Фрод (от английского fraud, «обман») — различные способы имитации действий, необходимых для выполнения KPI рекламодателя. Боты, кликовые фермы и другие технологии, которые не приносят реальных пользователей, но стремятся поглотить ваш рекламный бюджет. К таким уловкам могут прибегать не только злоумышленники, но и рекламные площадки, агрегаторы и маркетинговые агентства, чтобы достичь нужных показателей по объему и качеству трафика.
Фрод существует столько же, сколько и сам рынок мобильной рекламы. Но особенно актуальной проблема стала в последние годы, когда в индустрии появились серьезные бюджеты, а боты и другие технологии скамеров заметно «поумнели». Теперь крупные рекламодатели вынуждены постоянно проверять трафик и ужесточать свои требования.
Так, Uber подала в суд на пять рекламных агентств, которое умышленно поставляли ей некачественный трафик. Потери компании только за два года составили $70 млн. Компания отследила, откуда поступает фрод-трафик и отключила две трети своего годового рекламного бюджета (экономия составила около $100 млн). Количество реальных пользователей, поступающих по рекламе в приложение, в итоге не уменьшилось.
Об основных трендах рекламного фрода в 2022 году читайте в нашем исследовании.
От фальшивой рекламы сейчас страдают все участники индустрии: маркетинговые агентства, рекламодатели, рекламные сети. С разными видами фрода встречается каждый, кто работает с рекламой в мобильных приложениях. Если вы думаете, что не сталкивались с фродом, то, скорее всего, вы просто пока не знаете об этом.
Существует пять основных видов мобильного фрода:
Вид мобильного мошенничества, при котором источник постоянно посылает клики, рассчитывая, что один из них окажется последним и засчитается системой в качестве инициатора установки приложения. Происходит неверная атрибуция установок: источник присваивает себе установки с других площадок. Если у приложения хороший органический трафик, такой вид мошенничества оказывается чрезвычайно эффективным.
Так мошеннические системы забирают себе самых ценных пользователей, пришедших органически, а не под воздействием рекламы. Это как правило клиенты более высокого качества, с хорошим LTV. Однако мошенники с клик спамом создают впечатление, что именно они привели к вам такого ценного пользователя. Получают оплату, которая им не причитается, и дают маркетологам недостоверные данные.
Вычислить, что это фрод, можно по нескольким косвенным признакам:
Чтобы выявить нечестного партнера и предотвратить клик-флудинг достаточно скачать мобильный трекер и провести сегментацию установок приложения по параметру CTIT (click to install time), конверсии и типу атрибуции. CTIT здесь будет неожиданно «длинным» (как правило, больше 60 минут), а уровень конверсии — крайне низким, поскольку от источника исходит большое количество кликов. Также можно провести анализ действий пользователя до и после совершения установки. Если это было несколько идентичных кликов, совершенных с высокой частотой, то очевидно, что работает мошеннический метод Click Spamming. Один из этих кликов попросту «попал в цель».
Вид мобильного мошенничества с использованием вредоносного ПО на устройстве пользователя. В основе метода лежит «перехват» последнего клика пользователя в момент скачивания приложения.
Инъекция кликов (Click Injection) — это «продвинутая» версия клик флудинга. Мошенники используют зараженное приложение, находящееся в системе, и видят, что на девайсе стартовала установка нового приложения. Сразу после её старта они подделывают клик по рекламному объявлению, приписывают обычную органическую установку себе и получают за нее оплату.
Основное отличие инъекции кликов от клик-спамминга заключается в том, что первый метод фрода постоянно генерирует клики пользователей, а второй — бьет точно в цель и генерирует клик только в момент инициации установки. При клик-спамминге CTIT установки будет аномально долгим, а при Click injection — аномально коротким.
Такие схемы не только выкачивают бюджет рекламодателя, но и напрямую влияют на показатели конверсии. Вводят вас в заблуждение относительно реальных успехов различных каналов рекламы. Маркетологи и кампании, за которые они отвечают, попадают в замкнутый круг. Они вкладывают все больше и больше денег в разбавленную фродом рекламу, которая, в итоге, почти не дает дополнительных установок.
Найти этот фрод можно при помощи тех же метрик, что и Click Spamming. Если трекер показывает вам необычно высокие показатели качества трафика и при этом довольно низкий CR, это повод присмотреться к такому каналу рекламы получше. Также важно отслеживать распределение времени от клика к установке (CTIT). Чтобы успеть присвоить себе чужого пользователя, код с инъекцией должен среагировать довольно быстро. Поэтому в графике будут видны установки с аномально коротким времени от клика до установки, что не соответствует стандартному человеческому поведению.
Хорошо всем известные боты и фермы могут в точности имитировать установки, клики и другую пользовательскую активность (даже внутри приложения). Однако не приносят реальной прибыли. Текущие боты могут уже даже совершать платежи на небольшую сумму (меньшую, чем вознаграждение за установку). Или достигнуть 5 уровня в игре (если такой порог у вас стоит для «засчитывания» атрибуции).
Рекламодателю может казаться, что он покупает настоящих клиентов. И даже активность в приложении появилась! Но на самом деле деньги из бюджета уходят впустую.
Вычислить этот фрод также можно с помощью трекера. Хотя боты и фермы успешно имитируют единичные действия пользователя, они не могут в целом копировать его поведение. Через несколько недель станет заметно, что качество трафика не соответствует ожиданиям. У таких «пользователей» низкий Retention и чересчур высокий CR, а также отсутствуют реальные покупки. Более того, в их действиях и Retention-активности зачастую видны повторяющиеся паттерны, по которым их можно вычислить. Владельцы ферм предпочитают не снижать свою прибыль, рассчитывая, что рекламодатели попросту не заметят подвоха, и за это время их клики успеют окупиться.
Предотвратить фрод с ферм можно также при помощи анализа гео-активности пользователей. Если большая часть из них отличается от целевой страны таргетинга, то это повод внимательнее присмотреться к вашему партнеру. То же самое с анализом установок по характеристикам и наименованиям девайсов. Для ферм и ботов характерны девайсы самой низкой ценовой категории, либо вообще несуществующих производителей.
Часто рекламодатель вводит ограничения на продвижение через тот или иной тип трафика. Например, запрещает брендовый контекст или мотивированный трафик. Однако площадка может давать продвижение, не соответствующее заказу рекламодателя, и надеятся, что о её методах не узнают.
«Нежелательным» трафиком может быть даже качественная контекстная реклама или продвижение в социальных сетях — если эти методы запретил рекламодатель (скажем, по причине того, что он может вести такой маркетинг самостоятельно). Дополнительное подключение партнеров на этот тип трафика, как правило, не приводит к росту аудитории приложения.
Брендовые риски (трафик идет из нелегальных или полулегальных каналов), растрата рекламного бюджета.
Недобросовестные партнеры могут продвигать вас через misleads (рекламу, вводящую пользователей в заблуждение) или Adult-рекламу (с использованием материалов 18+). Оба этих метода, как правило, не помогают с приростом качественной аудитории, но могут привести к плохим отзывам о приложении и негативному отношению к бренду в целом.
Как определить?
Определить этот фрод с трекером очень просто: достаточно посмотреть, откуда поступают пользователи. Если это тот же канал, который вы могли бы успешно обрабатывать сами, значит, вы просто переплачиваете за услуги партнера.
В приложение или на сервер встраивают код (перехватчик), который симулирует установки и другую активность
Спуфинг SDK (spoofing) — это способ мошенничества с помощью ботов, которые прячутся на сервере или в коде приложения, и симулируют установки, клики на рекламу и другие сигналы. Создается поддельный трафик или видимость активности внутри приложения. Также к данному способу мошенничества относится эмулирование работы SDK непосредственно с сервера.
В случае успешного внедрения в код приложения, фродер может эмулировать десятки и тысячи несуществующих установок, и как следствие получать за них вознаграждение. Бюджет рекламодателя быстро расходуется на несуществующих пользователей.
Важной особенностью данного вида фрода является то, что зловредный код с сервера может проникнуть не в одно приложение, а сразу в тысячи или сотни тысяч устройств. Количество генерируемых действий зависит только от желания и наглости злоумышленника.
Полностью защититься от этого вида фрода на данный момент невозможно, но стоит отслеживать новости и следить за обнаружением подобных сетей. Данный вид фрода чаще всего встречается в приложениях с плохой инфраструктурой безопасности. Зашифрованный SDK с закрытым исходным кодом обеспечивает защиту от декомпиляции и манипулирования кодом.
Антифрод-системы позволяют легко выявить фрод, и сэкономить серьезные деньги на рекламных кампаниях. Достаточно после сбора данных с помощью трекера обратить внимание на такие ключевые метрики, как:
Процент «умного» фрода ежегодно растет. Его можно обнаружить только с помощью поведенческих метрик, которые отличают ботов от реальных пользователей в приложении. Или с помощью кликовых метрик, которые выявляют поддельные атрибуции, инъекции кликов и некачественный трафик, поставляемый рекламным партнером.
На 100% от фрода не застрахован никто. Однако можно существенно снизить риски, если следовать ряду правил:
Использование этих методов и регулярный мониторинг метрик с помощью антифрод-систем уже позволило многим компаниям сэкономить рекламный бюджет, повысив при этом реальный охват своей рекламы и значительно увеличив LTV новых пользователей.
Защитите свой рекламный бюджет от фрода с помощью антифрод-системы Fraud Scanner.