Рекламное мошенничество — подвид киберпреступлений, от которых страдают рекламодатели, сервисы, партнерские площадки и потенциальные клиенты. Рост числа случаев кликфрода показывает, что мошенники готовы идти на всё ради лакомого кусочка – бюджета рекламодателя. С каждым годом появляются новые способы: взлом сайтов или HTML-кода под объявления, боты, псевдоустановки — находятся новые инструменты и лазейки.
В этой статье мы расскажем о 10 техниках, которые киберпреступники используют чаще всего для скликивания рекламы. Читайте, как распознать действия мошенников и можно ли им противостоять.
Краткие характеристики техник
| Тип мошенничества | Техника | Варианты |
|---|---|---|
| С показами | Невидимки | Пикселизация. Размещение за границами страницы. Наслаивание. Автозапуск моб. приложений. |
| Отмывание показов | Подмена сайта-донора для показов | |
| Поп-андеры | Скрытая реклама во всплывающих окнах и вкладках в фоновом режиме | |
| С кликами | Похищение трафика | Перенаправление пользователя на сторонний ресурс, а не сайт рекламодателя. Взлом DNS, прокси. |
| Псевдо- и мотивированный трафик | Ботнеты и покупной трафик | |
| Боты и фейковые пользователи | Боты, клик-фермы | |
| С конверсией | Псевдоустановки | Фермы для установок с использованием эмуляторов мобильных устройств. |
| Манипуляция атрибуцией | Клик-спам. Перехват атрибуции. | |
| С данными | Взлом сайта и «похищение» рекламного блока | Взлом ПК и изменение DNS-резолвера. Взлом сайта партнера. Взлом прокси-сервера. |
| Замещение рекламы через расширения | Установка вредоносных расширений для браузера. |
Техника №1 — Объявления-невидимки в CPM и CPI
Недобросовестные партнёры — бич рекламного сообщества. Чтобы увеличить свои нечестные доходы, они идут на любые ухищрения. Самый распространенный способ — сделать объявление невидимым. Эта мошенническая техника характерна для CPM-рекламы (оплата за 1000 показов) и CPI (оплата за каждый показ).
► «1x1 пиксель»
Наиболее хитренькие партнёры нашли способ размещения объявлений на своих сайтах без «порчи фасада» страничек рекламой. Киберпреступники уменьшают размер блока до минимальных размеров, например, 1х1 пиксель. Таким образом, визуально она не видна обычному пользователю. Объявления показываются, не конвертируются, мошенник получает доход от показов, а рекламодатель теряет бюджет.
► Размещение объявлений за границами страницы
Подобные техники давно известны. Они идут еще из времен некачественного размещения ссылок и другого контента. Объявление размещается за пределами страницы. Пользователи просматривают страницу с рекламой, но не видят ее по факту. Показы идут, а вместе с ними и «слив» бюджета.
► Наслаивание — «один на всех и все под одним»
Это техника, при которой объявления разных рекламодателей размещаются один поверх другого. Выигрывает тот, кто оказался сверху. Показываются все, но трафик получает только «счастливчик».
► Автозапуск мобильных приложений
В зоне риска — мобильная реклама. Мошенники (владельцы приложения) запускают их в фоновом режиме и бесконечно проигрывают рекламу, даже если пользователь фактически не использует приложение. Показы идут, конверсии 0.
👉 Как определить. Проверяйте периодически своих партнеров, даже если вы доверяете площадке. Они не всегда могут отследить мошеннические действия. Тем более, если объявления считаются размещенными и показы идут. Если визуально на странице вы не видите свой контент, попробуйте перейти в режим просмотра кода (CTRL+U) и выполните поиск по тексту. Найдено в скрытом блоке? Долой такого партнера!
№2 — Отмывание показов
При использовании этой техники рекламного мошенничества рекламодатель не узнает, на каких площадках в итоге размещалась его реклама. Она также характерна для CPM- и CPI-рекламы. Вот как применяется эта фрод-техника:
- Рекламодатель тщательно подбирает площадки-доноры с тематическим контентом и нужной аудиторией. То есть он выбирает релевантный сайт.
- Оплачивает показы, причем на таких площадках они могут стоить немалых денег.
- Часть показов направляется не на оплаченные тематические места, а на мошеннические сайты с нерелевантным контентом и нецелевой аудиторией. Как правило, это ресурсы «для взрослых» (18+) с высоким трафиком. Почему именно они? Подобные тематики сложнее монетизировать легальными путями.
- Рекламодатель видит только то, что показы идут, причем, на тех сайтах, которые он оплатил. Такой эффект достигается за счёт сложной структуры редиректов и вложенных фреймов. Именно поэтому техника называется «отмывание показов».
№3 — Взлом сайта и «похищение» блока под рекламу
Похищение, или замещение, рекламных блоков, — техника, при которой вредонос «похищает» блок под партнерские объявления на чужом сайте и размещает там свой контент. Владелец ресурса может даже не подозревать о том, что его сайт взломан. Как такое происходит:
► Взлом ПК-пользователя и изменение DNS-резолвера
Отображение информации происходит не через классический – оригинальный – DNS-резолвер пользователя, а через мошеннический.
► Взлом сайта рекламного партнера
Сайт партнера взламывается, HTML-код изменяется динамически при отображении страниц ресурса. Соответственно показывается та реклама, которая выгодна киберпреступнику.
► Взлом прокси-сервера
Взломан прокси-сервер или роутер (или же вовсе роутер провайдера). Подменяется DNS-сервер или изменяется HTML-код на сайте.
👉 Как определить. Если первый и третий тип вычислить сложно, то второй определяется, опять же, методом проверки своих партнеров. Если вы видите, что отображено не то, что нужно, блокируйте размещение и оставляйте жалобу на площадку.
№4 — «Похищение» трафика
Техника очень схожа с предыдущей, только в данном случае киберпреступник похищает не рекламный блок, а уже клик самого пользователя: целевой клиент перенаправляется на сторонний сайт.
Как мошенники похищают клики:
► Взлом ПК и изменение DNS-резолвера
► Используется тег <=”” li=””>
► Взлом прокси-сервера и подмена HTML-кода.
№5 — Поп-андеры (реклама на заднем плане)
Это почти то же самое, что и классические всплывающие окна, только поп-андеры появляются под каким-либо блоком контента, а не поверх него. Эту технику мошенники могут совмещать с отмыванием показов для увеличения дохода. Вкладки с большим количеством баннеров и контекста загружаются автоматически в фоновом режиме при переходе по ссылке, открытии зараженного сайта и т. д.
Несмотря на то, что рекламные сети с недавних пор блокируют такой метод размещения, некоторые площадки всё еще продолжают считать его легальным.
№6 — Псевдо- и мотивированный трафик
Для скликивания рекламных объявлений преступники используют как реальных пользователей, так и ботов.
► Псевдотрафик на ботах
Некоторые заказчики покупают массовый и дешевый трафик на свои сайты за копейки на различных RTB-площадках. И нет гарантий, что они не попадут на ботов-скликивателей. Даже тот немногочисленный бюджет, потраченный на рекламу, может утечь, как песок сквозь пальцы.
Ранее мы уже писали о ботнетах, которые используются киберпреступниками. Для них это мощный, хоть и нелегальный инструмент, при котором устройства пользователей заражаются вредоносными программами и управляются ботоводом. В настоящее время это распространенная техника рекламного мошенничества.
Согласно исследованию, проведенному в 2019 аналитическими агентствами Traffic Guard и Juniper Research, рекламодатели потратили 407 долларов на каждого пользователя Интернета, где $61 был потрачен на псевдотрафик.
За счет своей массовости сети ботов гарантируют его мастеру увеличение кликов, эффективных показов и рост доходов.
Самым известным ботнетом по скликиванию рекламы считается Метбот (Methbot). Какие методы он использует:
- Псевдоклики и автоматизированное поведение на сайте.
- Псевдорегистрация и фальшивые аккаунты в соц. сетях.
- Ложная передача географического положения через управление зараженным устройством, расположенным по нужному IP-адресу, и другие.
► Мотивированный трафик
В этом случае используется низкооплачиваемый труд реальных людей. В качестве аудитории выступают студенты, декретницы, школьники. Они не заинтересованы в продукте рекламодателя. Услуги по такому дешевому трафику предлагают более 150 бирж по всей России.
№7 — Боты и фальшивые пользователи
Киберпреступники используют для имитации действий не только ПК, но и мобильные устройства. В ход идут боты, вредоносы и клик-фермы для создания армии фейковых пользователей. Ими мошенники наполняют всю рекламную среду, сея хаос в конверсиях рекламодателей.
► Фермы кликов
Клик-фермы используют низкооплачиваемый труд реальных людей, которые лично проходят по рекламным площадкам и скликивают все объявления.
► Боты
Боты-кликеры создаются для фальшивых действий на сайтах и в мобильных приложениях. Рекламодатели обманываются высокой кликабельностью, но в итоге не получают целевых клиентов.
👉 Как определить. Обратите внимание на Вебвизор. Если есть массовые однотипные переходы с просмотром 1-2 страниц, аналогичным поведением (роботизированное поведение видно сразу) и отсутствием конверсии, то это наверняка боты. Полностью воссоздать поведение реальных посетителей они не могут, их цель — выполнить клик по объявлению и сделать «что-то похожее на просмотр страницы».
Также определить можно по стране и устройству. Если вы рекламируетесь в России, а все такие переходы идут из Конго, то это верный признак скликивания. Посмотрите, с какого партнера идут переходы. Если они приобрели массовый характер, то отказываться от размещения рекламы на его сайте. Мотивированный трафик определяется практически аналогично. Для них характерен массовый поток и единый шаблон действий с отсутствующей конверсией.
Как защититься от ботов
Реклама — недешевое удовольствие, здесь каждая копейка на счету. В условиях плотной конкуренции и высоких ставок, где даже реальный клик по объявлению не гарантирует обращения в конверсию, очень важно защитить свой бюджет от ботов и скликивания. Можно ли защититься? Да. Ваши конкуренты уже используют сервис защиты Botfaqtor. Они не платят за ботовые переходы и экономят рекламный бюджет в Яндекс.Директ и Google Adwords.
№8 — Псевдоустановки
Фермы для установок — еще одна техника рекламного фрода, при которой имитируются действия пользователей на мобильных устройствах. С их помощью реальные люди устанавливают мобильные приложения, используя специальные эмуляторы.
Как и в технике №5, киберпреступники могут использовать ботов, которые массово устанавливают приложения и взаимодействуют с ними автоматически. Чтобы не быть обнаруженными, мошенники сбрасывают ID устройства и меняют IP-адреса.
👉 Как определить. Сегментировать площадки и проанализировать их конверсионность. Об обмане будет сигнализировать низкий CTR к высокому количеству установок.
№9 — Замещение рекламы через расширения
В этой технике, которая в оригинале называется ad injection, мошенники используют взломанные или вредоносные расширения для браузера. Когда пользователь посещает сайт, встроенные расширения замещают реальные рекламные объявления своими или дополнительно показывают их, встраивая прямо в окно браузера.
Самыми вредоносными расширениями считаются бесплатные PDF-конверторы и панели инструментов браузера, владельцы которых, пытаясь монетизировать их, договариваются с разработчиками такой рекламы.
В августе 2020 года аналитики сервиса Adguard выложили отчет, в котором представили 295 обнаруженных вредоносных расширений для Chrome, которые блокируют реальную рекламу и замещают ее своей.
Рекламодатели, которые оплатили размещение своего объявления в таком блоке, теряют как на CPM/CPI-, так и CPC-рекламе. В первом случае потери будут ощутимее.
👉 Как определить. Относительно данного вопроса возникают сложности. Ни рекламодатели, ни площадки определить конечных пользователей, которые используют вредоносные расширения, не могут.
№10 — Манипуляция атрибуцией
Боты – часть вредоносного кода, который запускает программу или совершает какое-либо действие. Они направлены на скликивание, псведоустановку и совершение действий внутри приложений. Путем умелых манипуляций с чужим устройством они получают метрики с чужого устройства и присваивают клики себе. Технология такого мошенничества применяется в CPC-рекламе.
► Клик-спам
Спам клики совершаются массово с реальных, но взломанных мобильных устройств. Идут хаотично. ID устройства используется для отправки поддельных отчетов.
► Перехват атрибуции (Click Injection)
Перехват атрибуции — это вариант метода, описанного выше. Приложение-вредонос на Android-устройстве определяет, когда начинается установка других рекламируемых приложений, и еще до завершения установки провоцирует автоматический клик по нему. Таким образом он забирает все метрики на себя. То есть он имитирует клик владельца устройства, но на самом деле оплату за установку получает мошенник. За все дальнейшие действия пользователя, например оплата инвентаря в игре, они также смогут получать свою долю.
👉 Как определить. Обратите внимание на «скорострелов». Для таких кликов характерен короткий промежуток времени, который проходит от установки до клика. Также будет наблюдаться низкий коэффициент конверсии.
