Скликивание Яндекс.Директ. Как воруют ваш рекламный бюджет и как защититься от скликивания?

Меня зовут Максим Кульгин, и моя компания clickfraud занимается защитой от скликивания контекстной рекламы в «Яндекс.Директ». Современный мир цифровой рекламы — очень дорогой и не для слабонервных. Обратите внимание: в последние годы представители рекламной индустрии на своих мероприятиях никогда (или почти никогда) не упоминают про кликфрод. Зря.

А многие предприниматели, в особенности представляющие мелкий и средний бизнес, либо вообще не знают о существовании подобного мошенничества в сети, либо имеют об этом какое-то разрозненное или даже целиком ложное представление.

Что такое скликивание и чем оно грозит бизнесу

Как они это делают

Арсенал мошенников

Что будет с веб-сайтом

Защитит ли Закон

Борьба пчёл против мёда

«Сделай сам»

Как же засечь и предотвратить скликивание

До тех пор, пока предприниматели пытаются выжить в мире глянцевых рекламных роликов среди жаргона о «продвинутом таргетинге», «искусственном интеллекте» и прочих уловках (без хотя бы элементарного, но реального понимания современных опасностей для бизнеса, без надежных и обоснованных методов проверки эффективности используемых ими конкретных интернет-технологий) — они обречены на несение неоправданно завышенных рисков и напрасных трат в масштабах, которые в некоторых случаях способны даже полностью похоронить бизнес.

В этой статье я постараюсь простым языком дать целостную картину происходящего. Кто-то сэкономит время. Кто-то получит отправную точку для размышлений. А кто-то воодушевится, увидев, что не одинок в беде расхищения рекламного бюджета и найдет выход из непростой ситуации.

Здесь вы можете встретить развернутые комментарии предпринимателей, столкнувшихся с мошенничеством. Это отражение иной точки зрения, взгляд «с другой стороны», что поможет читателю увидеть более объективную картину.

Мы слегка подкорректировали орфографию и пунктуацию, чтобы комментарии соответствовали уровню площадки, предоставившей возможность делиться здесь своим опытом. В конце статьи будет ссылка на страницу, где можно почитать больше комментариев уже без какой-либо пост-модерации с нашей стороны.

Скликивание, которое иногда называют кликфрод — это вид мошенничества, при котором намеренно искажается статистика рекламного трафика.

Онлайн реклама обычно оплачивается из расчета за один клик. Предприниматели полагают, что каждый переход по рекламной ссылке (за который они заплатят) приведет к ним одного потенциального клиента.

Мошенники же используют специальные программы, которые притворяются обычными посетителями сайта и «нажимают» на рекламные объявления, переходя по тем самым рекламным ссылкам. Предприниматель заплатит за каждый такой переход. Но… Очевидно, что рекламный бюджет будет потрачен впустую, поскольку мошеннический робот (клик-бот) никогда не станет клиентом и ничего не купит.

Такое мошенничество может быть выгодно кому угодно: конкурентам, продавцам мест под рекламу… даже недовольным клиентам.

Недобросовестный делец может заказать скликивание для опустошения рекламного бюджета конкурента, а если получится, то и вовсе вытеснить его за пределы рынка. Продавцы рекламных мест заинтересованы в том, чтобы как можно быстрее выполнить заказ текущего рекламодателя и скорее заполучить нового. Кибер-преступники также используют эту технологию для повышения рейтинга вредоносных сайтов, делая их более релевантными в глазах поисковой системы.

Злоумышленникам противостоят крупные продавцы рекламных площадок, которые несмотря на очевидную выгоду волей-неволей вынуждены предпринимать хоть какие-то ответные шаги, чтобы не потерять репутацию на рынке.

Давайте рассмотрим мошеннический процесс более подробно: ведь это непростое мероприятие.

Итак, клик-бот «нажимает» на объявление (возможно, несколько раз) . Платформа, на которой рекламодатель разместил объявление, считает что это обычный пользователь, которого заинтересовало предложение. И вот некоторая сумма денег списывается со счета заказчика рекламы. Если такие действия будут снова и снова производиться с одного компьютера (а каждый компьютер имеет свой уникальный отпечаток в сети — fingerprints на языке специалистов) , то это однозначно вызовет подозрения у противодействующего программного обеспечения, выполняющего задачу «антискликивания».

Мошенники это понимают и готовы применить распределенную атаку, задействуя не один компьютер, а множество. Для этого могут использоваться и специальные виртуальные сети (VPN), и зомби-сети из зараженных компьютеров, и динамически меняющиеся наборы арендованных сетевых адресов.

Полномасштабная атака будет производиться с помощью довольно хитроумного программного обеспечения (далее просто ПО) . Ведь клик-бот должен выглядеть для веб-сайта как самый что ни на есть заурядный посетитель — чтобы не вызывать подозрений и, соответственно, противодействий.

Сетевые жулики обычно не нанимают человека для подобной работы по очевидным причинам: гораздо дешевле использовать специальные программы (в том числи и для увеличения числа подложных кликов) . Однако, в последнее время технология задействования людей переживает «второе рождение».

Ещё один способ опустошения кошелька жертвы — размещение рекламы на специально для этого созданных подложных веб-сайтах, у которых никогда не будет ни органического трафика (то есть посетителей пришедших из поисковых систем по целевому запросу) , ни настоящих клиентов. Как только появится реклама, будет порожден поддельный трафик и поддельные клики. Единственное, что в этой системе будет настоящим — это счёт, выставленный заказчику рекламы.

Наглости и изощренности нет предела! В этом бизнесе скликивания мошенники могут вредить и в обратную сторону: пытаться опорочить платформу, предоставляющую рекламные места, выставляя её как мошенническую (скликивающую расположенные на ней объявления) , чтобы отвадить от неё клиентов-рекламодателей.

Конечно, когда человек нажимает на рекламу без намерения совершить заказ, это не является мошенничеством (если он руководствуется собственным любопытством, а не получает оплату за такую «работу») . Посетитель сайта может совершать подобные действия снова и снова, если по техническим причинам никак не может попасть на интересующую его страницу — такие клики, безусловно, могут и должны быть расценены как случайные.

Несложно убедиться в том, что с фантазией у преступников всё в порядке. И чтобы защититься от неожиданного ущерба, нужно хотя бы в общих чертах иметь представление об арсенале кибер-преступников. Разные виды мошенничества преследуют разные цели и имеют разный уровень сложности. Итак, кратко:

Мошенничество с рекламой

Создаются веб-сайты, на них размещаются баннеры или текстовые ссылки на продажу. Рекламодатели ведутся на приманку и оплачивают поддельные клики несуществующих клиентов.

Скликивающие роботы, они же клик-боты

Специальное ПО порождает множественные клики по оплаченной рекламе.

Целые скликивающие фермы

Нанимаются люди для щелканья по рекламным объявлениям — это жители стран с низкой стоимостью рабочей силы. Алгоритмы скликивания позволили автоматизировать процесс, но появление высокоинтеллектуальных методов противодействия скликиванию, заставляет мошенников снова вовлекать настоящих людей. Писатели-фантасты прошлого были бы в восторге: «то самое будущее» наступило — человек посреди групп противоборствующих роботов!

Пиксельная «начинка»

Используется при оплате «за просмотр», а не «за клик». На веб-сайте размещается реклама сверхмалого размера, вплоть до одного пикселя. Пользователи — реальные люди — даже не подозревают о том, что «просматривают» рекламу. А просмотр тем не менее регистрируется и за него будут заплачены невиртуальные деньги.

Наложение рекламы

Этот случай похож на предыдущий тем, что рекламные объявления на самом деле не видны читателю — они накладываются одно на другое.

Игры с местоположением

Здесь предпринимается попытка подменить истинное географическое положение путем создания виртуальной сети. Рекламные кампании почти всегда направлены на аудиторию определенного региона, что учитывается в том числе и в стоимости «показов» и «кликов». И массовый наплыв посетителей из региона с низкой почасовой оплатой вряд ли обрадует рекламодателя.

Поддельные видео-просмотры

То же самое, что и с ненастоящими просмотрами обычной рекламы, но здесь объектом мошенничества становится реклама в формате видео.

Ложный интерес

Об этом виде недобросовестной борьбы уже упоминалось в начале статьи. Здесь речь идет о битве между рекламными площадками. Искусственно повышая интерес к рекламе, опубликованной на конкурирующей площадке, они подталкивает её к необоснованному завышению цены, что с течением времени всё-таки понизит её конкурентоспособность на рынке.

Стимулированный трафик

Владельцы рекламных площадок стимулируют посетителей переходить по рекламе, при этом осознавая, что те на самом деле ничего там не купят. Часто предлагается вознаграждение в том или ином виде. Прекрасным примером может послужить мобильная игра, в которой игрокам предлагаются виртуальные бонусы за просмотр рекламы.

Разумеется, все эти виды мошенничества могут применяться в связке друг с другом или же по-отдельности, в зависимости от целей и возможностей злоумышленников.

Очевидно, что мошенничество будет неукоснительно приводить к повышению затрат на рекламу и падению конверсии. Однако, помимо этого есть и ещё несколько менее очевидных моментов.

Так, если роботы и прочие скрипты взаимодействуют с рекламой, то все метрики, на основе которых планируются рекламные кампании, будут ошибочны. Нетрудно догадаться, как это скажется на эффективности бизнеса.

Но и это ещё не всё.

Если интенсивное искусственное кликание будет использовано для воздействия на поисковую систему, то с её точки зрения это будет выглядеть, как злостная накрутка посещений, что приведёт к ответной реакции — пессимизации выдачи. А что может быть хуже для бизнеса, использующего интернет как источник привлечения потенциальных клиентов, чем оказаться забаненым в Яндекс или Google? !

Скликивание и подобные виды мошенничества являются незаконными лишь в нескольких странах.

Если кому-то повезло иметь бизнес в штате Делавэр, то он может рассчитывать на поддержку со стороны властей. Там это считается нарушением Федерального закона «О компьютерном мошенничестве и злоупотреблениях» и карается до вплоть до десятилетнего тюремного срока.

В подавляющем же большинстве стран нет законов, касающихся конкретно скликивания. В отдельных случаях могут применяться общие законы, связанные с мошенничеством, но поскольку здесь не обойтись без участия специальных отделов, связанных с кибер-безопасностью, то на практике доказать злонамеренное скликивание и причастность к этому конкурента оказывается безнадёжным делом.

Например, в нашей стране скликивание рекламы может быть расценено как мошенничество и подпадать под статью 159.6 УК РФ «Мошенничество в сфере компьютерной информации». Но всё не так просто. Поскольку отсутствует элемент хищения имущества, то можно рассчитывать скорее на квалификацию по статье 165 УК РФ «Причинение имущественного ущерба путем обмана или злоупотребления доверием», но только если сумма потерь превысит 250 000 рублей. Более подробно можно почитать об этом здесь.

И конечно, рассчитывать на возмещение ущерба таким способом можно только если преступники будут пойманы, а их вина будет доказана в суде.

Уже много лет поисковые системы подвергаются и продолжают подвергаться критике за недостаточность усилий по выявлению и пресечению подобного рода мошенничества. Насколько же такая критика является обоснованной?

Название «поисковые системы» — это наследство из прошлого. Теперь их правильнее называть «рекламные гиганты». Их баснословный доход происходит от рекламных заказов, и каждая некогда «просто поисковая система» стала рекламной площадкой, масштабам которой не было равных в истории.

Независимо от того, был ли клик искусственным или нет, он принесет поисково-рекламным гигантам прибыль. Поэтому их «борьба» против мошеннических схем, рассмотренных нами ранее, обусловлена лишь риском понести репутационные потери или навлечь на себя серьезное внимание властей. И только ради этого они вынуждены были продемонстрировать некоторые действия по борьбе с мошенничеством в рекламе.

Распространено мнение, что среди всех поисково-рекламных гигантов, Google создал одну из самых надежных систем по борьбе со скликиванием. Система использует многоступенчатый подход и собственные алгоритмы, основанные в том числе на использовании машинного обучения.

Система обнаруживает и отфильтровывает недействительные клики в режиме реального времени. Поскольку на эти фильтры нельзя полностью положиться во всех случаях — а сложность растет! — то при обнаружении подозрительной активности автоматизированной системой к анализу подключаются специалисты и дальнейшие действия предпринимаются уже вручную. Помимо этих упреждающих мер, Google также проводит расследования на основе сообщений рекламодателей о подозрительной активности.

Не часто, но иногда приходится слышать вопросы или упрёки, что «никто не объясняет, что конкретно надо делать для защиты». «Мы сами могли бы справиться, только бы знать „как“». Что ж! Для тех, кто хочет попробовать бороться за свой бизнес в одиночестве ниже предлагается небольшое руководство.

Должна быть налажена своя собственная система сбора статистики и формирования отчетов. Потому что только в сравнении показателей текущей активности с историей можно заметить значимые изменения. Даже если используется, например, аналитика Google, она сможет сообщить только о том, стал ли клик лидом. А конвертировалась ли эта заинтересованность в продажу сможет сказать только собственная статистика и отчетность. Кстати, это знание поможет не только засечь мошенничество с рекламой, но и скорректировать действия для увеличения прибыли.

Далее, чтобы наполнить систему статистики значимыми данными, надо предпринять меры для получения следующей информации по каждому посетителю:

Дату-время посещения и продолжительность присутствия необходимо использовать вместе как раз для того, чтобы вычислить IP-адреса, которые кликают по рекламе, попадают на ваш сайт, но даже не пытаются вникнуть в торговое предложение.

Предположим, что вы видите IP-адрес, с которого ваш сайт посещался множество раз. Это означает, что на этот IP-адрес в вашей базе данных собралась целая коллекция подробностей по дате-времени попадания на сайт и по продолжительности посещения. Если значительная часть таких визитов оказывалась чрезвычайно непродолжительной — без сомнения, это проявление мошеннической активности.

Обнаружив IP-адреса, с которых действуют мошенники, можно попытаться выполнить проверку и узнать кому они принадлежит. Здесь пригодятся такие общеизвестные ресурсы как:

Но с IP-адресом тоже всё не так просто. В реальном мире с одного IP-адреса в сеть выходит превеликое множество пользователей. С другой стороны при каждом подключении к интернету, пользователю могут назначаться различные IP-адреса из пула адресов, принадлежащих его интернет-провайдеру.

Такую же картину будет видно, если посетитель сайта воспользовался одной из общедоступных точек Wi-Fi, которыми просто пестрят крупные города: кафе, торговые центры, государственные и образовательные учреждения — везде сейчас предоставляется бесплатный выход в интернет — в каждой такой точке IP-адрес будет разным. Мошеннические схемы также повсеместно используют ротацию арендованных IP-адресов.

Одним словом, отталкиваться от одного только IP-адреса не получится.

Здесь на помощь как раз и приходят подробные сведения о браузере — user agent fingerprints. Теперь задача — научиться собирать сведения о производителе браузера, операционной системе, на которой он запущен, настройках локализации и тому подобных вещах. И уже на основе этих данных о браузере пытаться различать посетителей.

Если вы всё это смогли освоить самостоятельно, собрать на основе этих знаний свою систему обнаружения скликивания, протестировать её и запустить для защиты своего бизнеса — я вас не поздравлю, вы опоздали! ..

Все вышеописанные мероприятия — основа, на которой строится аналитика для обнаружения мошеннических действий. Но теперь этого недостаточно.

Это самые простые клик-боты просто заходят на страницу и «кликают» на нужную ссылку. Продвинутые же экземпляры запрограммированы выполнять целые ритуалы: движения мыши, случайные паузы перед выполнением действий, прокручивание страницы туда-сюда — то есть все те действия, которые предпринял бы реальный пользователь, сидя за компьютером. Так же подделывается и мобильный трафик. Не говоря уже о том, что генерация правдоподобных «сведений о браузере» вообще поставлена на поток.

Конечно, борьба со скликиванием не стоит на месте и многие программные комплексы научились справляться с обнаружением даже такой сложной имитации поведения человека. Но и мошенники находят чем ответить: зомби-сети, также известные как ботнеты, стали очередным вызовом.

Каждый ботнет может включать в себя тысячи и даже миллионы пользовательских устройств, на которых установлены клик-боты. Причем владельцы этих устройств об этом даже и не подозревают — клик-боты устанавливаются и запускаются без ведома пользователей в результате заражения вредоносным ПО.

История знает множество случаев, когда крупные зомби-сети использовались для мошенничества с кликами. Например, «Clickbot. A» — очередная мошенническая зомби-сеть, созданная специально для скликивания — паразитировала на более чем ста тысячах пользовательских компьютеров.

После заражения очередного устройства, вредоносной программе даже не придется маскироваться под действия пользователя — многие действия будут совершаться настоящим человеком, а клик-боту же останется только незаметно «нажимать» на ссылки.

Итак. Если вы знаете, как справиться со всей этой возросшей сложностью самостоятельно, это означает, что вы уже разработали свою уникальную математическую модель и буквально сейчас настраиваете на обучение нейронную сеть. И если ваше решение будет инновационным, математически обоснованным, хорошо опробованным на практике — вас тоже заметит правительство и выделит грант на дальнейшее совершенствование ваших технологий.

Прежде всего необходимо обращать внимание на:

Само собой эти сигналы могут быть замечены, если в компании должным образом налажен процесс отслеживания эффективности рекламы.

Вообще, критериев намного больше, значительная часть носит технический характер, в том числе:

Меры борьбы можно разделить на самостоятельные и делегированные. Ну, с делегированными понятно: вы используете опыт специалистов. А самостоятельно можно (а иногда и нужно) делать следующее:

Выполняю обещание, данное в начале статьи, и публикую ссылку, где ещё можно почитать больше комментариев уже без какой-либо пост-модерации с нашей стороны.

А на этой странице мы собрали достаточно информации в доступной форме, где можно самостоятельно оценить подверженность вашего бизнеса мошенническим атакам и бесплатно, без всяких обязательств, опробовать наши решения. Там же есть калькулятор потерь.

Прекрасным завершением рассказа были бы Ваши комментарии: личный опыт, удачный и нет, простые суждения, да и вообще Ваше видение интернета будущего. Чем закончится эта борьба? Чем этот финал обернется для простых людей?

Где можно почитать больше информации? Я регулярно пишу в Телеграмм наш опыт. Подписывайтесь, если хотите посмотреть на «изнанку» ИТ бизнеса в России или пишите мне с вопросами @maximkulgin.