Фрод в мобильной рекламе

1) Нереалистично короткий промежуток времени между кликами и целевыми действиями

Стандартная скорость соединения с интернетом позволяет загрузить приложение за 30 секунд. При этом установки с одного канала могут проходить за 2-10 секунд. Такой трафик можно считать фродовым.

2) Очевидно шаблонное поведение пользователей после клика по объявлению

Реальные пользователи тратят разное время на принятие решения о скачивании приложения и просмотр внутренних страниц. У них будет разная скорость соединения интернета и разные цели захода в приложение/на сайт.

Канал, который стабильно показывает одинаковую последовательность действий пользователей или равные промежутки между кликами, скорее всего приносит фрод.

3) Разное гео клика и установки для одного и того же пользователя

Любое устройство, подключенное к интернету, имеет IP адрес. Он содержит информацию о регионе, в котором вы находитесь. Если пользователь сидит через мобильный интернет, IP адрес идет от мобильного провайдера. Если пользователь подключается к интернету по Wi-Fi, IP идет от точки подключения к интернету.

Кликнуть в одном регионе и скачать приложение в другом практически нереально.

Можно представить, что вы кликнули по ссылке в одном городе, потом сели в самолет, прилетели в другой город/страну и открыли приложение уже оттуда. Но большой процент таких “отложенных” установок говорит о низком качестве трафика с источника.

4) Аномально много кликов с одного IP/ID

Это первый признак того, что вам поступает трафик с фермы ботов. Хотя такие показатели могут указывать и на работу реальных людей. Например, если мошенники сбрасывают рекламные идентификаторы устройств, с которых фродят, и заново совершают установки и целевые действия.

5) Слишком маленькая или большая конверсия из клика в установку

Если конверсия из кликов в установки ниже 0,3% при большом потоке трафика, скорее всего, фродеры скликивают рекламу.

Конверсия выше 30% тоже является признаком фрода. Такие значения реальны для для поисковых кампаний. В остальных случаях высока вероятность, что установки ненастоящие. То же самое касается нереалистично высоких или ничтожно малых показателей CTR и

eCPM. Если их значения по конкретному каналу слишком отличаются от средних, вы можете записывать источник в список фродовых.

6) Подозрительная активность в ночные часы

Обычно пользователи в рамках одного гео более активны утром, днем или вечером. А программы, генерирующие фрод, могут работать 24 часа в сутки. Много кликов и установок в ночное время, близких по количеству к органическим показателям в другое время суток, вызывают подозрение. Источник с таким трафиком нуждается в дополнительных проверках.

7) Долгий период между кликом по рекламе и скачиванием приложения

Как правило, большинство реальных установок происходит в первый час после клика. Ко второму часу количество установок резко спадает. Во фродовых кампаниях из-за специфики работы программ кривая установок гораздо равномернее.

8) Отсутствие базовых событий

Если вы отслеживаете показ hello-экрана или открытие приложения, и видите, что этих действий не происходит после установки, скорее всего вы столкнулись с фродом.

Мошенники могут имитировать отчет о совершении целевого действия в системе аналитики. Тогда вы увидите отчет об установке и необходимой in-app активности, при этом обязательные для реальных пользователей шаги будут пропущены.

Экстремально низкий показатель Retention Rate и удаление приложения сразу после установки указывает на мотивированный трафик: мошенники скачивают приложение и сразу удаляют. Редкий, но возможный случай: приложение скачал реальный пользователь, но не захотел/забыл его использовать.

Спуфинг SDK

Спуфинг SDK — вид фрода, при котором мошенники контролируют передачу сообщений между SDK приложения и сервером, получающим информацию.

Исходные сообщения меняются на более выгодные рекламодателю. Например, отчет о показе баннера — на сигнал о скачивании приложения. Таким образом, вы видите новые установки, которых на самом деле не было.

Клик-спам

Тип спама, при котором мошенники вставляют баннеры так, чтобы пользователи не видели их и кликали по ним, сами того не зная. Например, вы нажимаете на кнопку play на сайте бесплатного онлайн-кинотеатра и попадаете на сторонний сайт. Или играете в игру внутри приложения и каждый тап по экрану засчитывается за клик по баннерам, которые вы даже не видите. Эти клики засчитываются за переходы по рекламным объявлениям

Признаки того, что вы стали жертвой этого типа фрода:

• резко упали объемы органических установок;
• платные пользователи ведут себя так же, как пришедшие после органических установок.

Инъекция кликов

В некоторых классификациях выделяется как подтип клик-спама. Пользователь устанавливает приложение с вредоносным кодом. Обычно такими бывают копии-подделки популярных приложений или приложения категории “инструменты”. Метка фродового источника присваивается зараженному устройству.

Когда пользователь (даже через много времени после внедрения кода) скачивает нужное приложение, установка будет засчитана как пришедшая от клика по рекламному объявлению, потому что в аналитике она будет иметь соответствующую метку.

От этого вида фрода могут пострадать только смартфоны с операционной системой Android.

Обычно на такой тип атаки указывает очень короткий (>2 секунд) промежуток времени между кликом и установкой.

Ботовый трафик

Мошенники создают фермы, где собирают большое количество смартфонов. Устройства подключены к программе, которая имитирует на них действия настоящих пользователей: клики по рекламе, установки приложения, просмотры видео и др. Есть и другой вариант организации фермы: вместо множества устройств, используется программа, которая создает виртуальные копии устройств с постоянно обновляющимися ID. Программа все также симулирует действия реальных пользователей, но на сервере.

Чтобы не дать себя обнаружить, мошенники меняют IP-адреса, прогоняют трафик через TOR или VPN.

Скорее всего, ваши установки поддельные:

• если после них сразу следует удаление приложения;
• если в аналитике есть много кликов\установок с одного IP-адреса.

Мотивированный трафик

Существуют специальные сайты, где пользователям платят за то, что они выполняют определенные действия: клики, установки, in-app действия и т.д. Мотивированным такой трафик называется, потому что пользователи выполняют целевые действия за определенное вознаграждение. Обычно это реальные небольшие деньги или игровая валюта. В среднем до 200 рублей за целевое действие.

Иногда пользователям предлагают совершить действия офлайн. Например, мотивированный пользователь может оставить заявку на просмотр квартиры в новостройке и даже сходить просмотр.

Трафик скорее всего мотивированный, если:

• показатель retention rate с одного канала стабильно низкий;
• пользователи удаляют приложение сразу после скачивания или скачивают и не заходят;
• пользователям, скачавшим приложения за вознаграждение, часто присылают скрипты по активности в приложении. Скачать, нажать на определенные кнопки, удалить через три дня. Поэтому в аналитике может быть много много установок с одинаковой моделью поведения.

1) Обновляйте ваши SDK

В новых версиях обновляются и системы защиты от фродового трафика.

2) Оговорите риски с подрядчиками

Оговорите в начале работы с вашими подрядчиками, как будет происходить оплата и дальнейшая работа, если вы обнаружите фрод. Пропишите в договоре, что будете делать в таких случаях. Например, вы можете оговорить, какой трафик по показателям в аналитике будет считаться фродом и не будет оплачиваться.

3) Удаляйте подрядчиков с фродовым трафиком

Если вы или ваша антифрод-система обнаружили мошеннический трафик, который в большом объеме идет от одного из подрядчиков, применяйте к этой компании штрафные санкции. Если такое происходит неоднократно, то проще отключить канал, поставляющий некачественный трафик.

4) Не таргетируйтесь на подозрительные версии OS

Не таргетируйте рекламу на устройства с устаревшими или еще не вышедшими ОС. Как правило бот-фермы закупают старые смартфоны, которые поддерживают только старые версии ОС. Так вы отсечете незначительный процент реальных пользователей, зато избежите фродерских атак.

5) Следите за аналитикой

Анализ конверсий по IP, device-info, времени между кликом и конверсией, жизни пользователя после установки приложения, конверсии через VPN или прокси могут дать знать о фроде.

6) Используйте сервисы со встроенным антифродом

Системы антифрода встроены в некоторые рекламные площадки: например, “Яндекс.Директ”, myTarget. Но полностью фродовый трафик они не отсекают.

Собственные антифрод-решения есть у мобильных трекеров и системах аналитики: Adjust, Appsflyer, Mixpanel, Tune и др. Они различаются набором функций, стоимостью услуг и пристрастностью. Даже белый трафик иногда приписывают к фроду.

7) Используйте антифрод-программы

Антифродовые программы анализируют каждую конверсию, а также всю рекламную кампанию, чтобы установить фродовые источники. Использование таких решений позволяет отказаться от проверки результатов кампаний вручную.

Системы могут анализировать все кампании на предмет фродовых конверсий/источников, либо проверять только заявленные вами источники. Также можно настроить антифрод-программу на поиск фрода определенного типа.

Наиболее известные антифрод-решения: Scalarr, Forensiq, FraudScore, Kraken, 24 metrics (FraudShield), Kount, Fraudlogix.

Все эти программы стоят денег. Чтобы оценить целесообразность вложений в антифрод-решение, вы можете протестировать пробную версию. Если за пробный период система обнаружит фродовый трафик на сумму, покрывающую ее стоимость, то стоит продлевать подписку.