Согласно отчету IEB, на каждые $3, потраченные на рекламу, $1 приходится на фрод. А по данным FraudScore, в 2020 году суммарное количество фрода в мире составило 38,5%. Разумеется, эта цифра различается в зависимости от региона, но в целом наблюдается тенденция роста мошеннического трафика по сравнению с прошлым годом.
В 2019 году уровень мобильного фрода составлял около 30%. Список регионов, подверженных фроду, возглавляли Азиатско-Тихоокеанский регион, Россия, страны СНГ и Индия. Однако в 2020 году объем фродового трафика значительно вырос в странах ЕС, которые были относительно «чистыми». В 2021 году они вошли в пятерку регионов с наибольшей долей фрода.
Что такое фрод и откуда он берется
Фрод — это обманные действия с мобильной рекламой, которые выдаются за релевантные для рекламодателя: клики, переходы, просмотры, установки приложений. Обманные действия приносят убытки рекламодателю и могут съедать до 90% рекламных бюджетов. Это выгодно рекламным площадкам, паблишерам, СРА-сетям для выполнения обязательств по привлечению пользователей.
Существуют два основных метода мобильного мошенничества, которые базируются на двух категориях пользователей: реальных и фейковых. Мошенники либо перехватывают клики реальных людей, либо создают фейковый путь пользователя. В этом случае самого юзера не существует.
Врага надо знать в лицо. Разберем четыре типа фрода, с которыми можно столкнуться.
Click Spamming
Этот вид мобильного фрода основан на перехвате реальных пользователей. Перехват атрибуции базируется на фейковых отчетах о кликах. Источник постоянно посылает клики, рассчитывая, что один из них окажется последним и засчитается системой в качестве инициатора установки приложения.
Происходит неверная атрибуция: источник присваивает себе установки от других партнеров или органические установки. Если у приложения хороший органический трафик, такой вид мошенничества оказывается очень эффективным.
Как SaveTime боролись с Click Spamming и перехватом установок с другого канала
Цель клиента на старте — увеличить число заказов. Наряду с закупкой In-App мы запускали рекламу у блогеров и раздавали им промокоды для привлечения пользователей. Эти промокоды попадали к клиенту в CRM. Но отдельные заказы, приведенные сетками, также содержали промокоды. Это означало, что некоторые сети скликивали заказы от блогеров. В итоге мы обнаружили низкий показатель Conversion Rate по партнеру и подозрительное количество кликов.
Как решили проблему: сопоставили все заказы с Ad ID и CRM клиента и выяснили, что заказы, содержащие промокоды, не были оплачены. Мы ввели дополнительный идентификатор событий перехватываемой площадки, который можно мониторить по сырым данным, и добавили фродовых партнеров в black-лист.
Click Injection
Это своего рода инъекция кликов — продвинутая версия Click Spamming. Мошенники используют зараженное приложение, находящееся в системе, и видят, когда на устройстве стартует установка нового приложения. Сразу после начала установки они подделывают клик по рекламному объявлению, приписывают органическую установку себе и получают за нее оплату.
Основное отличие Click Spamming от Click Injection в том, что первый метод фрода постоянно генерирует клики пользователей, а второй — бьет в цель, генерируя клик только в момент начала установки приложения.
Как банк боролся с Click Spamming и перехватом мотивированного трафика
Изначальная цель клиента — увеличить количество целевых действий, регистраций в приложении.
После запуска работ с ASO для продвижения по категориям — закупки отзывов для рейтинга — конверсия в целевое событие по CPI-сеткам резко сократилась с 25% до 12–15%. Причина — Click Spamming мотивированных пользователей.
Как решили проблему: проанализировали и сверили трафик партнеров с рекламными ID мотивированных пользователей, а затем отключили сетки, у которых процент пересечений превышал 15–20%.
Device Farms, Bots, Emulators
Мобильный фрод с тремя разными названиями основан на создании фейкового пути пользователя. Показы, клики, установки, события в приложениях, даже сами пользователи — все это фейк. Хорошо известные всем боты и фермы могут с точностью имитировать установки, клики и другую пользовательскую активность даже внутри приложения, однако не приносят реальной прибыли.
SDK Spoofing
Когда-то в блоге Interceptd увидела классное описание такому фроду: «В школе он был отличником, лучшим танцором балета и победителем научной олимпиады одновременно — настолько это изощренный и креативный вид фрода».
С помощью реверсивного инжиниринга мошенники взламывают SDK приложения и симулируют установки, клики на рекламу и другие сигналы. Так создается поддельный трафик и видимость активности внутри приложения. В результате исходные сообщения меняются на более выгодные для рекламодателя. Например, отчет о показе баннера подменяется сигналом о скачивании приложения, и рекламодатель видит новые установки, которых на самом деле не было.
Как инвестиционная компания боролась с ботами и взломом SDK
Цель компании — увеличить количество целевых действий. Целевым событием считалось инвестиционное вложение.
В данном случае мы столкнулись с большим количеством целевых событий с пустыми покупками: было много покупок с пустым Event Value. Соответственно, в CRM клиента такие покупки проходили с нулевым ревенью (доходом), хотя политика приложения подразумевает минимальную сумму вклада. Причина — взлом SDK, боты.
Как решили проблему: обновили SDK и добавили фродовые сетки в black-лист.
Фрод в iOS и Android: где больше
В мире высоких технологий нет войны громче, чем война Android и iOS. Разберемся, где фрода больше.
Фрод на Android
На данный момент на устройствах Android фродят больше. Android преобладает на рынке, и это привлекает мошенников. Он доступен как бесплатное открытое ПО для производителей, а взамен производители обязаны добавить в устройства базовые приложения Google и поисковик, который будет использоваться по умолчанию. ПО с открытым исходным кодом означает, что в настройки можно вмешиваться: добавлять больше возможностей для производителей. Такая доступность источника позволяет мошенникам легче находить уязвимости, манипулировать кликами или атрибуцией.
Даже если политика Google Play по какой-то причине не одобряет приложение, его можно с легкостью залить в другой альтернативный источник — их существует великое множество. Получается, пользователь может установить любое базовое приложение (фонарик, обои) из непроверенных магазинов, не подозревая, что приложение может быть вредоносным. Результат налицо: всё готово для Click Injection.
Android запущен на тысячах разных моделей устройств. Это означает, что для обнаружения и устранения проблемы агентству потребуется много времени, и мошенникам это на руку.
Фрод на iOS
У этого ПО закрытая экосистема, так называемая walled garden (огороженный сад). Она запрещает пользователям устанавливать непроверенные приложения. Учитывая, что приложения в Apple Store проходят серию строгих тестов, шансов на мошенничество с помощью вредоносного приложения практически нет. Плюс iOS работает на небольшом количестве устройств, по сравнению с Android. Это сокращает сроки устранения проблемы агентством или взлома.
Конечно, iOS менее уязвим, чем Android, но это ПО тоже можно взломать. Как правило, LTV пользователя iOS выше, чем LTV пользователя Android, поскольку он тратит больше на покупки в приложении. Так мошенники видят в iOS прибыльные цели. В итоге они легко обходят механизмы защиты с помощью Click Flood, а потеря ID может дать более серьезный толчок для мошеннических действий.
Таким образом, фродят и там, и там, просто на Android больше, но стоит учесть, что и пользовательская база у Android больше.
Фрод и SKAdNetwork
26 апреля 2021 года Apple выпустила обновление iOS 14.5, в котором изменила настройки конфиденциальности: теперь разработчики приложений по умолчанию не имеют доступа к уникальному идентификатору устройства (The Identifier for Advertisers, IDFA). Это сыграло большую роль в мире мобильной атрибуции. В связи с этим Apple представил свое решение на базе фреймворка SKAdNetwork. С его помощью рекламные сети смогут регистрировать неорганические установки, при этом не получая информации о том, кто именно совершил установку.
В связи с этими изменениями нужно упомянуть фрод в отношении SKAdNetwork. Это API системы атрибуции установок iOS, выпущенный в 2018 году и обновленный для iOS 14.
Мошенники начали обращать пристальное внимание на механизмы обхода в рамках нового протокола Apple, и они будут совершенствовать скиллы, чтобы выжать из SKAd максимум. Apple проверяет постбэки на подлинность путем верификации криптографической подписи, которая присвоена каждой транзакции, связанной со SKAd. Ничто не мешает мошеннику взять исходное устройство, начать кликать по рекламе и устанавливать приложения — запустить ферму. Эти клики содержат подпись, и Apple будет атрибутировать их источнику. Если сбросить ID аккаунта Apple, можно создать несколько фейковых пользователей на одном устройстве. Если это автоматизировать, боты будут генерировать большой объем конверсий без участия человека.
Подобно ММР-трекеру SKAdNetwork от Apple использует модель атрибуции по последнему клику:
-
если мошенник сгенерирует последний клик, он украдет атрибуцию;
-
если мошенническое приложение генерирует клики с реальных устройств без ведома пользователя, оно может получить атрибуцию, когда пользователь будет органически устанавливать приложение;
-
если мошенническое приложение получает клики с реальных устройств после реального клика по рекламе, у него есть шанс украсть атрибуцию, поскольку это будет последний клик перед установкой.
Также возможно использование фрода SDK Spoofing, когда протокол регистрирует в базе все клики с данного устройства. Обладая соответствующими техническими навыками и знаниями, можно легко создать фейковую среду, имитирующую приложение, которое подключается к серверу рекламной сети, чтобы получить уникальную подпись. Эта фейковая среда-приложение может заставить вставить детали кликов в базу деталей SKAd. Как следствие, iOS будет думать, что клик сделали в настоящем приложении.
Мошенники упорно пытаются подобраться к протоколу SKAd, а ММР-трекеры стараются перехватить эти попытки. Думаем, проблемы мошенничества в рамках SKAd будут решаться системами антифрода по мере поступления.
5 шагов для борьбы с фродом
В мобайле и In-App фрода очень много. С каждым годом его становится только больше, и введение новых мер безопасности от Apple вряд ли избавит трафик от фрода. Мошенники будут приспосабливаться к новым правилам и разрабатывать новые схемы обхода. Но это не повод отказываться от эффективного канала привлечения клиентов.
Главное — уметь работать с фродом, сетками, партнерами, правильно ставить KPI и постоянно анализировать трафик. Тогда вы сможете выйти на хорошие показатели и привлечь заинтересованных пользователей, готовых оформить заказ именно у вас.
Что мы рекомендуем:
-
Используйте антифрод-систему.
-
Следите за уровнем органических пользователей.
-
Контролируйте количество кликов и соотношение click-install — оно не должно быть меньше 0,1%.
-
Следите за уровнем ассистов на площадках.
-
Работайте над оптимизацией трафика — отключайте фродовые источники.