Mobile FraudMobile Heroes

Kirill Grigorev by Kirill Grigorev | October 26, 2021

Кирилл Григорьев является старшим специалистом по привлечению пользователей в компании Dataduck. Это креативная паблишинг-студия, которая предоставляет услуги по продвижению и работает по всему миру. Кирилл устроился в Dataduck в 2017 году и сейчас занимается привлечением пользователей, оптимизацией объявлений и поиском новых медиа-источников. До этого Кирилл 3 года работал на должности ведущего дизайнера и разрабатывал баннеры, interstitial-рекламу и другие креативы.

Read Kirill’s blog in English here.


Индустрия маркетинга развивается быстро, но фрод не отстает. По мере того как специальные системы учатся распознавать и предотвращать мошеннические схемы, злоумышленники придумывают новые способы получения прибыли.

Благодаря системам блокировки, встроенным в MMP, нам теперь не так страшны угрозы, которые еще год назад могли нанести непоправимый ущерб. Однако мошенничество становится все труднее распознать.

В этой статье я расскажу про самые распространенные схемы фрода в мобильной рекламе, ее основные признаки и влияние на работу финансовых приложений.

Мошенничество с атрибуцией

Это самая коварная схема. Ее сложно распознать и в полной мере оценить влияние на кампанию. В этой схеме конверсии приписываются источнику, который не имел никакого отношения к их привлечению..

Сюда входят клик-спам и инъекции кликов (перехват установок). Кроме того, недобросовестные партнеры часто увеличивают окна атрибуции, благодаря чему генерируют больше конверсий. Чтобы этого избежать, регулярно проверяйте окна атрибуции при работе с новым партнером.

Паблишер может использовать клик-ссылку не только для трекинга кликов, но и для трекинга показов. В таком случае одним из индикаторов, по которому можно распознать данную активность, является либо полное отсутствие кликов, либо тот факт, что кликов в 10-100 раз больше, чем показов. Но опять же, не у всех партнёров есть техническая реализация трекинга показов, поэтому данный индикатор можно использовать в связи с другими.

Более продвинутые мошенники маскируют инъекции кликов другими схемами, например ложными установками. В таком случае аномалии в метриках компенсируют друг друга, поэтому активность злоумышленников становится еще сложнее выявить.

Негативное воздействие мошенничества с атрибуцией

От манипуляций злоумышленников с атрибуцией страдает вся индустрия маркетинга. Компании не только переплачивают за установки и последующие действия пользователей, но и сталкиваются с косвенным ущербом, ведущим к долгосрочным последствиям. И поскольку подсчитать все убытки очень сложно, многие рекламодатели недооценивают влияние мошенничества.

Фрод с атрибуцией (особенно инъекции кликов) косвенно затрагивает показатели законных источников трафика. Например, уменьшается число конверсий и соответственно IPM. Источники, работающие по модели CPI, будут получать меньше установок. Алгоритмы определяют падение CR, и приоритет показа объявлений автоматически понижается. В результате даже если показатель CPI стабилен, объем трафика через качественные источники уменьшается. Это и есть косвенный ущерб от мошеннических схем.

Какие могут быть решения? Компания ironSource опубликовала отчет Monetization and UA benchmarks for mobile games in 2021, в котором предложила отслеживать общее количество установок при запуске нового источника трафика. Если есть подозрение, что активные источники не приносят доход, можно приостановить кампанию и посмотреть как меняются показатели [Из отчета].

Рекламодатели, которые привлекают пользователей с помощью разных источников трафика, очень уязвимы для мошенничества с атрибуцией. Злоумышленников особенно привлекают определенные категории приложений. Например, от фрода страдают финансовые приложения с высокими CPI и CPA. Если у вашего продукта большие выплаты за установку или действия после нее, стоит тщательно следить за качеством источников, с которыми вы работаете.

Признаки мошенничества с атрибуцией

Низкий CR в сочетании с аномально высоким показателем Assisted Installs, а также слишком длинный промежуток CTIT (в часах или днях) могут указывать на клик-спам. Если на источник трафика приходится чересчур много кликов — это тоже признак вмешательства злоумышленников. При инъекции кликов CTIT становится аномально коротким, а CR наоборот может вырасти до небес.

Последние тенденции

С середины 2021 года мы в Dataduck сталкиваемся с новым типом мошенничества с атрибуцией — флудингом просмотров. Эта техника очень похожа на клик-флудинг, но она менее эффективна. При использовании MMP у просмотров часто более низкий приоритет и меньшее окно атрибуции, чем у кликов, поэтому трафик, получаемый этим способом, значительно меньше. Сейчас мы исследуем источники, предположительно причастные к этому виду мошенничества. Мы стремимся разработать оптимальную стратегию, чтобы свести к минимуму негативное влияние этих источников на привлечение пользователей.