Фрод в мобильном маркетинге: как его распознать по параметрам трафика
Фрод — невалидный мошеннический трафик, который возникает из-запреднамеренного искажения данных о показах рекламы и/или взаимодействиях с ней.
Фрод также может создаваться за счет имитации фиктивной активностипользователей на сайте.
Камил Балтаев, руководитель отдела медиабаингаAdsup:
«Фрод уже давно не пережиток блэклистов. Сейчас это инструмент,который встречается повсеместно, а что еще хуже — искусно вписывается в продукти рынок».
Мобильныйфрод в 2024 году
По оценке Appsflyer, из-за мошеннических схем в 2023 годумировой mobile-рынок потерял около $5,4 млрд. Рост мобильного фрода связан стем, что крупные рекламные источники становятся дороже, а App Store и GooglePlay ужесточают правила приватности — это ведет к тому, что рекламодателипереходят на сомнительные in-app-источники, в которых фрода гораздо больше. ВРоссии фрод распространен — мы входим в топ-5 стран с самым высоким уровнемфрода.
Категории приложений с самым высоким уровнем фрода: «Финансы», «Казино иставки», «Шопинг». При этом в играх фрод довольно низкий — возможно, потому,что геймеры технически подкованы и больше сфокусированы на оптимизациирекламного трафика.
Виды фрода в in-app-рекламе
Видов технического фрода много. Для удобства его разбили на трикатегории: перехват атрибуции, фейковые установки и мотивированный трафик.
Перехват атрибуции
Цель — перехватить установку или другое целевое действие ипереатрибутировать его на свой рекламный канал для получения оплаты за якобыпривлеченного пользователя. Сюда входят клик-флудинг и инъекциякликов.
Клик-флудинг
Недобросовестный партнер заливает огромное количество кликов внадежде зацепить конверсию по last-click-атрибуции.
Инъекция кликов
Перехват установки и ее переатрибуция к платному каналу. Отличиеот клик-флуда в глубине взаимодействия: клики генерируются не хаотично, ацеленаправленно в момент совершения нужного действия (установки). Злоумышленники используют хитрый трюк: они как бы подсматривают запользователем через вредоносное приложение, которое устанавливают на телефон. Ив момент, когда пользователь решает установить приложение, подделывают клик иперехватывают органическую установку.
Фейковыеустановки
Цель — имитировать установки и другую активность в приложении спомощью ботов, девайс-фермы (AWS Device Farm — сервис для тестированияприложений, который позволяет повысить производительность мобильных ивеб-приложений. — Прим. ред.), SDK-спуфинг (когда мошенники используют реальныеданные устройства для имитации действительных установок или кликов. — Прим.ред.) и т. д. На Android в 2023 году количество такого фродавыросло на 154%. На iOSнаблюдается тенденция к снижению фейковыхустановок.
Ботовый трафик
Ботовый трафик — трафик, который генерируют специальныепрограммы-боты. Они автоматически имитируют действия реальных пользователей:кликают по ссылкам, устанавливают, заполняют формы и регистрируются. Они могутработать по заранее заданному алгоритму или случайным образом. Именно на ботовый трафикприходится более 70% от всего фрода во всех странах, кромеБлижнего Востока и Северной Африки — там 68%. Девайс-фермы
Фермы — площадки с большим количеством смартфонов и планшетов, накоторых с помощью ботов имитируется активность реальных пользователей вмобильных приложениях. Мошенники меняют IP-адреса с помощью прокси иVPN-сервисов.
SDK-фрод
Самый опасный и глубокий вид фрода, так как мошенники используютспециальные программы-боты, которые прячутся в коде приложения или на сервере.
Эти боты генерируют фальшивые клики и установки приложений, то есть создаютискусственный трафик и активность, которой на самом деле нет.
Мотивированныйтрафик
Приходит со специальных бирж, где обычные пользователи за 2–10 рублей готовыустановить приложение и не удалять его несколько дней. Некоторые договариваютсяи на регистрацию сразу, но это уже дороже — 100–150 рублей. Работа с фродом
Блок подготовлен при поддержке Шубиной Валерии, консультантапо мобильному маркетингу.
Итак, в первую очередь проверяем MMP и смотрим следующие параметрытрафика.
Конверсия из клика в установку (CR CTI) Проверяем:
Click -> install,
Install -> event (целевое действие) и сверяемся с KPI.
В среднем нормальной конверсией из клика в инстал считаетсяпоказатель 0,1–3%. Если показатель CTI выбивается за эти рамки или за рамкиваших KPI, это может указывать на инъекцию кликов, клик-флуд ипереатрибуционный трафик.
CTIT, илиclick-to-install time
Показатель, отражающий временной интервал между кликомпользователя и установкой приложения на устройство.
При клик-флудинге у мошенника не получится быстро переатрибуцировать клик исовершить установку, так как он не контролирует реального пользователя и неможет точно предугадать момент установки приложения. Это приводит к большомуCTIT — 24 часа и более, поскольку между кликовым фродом и реальной установкойпроходит много времени.
При инъекции кликов наоборот — мошенники используют вредоносное ПО, котороеперехватывает атрибуцию настоящих кликов и подменяет фейковыми. То есть, когдапользователь действительно кликает по рекламе и собирается установитьприложение, вирусное ПО на его устройстве перехватывает этот клик и отправляетвместо него свой. Поэтому при инъекции кликов в трекере будет виден короткийCTIT (менее 10 секунд), так как мошенники мгновенно отправляют свой клик дляпереатрибуции.
Каналы с качественным трафиком не имеют алгоритмического вида распределенияCTIT (как в In_app 1 и In_app 2). Аномалии, выходящие за рамки стандартов,распознаются как признаки фрода.
Под алгоритмическим, искусственным видом распределения CTITподразумевается:
Распределение имеет явную закономерность и повторяющийся характер.
Например, CTIT меняется строго по определенному шаблону или циклу.
Значения CTIT группируются вокруг нескольких четких уровней — например,вокруг 5, 15 и 25%.
Нет естественного разброса значений CTIT, характерного для качественноготрафика.
Распределение CTIT слишком идеальное, гладкое, без резких выбросов ипровалов.
Можно явно выделить периодичность в колебаниях CTIT — например, значенияменяются строго каждые N дней или часов.
В целом главные признаки алгоритмичности — наличие четких правил,шаблонов и закономерностей, а не естественной случайной вариации, как в случаекачественного трафика. Такое распределение указывает на автоматизированную,бот-генерируемую природу некачественного трафика.
Внешниеисточники
Мониторинг «биржи мотива» для мобильных телефонов на наличиеоферов, чтобы исключить и отследить возможный мотивированный трафик.
RAW-выгрузки (AppsFlyer) или агрегированные выгрузки(Adjust)
Это сырые выгрузки данных конверсий (клики, установки, покупки),полученные напрямую от Appsflyer за все время вне зависимости от когорты. Вотличие от агрегированных отчетов (Adjust), в RAW data report каждое событиеотображено со всеми деталями.
То есть, анализируя RAW выгрузки, можно:
Проверить наличие post-attribution fraud in-app events — подозрительныхустановок и иных событий, которые произошли через значительное время послеклика.
Наличие аномалий в текстовых графах в raw data report (так можнообнаружить SDK-фрод, читайте об этом ниже).
Выявляем SDK-фрод: ключевые признаки и реальный кейсSDK фрод — один из самых опасных видов фрода, так как его оченьсложно отследить. MMP (трекер мобильных данных — Прим. ред.) не видят аномалийпотому, что трафик генерируется внутри приложений через SDK и маскируется подреальных пользователей — меняются идентификаторы устройств, IP-адреса и данныемобильных операторов.
Самый эффективный способ борьбы с этим видом фрода — мониторитьRAW-выгрузки (для Adjust — обычные выгрузки) и вникать в показатели. Например,текстовые аномалии, о которых писали выше: если в выгрузке сотовый оператор, скоторого идет конверсия, высвечивается с ошибкой — это звоночек. Или если словоIphone в девайс-name написано как «Ipbone» — обращаем внимание.
Один из нетипичных случаев SDK-фрода, с которымстолкнулись в работе.
Агентство запускало рекламу для приложения клиента — назовем егоGrut. Помимо Adsup, с Grut работали еще несколько партнеров. Одни из нихоказались мошенниками.
Что же произошло?
Мошенники узнали токен приложения и ключевых ивентов Grut в MMP.
Создали пустое приложение, внутрь которого вшили SDK того MMP, которымпользуется Grut.
В качестве токена приложения они использовали токен приложения Grut, атакже токены ключевых ивентов.
После этого мошенники привлекли в приложение большое количество дешевогомотивированного трафика, используя свою агентскую ссылку.
Затем либо мотивированные пользователи совершали ивенты, либо ивентыимитировались по определенному правилу и передавались в MMP рекламодателя подвидом чистого трафика.
Что сделал рекламодатель? Так как мошенничество происходило науровне токенов событий, в MMP этот трафик не имел никаких признаков фрода.
Рекламодатель сравнил данные из MMP со своими продуктовыми данными и увиделрасхождение в цифрах. На время разбирательства весь рекламный трафик былотключен — пострадали и добросовестные партнеры, и сам рекламодетель.
Будьте бдительны при выборе подрядчиков и помните — скорее всего,токены приложения и ивентов мошенники получили в результате сговора илинедосмотра менеджера со стороны рекламодателя или MMP.
Особенностиантифрод-систем
Ключевые антифрод-системы MMP не распознают view-froud (в целом неанализируют view-трафик), поэтому параллельно необходимо проводить оценкуобъемов конверсий по типам атрибуции (view/click), где высокие объемыview-трафика могут указывать на фрод. Здесь нужен дополнительный анализ, например расчет показателя VTIT(view to install time) — временной промежуток между показом рекламы ипоследующей установкой приложения. Он помогает выявить случаи, когда установкиприписываются показам некорректно из-за фрода.
Что умеет Protect360
Protect360 как основной инструмент антифродовой детекции способенраспознавать только фродовый трафик с CR CTI < 0,1%.
Оценка, оптимизация и отключение рекламных источников происходитна уровне уникальных идентификаторов сайтов (Side ID) и рекламодателей(Publisher ID) для детального анализа метрик, точечной корректировки бюджетов,ставок, таргетинга и отсечения фродовых сорсов.
Что проверять в отчете Protect360:
LAT Devices — устройства с большим временем бездействия. Их доля не должнабыть больше 5%.
Assists — перекрестные установки между разными рекламными каналами (еслиодин и тот же пользователь привлечен с разных источников, то вторая ипоследующие установки считаются assists). Их доля — не более 100%. Количествовспомогательных установок не должно превышать количество основныхустановок.
Retention — удержание пользователей, должно быть > 2% на 3-й день, N% на7-й день.
Чек-лист впомощь маркетологу
Итак, чтобы быть уверенным в качестве трафика, советуем регулярнопроверять следующие параметры:
А чтобы не сомневаться, нормальные ли показатели у вашего трафика,сохраняйте себе шпаргалку по бенчмаркам от Adsup.me
Реклама. Рекламодатель ООО «Эдсап», ИНН 7811540730