Устранить нельзя помиловать: как мобильная атрибуция порождает фрод и что с этим делать

1. Что такое фрод в мобильном маркетинге.
2. Откуда берется фрод.
3. Какие бывают виды фрода.

• Click Flood.
• Click Injenction.

4. Как бороться с фродом.

Фрод в мобильном маркетинге (от англ. fraud — «обман») — это обманный трафик, представляющийся под видом качественного. Фродом называются любые манипулятивные или обманные действия, предпринимаемые с целью искажения или искусственного увеличения показателей рекламных кампаний.

Проще говоря, это искусственная накрутка ботами или реальными людьми показов, кликов, конверсий, имитация активности в приложениях для получения выгоды. Например, вымогания денег за некачественный трафик или неправильное распределение бюджетов рекламных кампаний.

Как это происходит: мошенники подделывают ID устройств, внушая системе аналитики, что реальные пользователи установили приложение. По факту такие установки фродовые. Их производят на мобильных фермах, где несколько человек или боты имитируют действия множества пользователей.

С развитием технологий количество мобильного фрода только увеличивается, поэтому важно научиться его отслеживать и бороться с ним.

Фрод в мобильном маркетинге и других областях возникает из-за стремления злоумышленников получить финансовую выгоду через обманные или манипулятивные методы. В числе основных причин — возможность быстро заработать за счет использования ботов для имитации кликов или фальшивых установок приложений.

Технологическое развитие также играет свою роль, поскольку появление новых технологий и инструментов позволяет мошенникам усовершенствовать и диверсифицировать свои методы, делая фрод более сложным для обнаружения и пресечения. Это создает непрерывный цикл, в котором улучшение мер защиты вызывает разработку новых способов мошенничества.

Мобильный фрод в том числе порождают особенности моделей атрибуции, которые используются для оценки эффективности рекламных каналов: post-click и post-view.

• Post-click атрибуция сопоставляет установку приложения через стор с переходом пользователя по баннеру или ссылке.
• Post-view атрибуция связывает факт установки мобильного приложения и просмотра пользователем рекламного объявления.

Однако сегодня большинство рекламодателей достаточно продвинутые, не закупают рекламу просто по кликам и установкам. Команды маркетологов работают, чтобы создавать мобильные приложения, анализировать метрики, разрабатывать дашборды и строить воронки. Так что уровень знаний растет, и сегодня одна из общепринятых моделей — это работа по СРА-модели (модель оплаты рекламы, при которой оплачиваются только действия пользователей на сайте рекламодателя) или CPI-модели (фиксированная цена за установку приложения) с KPI на определенные события в приложении.

Несмотря на то, что такие модели оплаты снижают риски рекламодателей, они также могут порождать фрод. Поскольку большинство рекламодателей ориентируются на качество, рекламные сетки и партнеры начинают совершенствовать фродовые алгоритмы для обхода антифрод-систем.

Далее подробнее рассмотрим виды атрибуционного фрода, поговорим о том, как боты имитируют поведение реальных пользователей, как это обнаружить и обезопасить себя от обманного трафика в дальнейшем.

Click Flood — перехват органических установок либо, реже, перехват «белых» установок, т. е. установок с «белых» каналов, что сделать труднее. Этот вид фрода базируется на модели атрибуции: кто последний кликнет, тому установка и припишется. Модель довольно простая: мошеннические сети рассылают миллионы кликов в день через различные рекламные каналы.

Они делают это в надежде, что один из этих кликов окажется последним перед тем, как пользователь установит приложение. Как следствие, установка будет ошибочно приписана этому фальшивому источнику.

Эти клики могут быть сделаны ботами (фейковые клики), так и реальными пользователями, которые просто не знают, что переходят по рекламе. Например, человек совершает такой клик и скачивает приложение, на котором была ссылка. Поскольку на сервере сохранился клик этого пользователя, то установка атрибуцируется именно ему.

Как результат — мошенники забирают себе наиболее ценную аудиторию, которая пришла из органики, а не под влиянием рекламы, предоставляют недостоверные данные и получают оплату, которая им не причитается.

В данном случае всё базируется на том, что клик пользователя по умолчанию хранится на сервере 7 дней (при необходимости можно установить от 1 до 30 дней).

Мы даже проводили небольшое расследование: составляли список фродовых партнеров, которых отключили от наших офферов. Мы анализировали сырые данные и смотрели, откуда они приводят аудиторию. Так, было несколько игр с довольно простыми механиками. Например, аналог Flappy Bird, где нужно много кликать по экрану. Так или иначе игры были нацелены на то, чтобы пользователь делал много кликов. В момент каждого тапа происходил якобы клик по рекламе, хотя никакой рекламы на самом деле не было.

Маркеры такого фрода:

• огромное количество кликов при аномально низком CR в установку;
• аномальное распределение CTIT (Click To Install Time — время от клика до установки), т. е. высокая доля инсталлов, произошедших более, чем через 5 часов после клика.

Способ мошенничества Click Flood особенно эффективен в системах, где используется модель атрибуции, основанная на последнем клике, и затрудняет точное определение эффективности реальных рекламных каналов. Click Flood не только наносит ущерб рекламодателям, платящим за каждый клик и ожидающим качественного трафика, но и искажает данные аналитики. Это затрудняет оптимизацию маркетинговых стратегий и правильное распределение бюджетов.

Безусловно, есть такие люди, которые скачивают приложение, забывают о нем на сутки, а потом вспоминают и открывают. И тогда установка записывается в мобильном трекере. Но таких людей не очень много (максимум — 20%). Повышение этого процента может свидетельствовать о том, что у вас воруют органику.

Таким образом, зная маркеры Click Flood и анализируя действия пользователей до и после установки, вы сможете выявить нечестного партнера и предотвратить фродовые инсталлы даже без использования антифрод-систем. Например, если было несколько идентичных кликов, совершенных с высокой частотой, то, скорее всего, это Click Flood и один из кликов просто «попал в цель».

Click Injenction — вид мобильного мошенничества, подразумевающий подмену реального клика на мошеннический в момент скачивания приложения. Этот способ часто используется для кражи атрибуции установок приложений от законных рекламных кампаний.

Как это происходит? Пользователь скачивает приложение. Мошенническое приложение, находящееся в системе, дает сигнал, что происходит установка нужного приложения, и в этот момент на сервер отправляется рекламный клик.

Далее пользователь открывает приложение, MMP (Mobile Measurement Partner или «Трекинговая система», «Трекер») видит, что на сервере был клик от сетки, и отдает ей инсталл. Хотя по факту сеть вообще не имела никакого отношения к установке и не показывала рекламу. Таким образом, мошенники приписывают обычную органическую установку себе, получая за нее оплату.

Click Injection особенно вреден, потому что мошенники крадут заслуги за установки приложений у законных источников рекламы и одновременно усложняют оценку реальной эффективности рекламных кампаний.

Основное отличие Click Injenction от Click Flood в том, что Click Flood постоянно генерирует клики пользователей, а Click Injenction — бьёт в цель, производя клик только в момент инициации установки приложения.

Такой вид фрода существует только на Android, т. к. приложение может считывать всю информацию с устройства, в том числе, какие приложения сейчас устанавливаются. Но, насколько нам известно, Google планирует исправить это в ближайшие месяцы, поэтому такой вид фрода может в принципе исчезнуть.

Маркеры такого фрода:

• аномально высокий CR в установку;
• аномально низкий CTIT по сравнению с другими источниками, т. е. очень много инсталлов и короткий промежуток времени между скачиванием и установкой: мошенники должны быстро отреагировать, чтобы успеть присвоить себе чужого пользователя.

В принципе обнаружить маркеры атрибуционного фрода можно даже без антифрод-решений. Достаточно проанализировать сырые данные по времени клика и времени установки в разрезе каналов, построить распределение установок по времени между кликом и установкой, а затем сравнить каналы между собой. За эталонные значения обычно принимают показатели Google.

Чтобы вам было проще бороться с фродом и вы могли свести к минимуму количество обманного трафика, мы подготовили небольшой чек-лист. Итак, делимся ключевыми рекомендациями по мерам защиты:

1. Изучите все виды фрода и определите, откуда он идёт. Тогда вы перестанете его бояться.
   
   
2. Следите за аналитикой и тем, что происходит на вашем мобильном сайте или в мобильном приложении. Анализируйте конверсии по IP, время между конверсией и кликом, срок жизни клиентов после установки приложения и пр. Так, вы сможете отслеживать фрод и при необходимости оперативно отсекать обманный трафик.
   
   
3. Ставьте цели с пониманием того, сколько инсталлов можно привлечь в каждой конкретной категории. Например, если за один месяц можно максимум привлечь 200 тыс. установок, агентства и площадки при всём желании не смогут привести 1 млрд. И в этом случае, если вы будете настаивать на определённых цифрах, то не оставите им выбора: придётся лить фродовый трафик.
   
   
4. Разрабатывайте стратегию продвижения на основе аналитики. Если нужны объёмы, не думайте о мелких KPI, закупке и трафике.
   
   
5. Используйте антифрод-систему. Некоторые из них уже встроены в рекламные площадки, например myTarget, Яндекс Директ. Собственные антифрод-решения есть у трекеров Appsflyer, Adjust, Tune, Mixpanel и других. Вы также можете разработать и установить свою антифрод-систему. Но учтите, что ни одна из них не будет гарантировать защиту на 100% и полностью отсекать фродовый трафик.
   
   
6. Не работайте с подрядчиками, у которых фродовый трафик. Если вы обнаружили обманный трафик, который в большом объёме идёт от одного подрядчика, применяйте к компании штрафные санкции. Если это происходит неоднократно, отключите канал, поставляющий фродовый трафик.