Как мошенники обманывают маркетологов: виды фрода в digital-рекламе
Действия мошенников и фейковый трафик — большая проблема маркетологов и рекламодателей. Каждый год появляются новые методы борьбы с ними, однако фродеры тоже не отстают. Эксперты Go Mobile из IAB Russia разобрались, с какими видами фрода можно столкнуться в 2021 году.
Фродовый трафик мешает рекламодателям запускать эффективные кампании и угрожает репутации рекламных сетей. Мы собрали первую максимально полную справочную информацию о фроде на русском языке. Материал получился объемным, поэтому мы разделили его на несколько частей.
В первой мы разберем два аспекта:
что такое фрод;
какие типы и механизмы фрода распространены в 2021 году.
Вторая часть материала будет посвящена борьбе с фродом и возможностям популярных антифрод-систем.
Материал будет полезен как специалистам, непосредственно работающим с закупкой трафика, так и менеджерам в брендах, которые хотят разобраться в теме и отслеживать эффективность работы подрядчиков или inhouse-команды.
Что такое фрод
Фрод — действия партнеров, направленные на выполнение KPI рекламодателя несогласованными и часто запрещенными методами. Существует много разновидностей фрода, однако все они преследуют одну цель — получение выгоды за счет присвоения атрибуций и искусственной накрутки оплачиваемых действий (кликов, показов и конверсий).
Не отслеживая фрод, вы:
платите за некачественный трафик и несуществующие показы и клики;
получаете искаженные данные об эффективности рекламных кампаний и каналов;
создаете стратегию закупки трафика, ориентируясь на некорректные показатели;
больше рискуете и не можете доверять партнерам и агентствам.
Типы фрода
Мы рассмотрели самые распространенные типы и механизмы фрода. Для удобства мы разделили их на три категории: фрод в медийной рекламе, фрод в performance-рекламе и механизмы фрода — явления, которые нельзя отнести к первым двум категориям.
Фрод в медийных размещениях
Целью медийных размещений является контакт бренда с пользователем. В таких запусках рекламодатели платят за показы, поэтому главная цель мошенников здесь — накрутить фейковые просмотры.
Fraud Impressions Stuffing
Показ объявлений вне поля зрения конечных пользователей. Данный тип фрода не очень опасен. Его легко обнаружить на этапе анализа эффективности рекламных источников — источники с фродовым трафиком «выдают» себя за счет невысокого уровня кликов и низкого коэффициента конверсий.
Pixel Stuffing — размещение рекламного объявления на небольшом (1х1 пиксель) участке страницы. Пользователь даже не видит объявление, а с рекламодателя списываются деньги за его размещение.
Ad Stacking — параллельный показ нескольких объявлений, при этом одно объявление скрыто под другим. Пользователь видит только верхнее, а за показ платят даже те рекламодатели, чьи объявления были скрыты.
Background Ad Activity — показ рекламы на странице вне поля видимости пользователя, просмотр при этом фиксируется.
IVT (Invalid Traffic) — любой вид трафика, исходящий не от реальных пользователей
SIVT (Sophisticated IVT) — трафик, который имитируетдействия реальных пользователей. SIVT использует разные паттерны и постоянноменяется, поэтому его непросто идентифицировать. Часто фродеры располагают свойсофт на серверах известных дата-центров (например, Google или Amazon) — и этоих выдает. Зная диапазоны этих IP-адресов, можно вычислить мошенников.
Spoofing — Вид фрода, связанный с подменой доменов и ID приложений.
App Spoofing — подмена приложения для рекламных размещений. Мошенник создает приложение и регистрирует его в рекламной сети под названием приложения, которое находится в вайт-листах и считается чистым источником.
Рекламодатели думают, что закупают объемы трафика в белом источнике, но в реальности их объявления показываются в приложении мошенника. Такое может случиться в любой рекламной сети. Фродеров найдут, но со временем, поэтому они успеют навредить.
App Spoofing может серьезно повлиять на репутационные потери рекламодателей и сетей. Так, реклама фонда по защите от домашнего насилия может показываться на сайте Мужского государства — движения, которое признали экстремистским и запретили на территории РФ.
Фрод в Performance-размещениях
В performance-размещениях рекламодателям нужны события глубже просто кликов — установки, покупки и др. Поэтому здесь фрод представляет собой имитацию совершения целевых действий пользователями.
Click Spamming
Выполнение фейковых кликов для того, чтобы перехватить атрибуцию. Обычно performance-кампании запускаются с моделью last-click, т.е. атрибуция присваивается последнему рекламному источнику, который посещал пользователь перед тем, как совершить атрибуцию. Поэтому задача фродеров — сделать этот последний клик за юзера.
Заранее невозможно определить, какие из пользователей в итоге совершат целевое действие, поэтому мошенники взаимодействуют с большим количеством юзеров и делают очень много фальшивых кликов. Именно их видит рекламодатель в своей аналитике, отсюда и название — Click Spamming.
Cookie Stuffing — тип фрода, при котором пользователя принуждают сделать клик, чтобы он перешел по рекламной ссылке фродера и сохранил в браузере Cookie. В будущем этот Cookie покажет трекинговой системе рекламодателя, что этот пользователь взаимодействовал с рекламой данного партнера.
Для этого мошенники могут:
Дописать на странице скрипт, который вынудит браузер пользователя сделать необходимый клик. Такой клик называют silent click — пользователь смотрит разные разделы страницы, а в это время его браузер отправляет запрос по рекламной ссылке, необходимой фродеру.
Интегрировать скрипт в браузерное расширение, который подменит данные рекламного партнера в ссылке, по которой пользователь переходит на сайт рекламодателя. Пользователь кликнул по объявлению партнера А, но по данным трекера этот пользователь пришел по рекламе партнера В.
С помощью Cookie stuffing мошенник может привязать необходимый cookie к пользователю вне зависимости от канала, из которого он пришел, чтобы получить вознаграждение даже за органических пользователей.
Auto redirects — принудительное перенаправление пользователя на страницу фродера через трекинговые ссылки. Например, пользователь открывает одну страницу, но его перекидывает на другую.
Install Hijacking — присвоение установок приложения другим рекламным источникам за счет заранее внедренного вредоносного ПО.
Click Hijacking — перехват легального клика и последующей установки с помощью отправки дублирующего клика (false click report) из конкурирующей сети.
Click injection — имитация клика перед тем, как приложение полностью установлено, для присваивания клика мошенническому источнику. Механизм работает так: одно из ранее установленных приложений «следит» за новыми установками и отправляет уведомление, чтобы фродер перехватил совершенный клик и присвоил его себе.
Бонус: как еще мошенники могут создавать фейковый трафик
Emulators — имитация реальных действий (например, клики) пользователя с помощью вредоносного кода.
Bots — использование программы, которая может выполнять или повторять с высокой частотой действия, которые требуются от реальных пользователей.
SDK Hacking — внедрение мошенниками вредоносного кода в приложение для генерации фальшивых кликов. По сути этот тип фрода имитирует целевые действия, которых никогда не было (в отличие от Click Injection, который «ворует» совершенное действие). Происходит это так:
Происходит это так:
С помощью кода злоумышленник совершает фиктивные клики с рандомными Device ID, чтобы трекинговая система зафиксировала трафик, исходящий от рекламного партнера.
Фродер отправляет запрос в трекер, чтобы выдать свой компьютер за установленное приложение. В качестве доказательств передает Device ID, которые использовал для имитации кликов. Трекинговая система засчитывает эти установки как реальные, хотя на самом деле они никогда не совершались.
Device Farms — имитация пользовательской активности с помощью множества устройств со специальными программами, фейковыми Device ID и IP-адресами.
Spoofing — вид фрода, связанный с подменой доменов.
DNS Spoofing — подмена имени домена в ссылках атрибуции. Так злоумышленник может перенаправить любой трафик, предназначенный для определенного домена, на собственный сервер. Фродеры подделывают соответствие IP-адреса и домена на DNS-сервере, чтобы направить пользователя на необходимый злоумышленнику сайт. Этот механизм фрода сложен в реализации и не очень распространен.
Incentive/Incentivized Traffic (Мотивированный трафик) — выполнение целевых действий пользователями за вознаграждение
Мотивированный трафик не всегда считается фродовым, так как часть рекламодателей используют его в качестве продвижения. Например, если рекламодатель хочет продвинуть свое приложение в другом приложении сходной тематики. Такая практика распространена в гейминге.
Пользователей игры призывают установить приложение за внутриигровое вознаграждение (игровая валюта, инвентарь и пр.). После мотивированной установки юзер может остаться в приложении, так как ему понравилась игра.
Мислид — использование в рекламных материалах недостоверной информации. Мислиды сложно обнаружить, поэтому они могут нести существенные репутационные риски.
Mixed Fraud — применение различных видов мошенничества в сочетании с использованием действий реальных пользователей. Этот вид мошенничества сложнее всего обнаружить — в нем нет никаких очевидных закономерностей. В лучшем случае вы сможете определить смешанный фрод по общему KPI для трафика, который будет немного ниже целевого.
Заключение
Мы разобрались, какие типы и механизмы фрода используют мошенники для обмана в digital-рекламе.
В следующем материале мы расскажем:
на какие метрики смотреть, чтобы обнаружить фейковый трафик в ваших рекламных кампаниях;
почему в борьбе с фродом не обойтись без антифрод-систем.
В подготовке материала участвовали: Игорь Гусев (СТО), Олег Захаров (Research Manager), Марина Науменко (Copywriter).
Просто о сложном
Неделя рекламы 
Новости 
Кейсы 
How to 
Интервью и дискуссии 
Исследования 
Проверено ADPASS 
Рекламные кампании