Фрод и антифрод системы
Школа проджектов / Модуль Мобайл / Сложный уровень
1. Что такое фрод
2. Виды фрода
3. Антифрод системы
4. Фродовые регламенты
1. Что такое фрод
Фрод (Fraud) — это мошенничество, привлечение ненастоящего трафика, несуществующих или неуникальных пользователей.
Методы мошенничества:
1. Настоящие пользователи
Мошенники перехватывают клики реальных людей
2. Имитация поведения
Мошенники создают фейковый путь пользователя. В этом случае самого юзера не существует.
Состояние мобильного фрода на начало 2023 года:
  1. На 40% увеличилось мошенничество с установками на iOS, если сравнивать средний уровень фрода в первые 6 месяцев 2022 года со второй половиной 2022 года
  2. Фрод на Android вырос на 46% за тот же период времени
  3. <50% от общего числа случаев мошенничества в категории «Финансы», что подчеркивает уязвимость новой и растущей отрасли с растущими CPI и часто неосведомленными медиабайерами
  4. В 6 раз выше показатели фрода с установками среди неигровых приложений по сравнению с игровыми приложениями. Игровые маркетологи считаются лучшими в своем классе по борьбе с мошенничеством
  5. Боты стоят за 70% глобального фрода. Создание поддельного пользователя на поддельном устройстве является более привлекательной схемой мошенничества, чем попытка манипулировать атрибуцией реального пользователя и устройства, поскольку поддельных пользователей — неограниченное количество
  6. Процент фрода в России в категории Shopping: iOS - 26%, Android - 25,15%
Причины увеличения фрода в продвижение мобильных приложений:
  1. Внимание и ресурсы маркетологов отвлек от защиты от мошенничества выход iOS 14.5
  2. Маркетологи работают с урезанными бюджетами, что зачастую подталкивает к сотрудничеству с более дешевыми рекламными сетями, которые предлагают меньше защиты
  3. Улучшенное обнаружение фрода приводит к увеличению числа зарегистрированных случаев мошенничества
Откуда появляется фрод при продвижении In-app Partners:
Основная проблема в схеме закупки. Мы отдаем оффер партнерам, которые не являются конечной DSP-платформой. Они в свою также отдают оффер другим партнерам. Появляется высокий риск, что какой-то партнер для заработка привлекает мошеннический трафик:
2. Виды фрода
  1. Боты (Device Farms, Bots, Emulators)
  2. Клик флуд (Click flood, Click spam)
  3. Клик инжект (Click Injection, Click hijacking)
  4. Взлом SDK (SDK Spoofing)
  5. Мотив (Incent)
Боты (Device Farms, Bots, Emulators)
Показы, клики, установки, события в приложениях, даже сами пользователи — фейк. Создание фейкового пути пользователя.

Боты могут имитировать установки, клики и другую пользовательскую активность внутри приложения, однако не приносят реальной прибыли. Особенно умные боты могут имитировать заказы, подписки и прочие целевые действия.
Простые боты:
  • Высокий CR из клика в установку
  • CTIT (Click To Install Time/Время от клика до установки) меньше 10 сек
  • Отсутствие активности в приложении после скачивания
  • Высокий уровень Uninstall
  • Несуществующие или неправильно написанные Device Model
  • Высокий процент LAT (отсутствие рекламного id)
  • Fake IP, Proxy, VPN
  • Устаревшие версии приложений
Умные боты:
  • Редко CTIT (Click To Install Time/Время от клика до установки) меньше 10 сек
  • Отсутствие активности в приложении после целевого действия = низкий RR
  • Аномалии в написании целевого действия
  • Несуществующие или неправильно написанные Device Model
  • Высокий процент LAT (отсутствие рекламного id)
  • Fake IP, Proxy, VPN
Цель: Оформленный заказ в приложении новым пользователем
Период: сентябрь-октябрь.
Что было:
  • 21 сентября мы заметили аномальное увеличение заказов на оффере, чего ранее никогда не было
  • Провели расследование, которое заняло 4 рабочих дня. Провели полный анализ сырой выгрузки, антифрод выгрузки за данный период, запросили и сметчили CRM выгрузку от клиента
  • Выявили, что все эти заказы “аномальные” не отбились в CRM клиента
Как выявили:
Заметили неправильное формирование значения события
Решение проблемы:
  1. Отключение всего траффика, ручная проработка и подключение постепенно заново каждой сети, тем самым можно определить с какой именно сетки идет некачественный трафик
  2. Использование функции Protect 360, а именно настройка Validation Rules под те параметры, которые мы определили
  3. Полная замена SDK клиента, т.к. данный тип фрода при работе c S2S - говорит о том, что SDK клиента был взломан, и сетки подгружали фродовые заказы с других IP
Кейс Утконоса
Клик флуд (Click flood, Click spam)
Перехват реальных пользователей

Источник постоянно посылает клики, рассчитывая, что один из них окажется последним и засчитается системой в качестве инициатора установки приложения. Таким образом, происходит неверная атрибуция: источник присваивает себе установки от других партнеров или органические установки
Как вычислить:
  • Очень низкий CR из клика/показа в установку
  • CTIT больше 5 часов
  • Большой процент Assists Clicks (показатель, у которого были клики/показы в других каналах)
  • Высокий процент LAT (рекламный id затирается, чтобы не было понятно с какого устройства пришел клик)
  • Снижение уровня активности органики или других каналов
Чтобы открыть скриншот в полном размере, кликните по нему правой кнопкой мыши и выберете пункт "Открыть картинку в новой вкладке"

Видим, что после запуска In-app трафика с 11 января (на скрине отмечены синим и голубым) происходит падение органики (зеленое).
Кейс Доминоса
Клик инжект (Click Injection, Click hijacking)
Версия Click Spam, но генерирует клик только в момент начала установки приложения.

Мошенники используют зараженное приложение, находящееся в системе, и видят, когда на устройстве стартует установка нового приложения.

Сразу после начала установки они подделывают клик по рекламному объявлению, приписывают органическую установку себе и получают за нее оплату.
Как вычислить:
  • Смотрим на время клика и время начала скачивания — клик произошел после начала скачивания
  • CTIT меньше 10 сек
  • Высокий процент LAT (рекламный id затирается, чтобы не было понятно с какого устройства пришел клик)
  • Снижение уровня активности органики или других каналов
Цель: Оформленная доставка /самовывоз
Период: октябрь-декабрь 2022
Что было:
  1. Клиент заявил о краже органики
  2. В доказательство прислали отчет из антифрод системы Protect360:
  • % Lat Device≤10
  • % CR ≥1
  • % Assists ≤ 40
  • % CTIIT >60 min≤40
  • % New Device≤ 10.

90% партнеров остановили

Решение проблемы:
  • Анализ отчетов по Protect360 за 2022г
  • Анализ поведения органики
  • Анализ запуска медийной рекламы клиента
  • Отключение интеграции в AF остановленным партнерам
  • Составление регламента по работе с партнерами (подробнее про регламенты далее в уроке)
  • Переход на Admon (сторонний антифрод)

Итоги:
  • Негатив от клиента по работе с In-app трафиком
  • Отказ большинства партнеров от работы с новым антифродорм
  • Отказ представителей Аdmona предоставить данные по алгоритмам работы антифрод системы
  • Потеря 90% паблишеров для дальнейшей открутки продукта
  • Потеря рекламных бюджетов
Кейс KFC
Взлом SDK (SDK Spoofing)
С помощью реверсивного инжиниринга (процесс копирования объекта по готовому образцу) мошенники взламывают SDK приложения и симулируют установки, клики на рекламу и другие сигналы.

Так создается поддельный трафик и видимость активности внутри приложения. В результате исходные сообщения меняются на более выгодные для рекламодателя. Например, отчет о показе баннера подменяется сигналом о скачивании приложения, и рекламодатель видит новые установки, которых на самом деле не было.
Как вычислить:
Почти невозможно

Как избежать взлома SDK:
  • SDK должен быть с закрытым исходным кодом
  • MMP (трекер) должен проставлять подпись в системе приложения, тогда подделать активность становится невозможно
Мотив (Incent)
Многие агентства могут грешить покупкой трафика не в сетках DSP, но через биржи мотива.

Мотив — это установка мобильного приложения реальными пользователями за вознаграждение и по определенным условиям.
Биржа мотива используются для привлечения мотивированного трафика за выполнение каких либо действий. Мы его часто используем в ASO для поднятия рейтинга или поднятию по поисковому ключу.
Резюме
Кратко подведем итоги по индикаторам фрода и на что стоит обращать внимание:
  1. Низкий CR из клика в установку
  2. Странное CTIT (менее 10 сек — фрод, более 5 дней — фрод)
  3. Время клика и время начала скачивания равны
  4. Высокий уровень Uninstall
  5. Высокий процент LAT (отсутствие рекламного id)
  6. Большой процент Assists Clicks
  7. Странный Device Model
  8. Fake IP, Proxy, VPN
  9. Аномалии в написании целевого действия
  10. Снижение уровня активности органики или других каналов
  11. Отсутствие активности в приложении после скачивания
  12. Установки с устаревших версии приложений
  13. Отслеживание Assist установок (смотри урок по методам атрибуции)
3. Антифрод системы
В MGCom мы используем следующие антифрод системы:
  1. AppsFlyer — Protect 360
  2. Adjust — Fraud Prevention Tool
  3. Fraud Score — Израильская сторонняя антифрод система, интегрируется со всеми четырьмя трекерами
  4. Admon — Российская сторонняя антифрод система, интегрируется с AppMetrica, Appsflyer
Наличие антифрод системы не гарантирует выявление всего фрода. Поэтому на постоянной основе необходимо ручное отслеживание и контроль. Также некачественные источники постоянно развивают свои алгоритмы: могут появляться и меняться параметры для их отслеживания. Поэтому KPI во фродовом регламенте будут усложняться.
Важно
4. Фродовые регламенты
Перед стартом размещения в In-app affiliate отдел mobile MGcom подготавливает фродовый регламент под каждый проект.

По ссылке шаблоны регламентов, которые можно взять за основу и скорректировать под клиента.
Фродовый регламент необходим для регламентирования работ специалистов отдела и клиента по выявлению и принятию фродового трафика. Он состоит из:
  • Критериев к чистоте трафика, превышение данных критериев будет свидетельствовать о признание трафика некачественным
  • Регламентируется представляемая отчетность и сроки ее предоставления
  • Обозначается структура работа с новыми партнерами: подключение, критерии успешности теста
  • Обозначается взаимодействие с текущими партнерами: как выносятся предупреждения об некачественном трафика и какой период даем для оптимизации и улучшению чистоты трафика
  • Как производится закрытие и оплата направления: как исключается фрод из оплаты
Если необходимо разъяснения по параметрам фрода, обратитесь в отдел Mobile при необходимости, в рамках обучения обозначены только основные параметры.
Далее →
Школа проджектов / Модуль Мобайл / Сложный уровень / Фрод и антифрод системы