Кликфрод: когда участвуют люди, а когда — боты

«Бот-трафик — это золотая жила», — считают мошенники. Достаточно иметь навыки программирования на различных языках, какую-никакую мобильную ферму или любой другой инструмент для автоматизации выполнения кликов или установок мобильных приложений, и вот вы уже можете совершать атаки на рекламные объявления!

На данный момент процент бот-трафика в интернете достаточно высок, так как он приносит мошенникам деньги, и немалые. Будь то клики по рекламе, скупка лимитированных товаров, DDoS-атаки, формирование инфомассы в социальных сетях и другие автоматизированные и вредоносные действия. Любая сфера бизнеса, даже политика, становится целью злоумышленников.

Также трафик может генерироваться и руками реальных пользователей. И тоже может быть вредоносным. Приводим таблицу с распределением человеческого и бот-трафика по видам кликфрода и применяемым технологиям:

Ботовый трафикЧеловеческий трафик
ЭмуляторыВнедрение клика
Подмена SDKПодмена SDK
Умные ботыСпам кликами
Простые ботыКлик-фермы
Клик-фермыВнедрение куки
Бот-фермыСкрытые рекламные объявления
Подмена домена
Внедрение рекламного объявления
Пикселизация объявлений

Участие ботов в скликивании рекламы

Как вы себе представляете мошенничество в рекламе? Многие, конечно же, думают об автоматизированных программах, которые скликивают рекламные объявления. Отчасти это так. Давайте посмотрим, в каких видах кликфрода мошенники используют ботов.

Простые боты

Роботы, которые выполняют простой скрипт с сервера, называются «простыми ботами». Их легко идентифицировать, так как они имеют статический идентификатор пользователя, идентификатор устройства и IP-адрес, что значительно облегчает их блокировку.

Умные боты

Это более сложный вариант ботов, и, следовательно, их труднее обнаружить и заблокировать. Они используют самые современные методы выполнения кликфрода, такие как имитация движений мышкой, для подражания реальному пользователю, использование случайных прокси-серверов и подмена IP-адресов. Кроме того, чтобы имитировать человеческое поведение, они используют файлы cookie пользователей.

Подмена SDK

Достаточно старый вид мошенничества с применением ботового трафика. Данная схема применяется в CPA-рекламе (cost-per-action — цена за действие) на уровне внедрения в процесс передачи атрибуции мобильного трафика в магазин приложений или центру анализа эффективности, а также в отношении других участников рекламного цикла CPM/CPA.

Сообщение об атрибуции реплицируется, редактируется для подмены данных об установке приложения, клику по установке и других метрик. Мошенники пишут скрипт, который замещает строку, когда пользователь совершает какое-либо действие внутри приложения после его установки и  имитирует поведение реального пользователя.

Это форма взлома, направленная непосредственно на мобильные рекламные платформы, и один из самых сложных для обнаружения типов мошенничества. При подделке SDK фактические клики или события не происходят, это форма сложного взлома скриптов.

Бот-фермы и фермы устройств

Фермы ботов не зря имеют такое название. По аналогии с животными фермами, это помещение со множеством смартфонов (или других устройств), подключенных к единому центру управления (компьютеру). Со всех телефонов одновременно совершаются в автоматическом режиме спам-клики и мошеннические установки. По сути, это большое количество организованных домашних компьютеров, которые генерируют поддельные действия, такие как клики по рекламе или установки мобильных приложений.

Как правило, они работают по простой модели «действие + перезагрузка + повтор». Устройства запрограммированы на генерирование мошеннического трафика (щелчок, установка, действие после установки), на перезагрузку и повторение действия. Как в фильме «День сурка».

Обнаружить и определить такой ботовый трафик можно по устаревшим версиям операционных систем смартфонов (мошенники используют старые модели) и IP-адресу.

Бот-фермы, фермы устройств или фермы из смартфонов нередко могут быть частью ботнета.

Эмуляторы

Эмуляторы — более сложная технология. Возможно, многие из вас знакомы с ней. К примеру, к ним относятся эмуляторы приставок: чтобы вспомнить детство и поиграть в игры на Sega, приходилось устанавливать на ПК специальную программу. Она воспроизводила работу другого устройства средствами компьютера.

Этот же метод направлен и на увеличение количества поддельных кликов по рекламе и установок приложений, выполняемых с помощью имитируемых устройств, замаскированных или “эмулированных” под мобильные устройства.

Участие людей в скликивании

Для человеческого трафика используются силы реальных людей для совершения мошеннических действий с рекламными объявлениями. Кликфрод является вторым по прибыльности видом преступлений в мире, из-за чего злоумышленники рассматривают его в качестве перспективной незаконной и вредоносной деятельности.

Клик-фермы — мошенничество с объявлениями и атрибуцией

Ряд злоумышленников применяет этот наименее изощренный метод мошенничества с рекламой, так как он позволяет работать с разными объемами данных в ручном режиме. Представьте себе объемы и циркулярность такого ручного труда, который требуется для ферм кликов.

В эту деятельность могут быть вовлечены группы людей разного масштаба и удаленности: как местные киберпреступники, так и «наёмники» со всего мира (в первую очередь из стран Азии).

Внедрение клика — атрибуция по установке приложений

Инъекция (внедрение) кликов — это когда мошенники внедряют клик сразу после начала установки приложения (стандартной или коммерческой — значения не имеет). Так они обманывают систему отслеживания кликов и установок, по которым в дальнейшем выплачивается вознаграждение. 

Например, владелец приложения разместил рекламу своего продукта и платит вебмастерам за клики после запуска пользователем приложения сразу после установки.

Спам кликами — мошенничество с органической атрибуцией

Также технология известна как перехват кликов. Это когда платформе по оценке эффективности мобильной рекламы (MMP) отправляется большой объем (тысячи или миллионы) кликов. Если есть рекламное объявление или приложение, которое подразумевает большое количество органического трафика, то мошеннические клики просто утонут в потоке реальных, таким образом, у них есть все шансы быть незамеченными.

Даже если видна атака, всё равно: чем больше кликов, тем выше шанс, что какая-то доля из них будет признана естественной. А учитывая, что их выполняют реальные люди, то выгода тут очевидна.

Невидимые объявления или наслаивание объявлений — CPM-реклама

Это форма мошенничества с рекламой по схеме CPM (cost-per-mille — цена за просмотр), когда рекламодатели платят за просмотры пользователями рекламных объявлений.

Что делает вебмастер: просто располагает одно объявление поверх другого. Пользователь фактически видит только одно, а на самом деле в систему метрик рекламной платформы отправляется статистика по просмотру сразу нескольких. Рекламодатель платит за «просмотр без просмотра».

Таким образом, боты в данном случае для мошенничества вовсе и не нужны, если сам ресурс достаточно трафиковый. Человек даже не будет знать, что поучаствовал в мошеннической схеме.

Пикселизация объявлений

Практически та же самая концепция по обману рекламодателей, о чем мы писали выше. Одно рекламное место — несколько объявлений. Отображается только одно или пара объявлений, однако пользователь «просматривает» гораздо больше.

Единственное отличие от предыдущего варианта заключается в способе сокрытия рекламы. Объявления располагаются не за счет наслоения, а засчет уменьшения их до размера 1×1 пиксель. Человеческий глаз просто не заметит его в таком размере. Представьте, сколько их можно разместить на одной странице сайта!

Внедрение cookie — мошенничество в CPA-рекламе

Это форма мошенничества с атрибуцией, только используется в обмане рекламодателей по количеству установок или совершенных целевых действий, а не показов. Злоумышленник применяет технологии для внедрения множества нужных ему файлов cookie в браузер пользователя. Возможно, даже с сайтов, которые они не рекламируют и к которым не имеют никакого отношения.

Когда пользователь посещает и покупает что-то на сайте, то рекламной платформой (конечным рекламодателем) будет выплачено вознаграждение этому мошеннику за совершенное пользователем действие. Хотя мошенник всего лишь внедрил нужный файл cookie на устройство пользователя.

Внедрение домена — мошенничество с показами

Внедрение (подмена) доменов — это когда мошенники представляют в списке паблишеров свои сайты как премиальные, хотя на самом деле это не так. Делают они это с помощью вредоносной подмены рекламы и изменения рекламных тегов.

Как только пользователю на его устройство загружается приложение (без его ведома), вредоносное ПО начинает запускать свой собственный код в браузере пользователя, открывает вкладки со своими сайтами и начинает выводить там рекламу.

Мошенники получают доступ к коду в теге объявления и заявляют о вознаграждении. Рекламодатели думают, что их объявления публикуются на сайтах премиум-класса, хотя в действительности они размещаются на некачественных ресурсах.

Внедрение рекламного объявления

Иногда объявления могут публиковаться на сайтах без ведома пользователя и паблишера, а также без разрешения владельцев сайтов. Это делается с помощью панелей инструментов веб-браузера или рекламных плагинов. Такая технология мошенничества с использованием человеческого трафика называется «внедрение рекламы».

Встраиваемые объявления могут полностью заменять другие или выводиться в тех блоках на странице сайта, которые вовсе для размещения рекламы не были предназначены.

Не все боты — плохие

Некоторые боты, такие как роботы индексирования у поисковых систем, являются «хорошими». Их задача заключается в поиске и обходе ресурсов и новых страничек в интернете для дальнейшего их отображения в поисковой выдаче. Поэтому, да, есть «плохие» боты, с этим не поспоришь, которые используются для мошенничества в рекламе. Но, как видите, не все такие.

Подробнее об этом читайте в нашей статье «Хорошие и плохие боты».

Блокировка плохого трафика

Независимо от того, какой это трафик — человеческий или ботовый, — любые подобные манипуляции с рекламой сулят ущерб рекламодателю и/или пользователю. Защита рекламных объявлений нужна и важна на всех уровнях, особенно для среднего и крупного бизнеса.

Сервис Botfaqtor защищает от скликивания в Яндекс.Директ и Google Ads и блокирует нечестных конкурентов, исполнителей с бирж, ботов. Мы помогаем и владельцам сайтов, которые участвуют в КМС и РСЯ, бороться с ботами и держать репутацию безупречной.

Мы поймали для наших клиентов свыше 13 млн ботов в Директе и более 7 млн в Ads — отныне доступ им запрещен к защищаемым сайтам. Стоп-лист пополняется ежечасно. Подключитесь к сервису бесплатно на 7 дней, и вы оцените все возможности сервиса Botfaqtor.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий