды
. асинхронная загрузка, чтобы избежать медленной загрузки страниц сайта, если код неисправный.

Это относится абсолютно ко всем решениям по управлению тегами, в том числе Google Tag Manager, Qbit, Commander Act или тег-контейнер TrackAd.
Как и GTM в пакете Google Analytics 360, тег-контейнер TrackAd это один из продуктов пакета TrackAd, обособленный от других. Поэтому ни при каких обстоятельствах теги, которые запущены в тег-контейнере TrackAd, не влияют на работу аналитического инструмента TrackAd, одна из функций которого - идентификация фрода в партнерских сетях.

То же самое можно сказать о Google Analytics в сравнении с Google Tag Manager.
Все теги, запущенные через тег-контейнер, также могут быть интегрированы напрямую на сайт, но с большим риском замедления работы в случае неисправности кода.

И наконец, мы всегда поддерживаем и следим за новыми методами выявления фрода. Мы были первыми и именно это делает наш инструмент успешным в Европе. Тем не менее, мы всегда осторожны в суждениях, и, на наш взгляд, эта осторожность должна быть правилом для всех участников анти-фрода. Перед любым сообщением, а тем более обвинением подрядчика, мы предоставляем ему возможность прокомментировать ситуацию. А делается это как раз для того, чтобы избежать публичного осуждения игроков рынка на основе предположений и догадок.

Ответить
0
Развернуть ветку
Дмитрий Задорожный

Какие обтекаемые суждения у вас после конкретных примеров. Автор молодец тем, что не был голословен и привел доказательства. Причем он не утверждал категорично, что все плохо.
P.s. я не сторонник не той, ни другой стороны, а читатель кейса

Ответить
4
Развернуть ветку
Александр Егиян

Слишком много воды и пафоса, давайте по существу.

У вас есть инструмент, через который вы рекламодателям подключаете коды различных сервисов или рекламодатель подключает их сам.

Инструмент он на то и инструмент, чтобы кто-то этим инструментом управлял.
- Если ваш клиент покупает у вас инструмент без покупки ваших мозгов, он там сам может себе что угодно наподключать и несет за это ответственность.
- Если ваш клиент покупает у вас мозги с инструментом, то ответственность на вас, вы как компания которая обслуживает данный канал предупреждаете его о возможных рисках и по согласованию включаете эти коды и знакомите клиента с подрядчиком.

В обоих случаях статья полезна, потому что если обнаружили что Рокет10 фродит и усиливает свой типа фейсбучный траф через Стаффинг, то его отрубает в первом случае клиент, во втором случае вы.

Имя и количество сотрудников ничего не значит, международные компании фродят только в путь, особенно французы!

Уважаемые первые на рынке, я 4 года назад на встрече с Жаке, вашим основателем когда общался и он рассказывал про антифрод в области лидогенерации на уровне телефонных номеров в заказах, на мой вопрос по поводу того есть ли решения по кукистаффингу, что он мне сказал? Он меня спросил: «Это что такое? Это какой-то жаргонизм или что?» Это было ровно в тот момент когда наши коды по отлову кукистаффинга уже стояли и работали на клиенте, которого Жаке сейлил.

Прочитав статью говорю, что у Admon есть представление как работает ваш тег менеджер. То что вы пишите говорит о том что вы не понимаете как работает ваш собственный тег менеджер и вы оперируете слишком обстрактными фразами.

Зачем вы пишите про то что код Рокет10 никак не может повлиять на ваши аналитические инструменты не при каких обстоятельствах, если могут? Как не могут? Дата с сайта сливается? Сливается. На сайте редиректы можно включить? Можно. Куки подменить можно? Можно. Вы уверены, что не могут? На чем основаны ваши суждения если код Рокет10 является составляющей сайта и имеет полный к нему доступ? Бред, код Рокет10 впринципе при желании может отключить ваш инструмент и подменить его на свой trackad.

Мне кажется вы либо просто не знаете либо вводите аудиторию в заблуждение. Мы на своих клиентах коды ретаргетинговые просто так не включаем, обо всем предупреждаем и вам советуем просто так не включать и тогда никто статьи с вашим участием писать не будет.

Ответить
3
Развернуть ветку
admon.ai

Коллеги, спасибо за комментарий.
В первую очередь, статья написана для информирования участников рынка о существующих рисках. Предупрежден - значит вооружен.
Вывод о качестве трафика Rocket10 был сделан на основании анализа, достаточно подробно описанного в статье. К сожалению, мы не знаем сколько человек трудится в данной компании и в каких странах, но о качестве трафика в конкретных случаях можно судить. Хотя чистый трафик там безусловно тоже есть, и об этом мы написали.
Что касается связи контейнера и антифрод решения от TrackAd, то это скорее - издержки от попытки усидеть на двух стульях сразу. Google Analytics, например, не позиционирует себя как «известное решение по борьбе с фродом».
И наконец, если мы будет согласовывать описание кейсов фрода со всеми действующими лицами, к моменту написания статьи фрод спрячут еще глубже. Мошенники продолжат зарабатывать, а бизнес продолжит считать, что и без контроля все под контролем.

Ответить
2
Развернуть ветку
Андрей Синицын

"Пример сайта 220-volt.ru, на котором основана статья, может быть легко проверен. На платформе Rocket10 никогда не была запущена партнерская программа сайта 220 вольт, а была только обычная кампания в Facebook."

Вы как-то вот на этот момент ответите? У вас вся статья выстроена на этом факте. А факт этот вы придумали.

Ответить
0
Развернуть ветку
admon.ai

Андрей, а где написано, что именно на сайте 220-volt.ru был обнаружен фрод с платформы Rocket10?
В статье описан хронологический ход расследования, и что данный источник был обнаружен на 220-volt.ru.
Также приведен пример кода кукистафинга, который данный источник вставляет на других сайтах.
При этом в явном виде указано, что пример взят не с сайта 220-volt.

Ответить
0
Развернуть ветку
Андрей Синицын

Я вам уже ответил в ФБ, но продублирую тут.

"Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября."

Если вы не поняли, что вы написали. Поясню. Тут написано, что вы НИЧЕГО НЕ НАШЛИ, но вы думаете что фрод все равно есть и трафик идет фродовый от нас на 220 вольт. Вся суть вашей статьи такая.

Ответить
0
Развернуть ветку
admon.ai

Поясним и тут - мы нашли фродящий код кукистафинга, который вставляется на сайты рекламодателей через ваш скрипт.
На сайте 220-volt этот код на данный момент не срабатывает, что не означает , что он не будет срабатывать там или на других сайтах в дальнейшем. (Да, мы заметили, что сегодня вы его отключили.)
Вывод: надо внимательно проверять динамические коды сторонних подрядчиков, устанавливаемые на сайт, так как их функционал может время от времени меняться и наносить ущерб.

Ответить
4
Развернуть ветку
Илья Шишкунов

Лернейская Гидра
А вот нет. Это арт из замечательной игры моего детства. Titan Quest

Ответить
1
Развернуть ветку
Дмитрий Задорожный

К сожалению, фрод настолько пронизал рекламную отрасль, что с ним часто непонятно как бороться: в нем многие заинтересованы. Например, мы берем КМС Гугла (по идее Гугл говорит о борьбе за чистоту) и видим приличное кол-во левого трафика, который часто даже не маскируется под качественный и человеческий. А ведь это деньги и Гугл вряд ли их возвратит, т.к. косвенно заинтересован в подобной схеме. Это всего лишь частный пример. Я молчу, что творится в тизерках и аналогичных похожих сетях. Хотя может тоже расскажем в отдельном кейсе

Ответить
0
Развернуть ветку
Artemida Svet

КМС ?

Ответить
0
Развернуть ветку
Roman Safonov

Контекстно-медийная сеть Google

Ответить
0
Развернуть ветку
Читать все 12 комментариев
Наша статистика – это ваши поддержка и доверие
Эксклюзивные промокоды для читателей виси на скидки до 75%

Видео-редактор Supa.ru, бот для ведения личных финансов Мобс бот, приложение для запоминания иностранных слов MemoWord и еще 20 полезных сервисов от читателей для читателей.

Кейс Pirelli: переводим станки на человеческий язык
Режим Хеджирования
Доллар на бирже превысил 79 рублей впервые с 2020 года, ЦБ остановил покупку иностранной валюты на неопределённый срок Статьи редакции

Что происходит 24 января: в падении рубля виновата геополитика, но ему могут помочь высокие цены на нефть.

Сервис массового аутсорса несложных задач «джунам»: в Skypro придумали решение проблемы дорогих разработчиков Статьи редакции

Бизнес сможет не тратить время и силы на поиск специалистов, а сервис — трудоустроить своих учеников.

Я готов месяц счищать снег с тротуара перед зданием ЦБ РФ в костюме жабы

Вот уже полгода мы подстраиваем свою работу под требования 259 федерального закона, чтобы создать полностью легальную криптоплощадку на территории РФ. Я потратил несколько миллионов долларов на разработку платформы, работу юристов и оценщиков.

Первый инвестиционный TikTok сериал от «Открытие Инвестиции»

Не пропустите первый сезон взрывного инвестиционного сериала в TikTok! Вас ждут 10 коротких серий о неординарном молодом инвесторе по имени Паша Баблос!

Что такое аномалии фондового рынка
null