Злоумышленники, которые специализируются на мошенничестве с рекламой, используют спуфинг пользовательского агента — технологию для сокрытия своих действий на сайтах и в приложениях. Она также носит название спуфинг браузера/UA.
Несмотря на то, что эта технология применяется во благо, например, при тестировании приложений, сайтов и ПО, зачастую она также используется для кликфрода и других форм мошенничества.
Чтобы узнать, как спуфинг влияет на рекламные кампании, рассказываем в этой статье.
Что такое User Agent
User Agent, также UA, — это идентификационная строка пользовательского агента, которая содержит фрагмент кода в браузере, предназначенный для посещаемого сайта. В строке содержится информация о браузере, версии программного обеспечения, операционной системе устройства и др.
По User Agent пользователя сайт видит, в каком виде должен быть отображен контент: для ПК или под мобильное устройство, старая или новая версия браузера и т. п.
Что такое спуфинг User Agent
Спуфинг User Agent (от англ. spoofing, или подмена) — это мошенническая технология, при которой злоумышленники изменяют элементы строки пользовательского агента, чтобы скрыть детали своего трафика.
Например, большой объем трафика с одного устройства при подмене агента выглядит как переходы с разных устройств — разные рекламные взаимодействия.
Также технология используется для мошенничества с таргетинговыми рекламными кампаниями.
К примеру, мошенники генерируют трафик с ПК, но рекламодатель видит якобы переходы пользователей с мобильного устройства под управлением ОС Android.
Помощь в тестировании
Настройка строки User Agent помогает веб-разработчикам проверять совместимость сайтов на разных устройствах и в разных браузерах. Для этого в Google Chrome есть специальное расширение, которое позволяет быстро изменить UA.
Помимо веб-разработчиков спуфинг используют и маркетологи. Таким образом они проверяют корректность отображения медийной рекламы в разных браузерах. По результату они принимают решение, нужно ли будет вносить корректировки в изображения и надписи или нет.
Как видите, это полезная технология, если ее использовать во благо. Однако не всё коту масленица — мошенники также ей активно пользуются.
Мошенничество с рекламой
Злоумышленники часто используют спуфинг браузера, поскольку он более эффективен, чем простой VPN или прокси. Самый очевидный способ подделки строки User Agent для мошенничества с рекламой — выдать скрытый или сконфигурированный браузер за подлинный.
Хитрость заключается в том, что каждый раз, когда пользователь посещает сайт, его браузер отправляет поддельную строку агента. Таким образом он представляется уникальным посетителем.
Как это делается:
- Пользователь (бот или человек) включает расширение или другой скрипт для спуфинга User Agent в своем браузере.
- Переходит по рекламе (по ссылке с рекламного объявления) на сайт.
- Затем он снова скликивает рекламное объявление, но в этот раз данные в строке агента изменяются автоматически. Теперь для рекламируемого сайта это новый пользователь.
Такая форма обфускации устройства позволяет мошеннику скликивать рекламу или размещать медийную рекламу, не будучи обнаруженным рекламными платформами.
Обфускация устройства
Фермы ботов и клик-фермы, как правило, работают либо с серверных центров, либо с объединенных в единую сеть смартфонов. Зачастую злоумышленники территориально расположены в зоне Центральной Азии, Китае, Филиппинах. Изменяя пользовательский агент, оператор ботнета или фермы может указать совершенно иной регион, к примеру, Калифорнию.
Поддельные показы
Методы блокировки недействительного трафика, который используют Google и Яндекс, можно обойти, изменив строку User Agent. Таким образом, ферма кликов или другой источник фальшивой генерации может использовать этот прием, чтобы выдавать себя за «подлинный» трафик.
Геоклики
С помощью спуфинга браузера мошенники изменяют географические настройки: язык устройства, часовой пояс и другие локационные данные. Это позволяет им предлагать рекламодателям трафик из выбранного региона или страны. Органическими такие переходы, конечное же, не будут.
Спуфинг домена против UA spoofing
Если сравнивать эти два параметра, то чего стоит остерегаться больше всего? В идеале, важно защититься от обеих мошеннических техник. Тип спуфинга, которого стоит остерегаться, зависит от того, какие рекламные онлайн-кампании вы проводите.
Например, если вы закупаете программатик-рекламу или выкупаете показы в РСЯ/КМС, то предпочтительнее поставить защиту от спуфинга домена. Это значит, что вам потребуется:
- изучить вебмастеров и паблишеров, у которых вы покупаете рекламу, — проверить их репутацию и рейтинг;
- использовать стороннее программное обеспечение для проверки URL-адресов сайтов на наличие подставленных символов Unicode;
- проверить условия размещения рекламы на предмет заниженных или нереальных показателей. Например, чрезвычайно низкие цены за тысячу показов или показатели кликов ниже среднего для объявлений, размещаемых на доменах с «высоким трафиком».
Если вы проводите партнерскую рекламную кампанию, то стоит быть осторожным со спуфингом устройств. Мошенники будут использовать подмену User Agent для генерации фальшивых лидов и кликов. Со спуфингом их будет сложнее обнаружить, таким образом они смогут заявить о завышенных партнерских выплатах.
Хитрый мошенник может регулярно опустошать ваш рекламный бюджет в течение месяцев или даже годами, используя подмену устройств.
Как бороться с мошенничеством
С помощью правильных инструментов спуфинг устройств можно обнаружить и остановить. Методы обнаружения мошенников и блокировки недействительных переходов могут включать в себя:
1. Picasso от Google
Как обнаружить тех, кто не хочет быть обнаруженным? Команда Google разработала одну интересную технологию по борьбе со спуфингом. Инструмент носит кодовое название Picasso. Он работает на основе следующего предположения: каждое устройство имеет уникальные черты. Схема снятия фингерпринта основана на непредсказуемом, но стабильном «шуме», который создает пользовательский браузер, операционная система и графический стек при рендеринге HTML5.
Например, Picasso может отличить подлинный трафик с iOS Safari на iPhone от трафика, отправленного эмулятором или настольным клиентом, подделывающим ту же конфигурацию.
Представители Google заявляют, что протокол Picasso может со 100% точностью распознавать 52 млн клиентов Android, iOS, Windows и OSX, работающих в различных браузерах.
2. Сравнение показателей маркетинговой эффективности с показателями продаж
Ожидание рекламодателем потенциальных лидов в соответствии с настроенной воронкой продаж может быть разбито реальностью в виде кликфрода.
Например, обычный коэффициент конверсии лида у рекламодателя составляет 33%. Есть (предполагается) 10 тыс. переходов по рекламным каналам. Таким образом, он ожидает получить ~3300 новых лидов.
Однако, если рекламодатель столкнется с масштабным скликиванием и генерацией фальшивых лидов при помощи спуфинга User Agent или других методов мошенничества с рекламой, то коэффициент конверсии резко обрушится. Вместо гипотетических 3300 новых клиентов на каждые 10 000 переходов рекламодатель получит только 300 — коэффициент конверсии снизится с 33% до 3%.
Неудобная ситуация с потерей бюджета в никуда, точнее, в карман мошенников. Быстрая проверка и сравнение показателей должны выявить падение конверсии.
3. Проверка аномальных моделей трафика
Аномальный всплеск трафика с поддельных устройств — еще один признак направленной бот-атаки со стороны рекламных мошенников.
Например, у рекламодателя обычно небольшое количество кликов по рекламе, а в ночное время их и вовсе нет. Однако утром он замечает внезапный всплеск трафика в тысячу кликов с рекламной кампании в три часа ночи. Конечно, тут не стоит даже сомневаться — это однозначный признак мошенничества.
Или, например, другая ситуация — планомерное увеличение трафика в ночное время до полного израсходования рекламного бюджета. Даже если система аналитики показывает, что переходы осуществлялись с разных устройств, браузеров и ОС, такое странное время массовых кликов может свидетельствовать о скликивании рекламы.
Мошенник может использовать спуфинг для имитации различных устройств, хотя на самом деле выполнять атаку через ботов с зараженных устройств или клик-ферм.
4. Проверка маркетинговых партнеров
Существует бесчисленное множество мошенников, которые создают фальшивые аккаунты для обмана компаний на партнерском маркетинге и реферальных программах. Они используют ботов для генерации трафика и искусственного увеличения своих показателей.
Возможность своевременного обнаружения этих мошенников и предотвращения их участия в партнерских кампаниях — важная часть борьбы с мошенничеством. В конце концов, партнер-злоумышленник не сможет использовать технологию подмены устройства для скликивания рекламы, если он превентивно будет заблокирован за обман других рекламодателей.
При оценке партнера обязательно обращайте внимание на следующие признаки:
- аномально большое количество подписчиков с небольшой историей контента;
- крайне низкие показатели вовлеченности в контент;
- низкокачественное взаимодействие с контентом (например, неуникальные или абстрактные комментарии);
- фальшивые аккаунты подписчиков.
5. Блокировка фальшивого трафика с сервисом Botfaqtor
Рекламные платформы, такие как Яндекс, Google и социальные сети, очевидно, знают проблеме скликивания. У них есть фильтры для блокировки фальшивого трафика, включая ботов и клик-фермы.
Но не все мошеннические переходы с использованием сложных технологий, среди которых спуфинг User Agent, блокируются. Любую систему можно обмануть, тем более, что мошенники не стоят на месте и развивают свои методы кликфрода.
Поскольку Google оценивает уровень недействительного трафика (IVT) в пределах 1-8%, что является средним показателем в Google Analytics для многих маркетологов, работающих с PPC-рекламой. Истинная же цифра намного выше.
По результатам работы сервиса Botfaqtor в области блокировки скликивания рекламы, средний уровень мошенничества составляет порядка 14% кликов. В конкурентных отраслях этот показатель намного выше.
Например, за все время работы сервис Botfaqtor проверил более 600 млн посетителей, защитил 6 тыс. сайтов и выявил 143 млн ботов.
Botfaqtor сверяет рекламный трафик по 100 техническим и поведенческим параметрам, среди которых и спуфинг User Agent. Сервис обнаруживает не соответствующие устройства, поддельные браузеры и другие данные.
Если вы размещаете рекламу в Яндекс или Google, участвуете в качестве вебмастера или паблишера в РСЯ и КМС, то можете БЕСПЛАТНО проверить свой трафик. Узнайте, куда уходит ваш рекламный бюджет или почему снижается рейтинг.