Фрод в programmatic – найти и обезвредить

Елена Сидоркина, специалист по мобильной рекламе Максим Сидоркин, веб-аналитик
7 апреля 2020
С развитием рынка данных в digital становится все более актуальной проблема качества выкупаемого трафика. Ради узких сегментов целевой аудитории бренды готовы пробираться сквозь дебри programmatic, где их встречают сотни специализированных платформ, обещающих уникальные возможности.

При этом не всегда удается получить только целевых и живых пользователей, так как помимо возможностей Big Data активно растут и совершенствуются технологии имитации живого трафика. Как увидеть фрод и избавиться от него, чтобы получить чистый трафик?

Что такое фрод в интернет-рекламе

Искусственная накрутка кликов, показов, конверсий с целью получения выгоды. Согласно исследованию Future Digital Advertising: Artificial Intelligence & Advertising Fraud 2019−2023, за четыре года мошеннический трафик приведет к потере рекламодателями порядка 100 млрд долларов. 

Кому выгодно выдавать несуществующих пользователей за реальных людей? 

Это может быть на руку Supply Side Platforms - платформам, которые осуществляют продажу рекламного инвентаря в экосистеме programmatic. SSP объединяют в себе рекламные сети и отдельные сайты, поставляя на биржу рекламные площади этих ресурсов.  При большом и разнообразном трафике их сети будут выглядеть привлекательнее для DSP и рекламодателей. 

Такой подход заставляет многие бренды обращаться к сторонним сервисам, которые, помимо обычного ad serving (трекинга показов/кликов), анализируют трафик по видимости и антифроду. В этом случае появляется возможность увидеть % фрода с рекламных источников в едином кабинете наравне с другими метриками. 

Основным препятствием для повсеместного внедрения измерений фрода является отсутствие единого подхода к определению - что такое фрод, и к тому, какой его процент считать допустимым. На данную тему часто возникают жаркие споры – programmatic-площадки утверждают, что у них качественный трафик, а рекламодатели оперируют данными стороннего трекера и просят компенсацию за «налитых ботов». 

Мы решили поделиться опытом работы с фродом в programmatic-размещениях: разобрать основные виды фрода и дать советы, как свести его к минимуму.

Виды фрода

Рассмотрим часто встречающиеся виды мошеннической накрутки kpi:

  • Вирусное рекламное ПО

Вредоносное программное обеспечение, заражающее устройство с целью фейковых показов рекламы во время его работы.

  • Подмена домена (spoofing)

Фейковый вызов рекламы с подстановкой URL реального сайта в счётчик Ad-сервера. Дает Ad-серверу ложную информацию о месте открутки рекламы.

  • Накрутка сеансов с помощью Proxy-сервера

Агент создает или арендует Proxy-сервер, позволяющий генерировать ip-адреса. Пишется простая программа по перезагрузке страниц сайта. С каждым ее обновлением ip-адрес меняется, создавая фейковое посещение.

Посещениям можно придать дополнительные настройки - страна, город, возраст, пол посетителя, браузер, время на сайте, история предыдущих посещений, и конечно, вписать любой источник.

  • Показ рекламы поверх другой рекламы

Программа, добавляющая слой поверх сайта или поверх рекламного блока для показа рекламы поверх другой рекламы, а также накрутка показателей видимости для сайта в целом.

  • Поддельный домен

Фейковые сайты, созданные по шаблону и не содержащие актуального контента, без органического трафика и пользовательской активности. Такой сайт наполняется за счет кражи контента с оригинальных сайтов по ключевым словам, после чего маскируется под оригинальный сайт, в том числе домен. 

К нему подключается лидогенерация. Как за счет «юзераторов» - живых людей, выполняющих целевые действия, так и ботов, имитирующий действия пользователей.

Одна из главных проблем такого мошенничества – отсутствие модерации сайтов самими SSP без официальных жалоб от клиентов. 

Наблюдается тенденция на использование более продвинутых схем обмана, вроде замаскированных рекламных сетей, и уход от трудоемких способов, например, от создания ферм ботов. 

Как увидеть фрод в системах аналитики

Чтобы проверить, насколько «живой» трафик идет на ваш сайт, без платных сервисов и особых навыков, достаточно иметь доступ в Google Analytics или Я.Метрику.

На что обратить внимание:

Аномальный процент достижения целей

Слишком высокие или низкие показатели на странице по сравнению со средними бенчмарками по ней.

Для каждого сайта показатели будут индивидуальными. Нужно проанализировать статистику по каналам за последние 3-6 месяцев и выявить средние значения показателя отказов, времени на сайте, глубины просмотра, сравнив с полученными бенчмарками результаты текущей кампании. 

Например, в медийном размещении, особенно в мобильном канале, показатель отказа редко бывает менее 40%. Ложных скликиваний много, особенно с форматом фуллскрин-баннера, так как в мобайле у пользователя не всегда получается закрыть баннеры с первого раза из маленького экрана. 

Пользователь, по ошибке перешедший на сайт, быстро его закрывает. Таким образом показатель отказа из-за подобных сеансов будет значительно выше. По той же причине в мобайле выше % расхождения между кликами и сеансами - клик по баннеру был, а сеанс в Google Analytics мог не успеть засчитаться.

В мобильных размещениях нормой считается BR до 80%. Если BR значительно ниже, при этом на странице нет выполненных целей (заявка, просмотр 2-х страниц и более и т.п.), то это явный намек на фрод.

Не определилась демография у значительной доли трафика

Демография в Google Analytics определяется на основе данных авторизации в сервисах Google: почта, поиск, Youtube и т.д.

Если у посетителя не определилась демография, и он попал в источник «not set», значит юзер посетил ваш сайт без авторизации в Google или зашел с другого браузера.

Когда подавляющее большинство посетителей сайта не авторизованы в браузере, появляются мысли о мошенническом трафике. В мобайле это допустимо, так как со смартфона пользователи редко посещают почту из браузера, потому что существуют приложения почты и прочих сервисов Google. На такое отклонение стоит обратить внимание.

Несоответствия с запланированными настройками рекламной кампании

Если в системе аналитики вы видите, что присутствует много сеансов с нецелевым гео (таргетинг на РФ, а сеансы из Казахстана) или типом устройства (кампания рассчитана на мобильные устройства, а сеансов много с десктопа) – это может быть признаком фрода.

Client ID

Если много сессий с одного Client ID, а периодичность посещений выглядит подозрительно, например, через каждый час – это признак фрода. Или когда пользователь не выполняет никаких действий на сайте. В Google Analytics проверяется в отчетах: Аудитории – Статистика по пользователям – Идентификатор клиента.

Значительная доля сеансов от одного Client ID, но без совершения событий в Google Аналитике 

Всплески активности по сеансам в одно и то же время

Сеансы должны быть более-менее равномерно распределены по времени суток в часы активности.

Подозрительное время посещения (каждый час) в Google Аналитике 

Повторяющееся количество сеансов в Google Аналитике каждый день от одного и того же Client ID

Много сеансов с непопулярных моделей браузеров

Под эту категорию попадают устаревшие ОС или моделей устройств. На мошеннический трафик может указывать подозрительно много сеансов с браузера Firefox или iPhone 2G.

Низкий процент новых сеансов на сайте с определённого канала

Если у сайта, с которого идет трафик, небольшая аудитория, то вполне возможно, что на него заходят одни и те же пользователи. Также есть вероятность генерации этих сессий одним ботом.

Многие из этих аномалий могут объясняться сбоями счетчиков Google Analytics, которые установлены на сайте. Например:

1. На сайте установлено несколько счетчиков Google Analytics, сбивающих данные друг друга.

2. Счетчик установлен не перед закрывающим тегом head.

3. Используется старая версия Google Analytics.

4. Одностраничный сайт, навигация по которому проходит без смены url. Без дополнительно настроенных событий постклик будет плохим, так как в Google Analytics в качестве показателя отказа по умолчанию засчитывается просмотр более 2-х страниц сайта.

5. Настроены события на различные pop-up events, которые автоматически срабатывают на сайте.

6. Счётчик Google Analytics установлен не на все страницы сайта.

Важно учитывать показатель роботности в системах аналитики. В Яндекс.Метрике его можно отследить в стандартных отчетах - раздел «Мониторинг». Также по графикам можно наблюдать аномальное повышение трафика в ночное время суток. 

Если по другим косвенным признакам постклика вы обнаружили всплески неестественного трафика в отчете Роботы, и есть основания полагать, что подобная ситуация может повториться, то лучше выбрать вариант фильтрации «По строгим правилам и поведению».

Фильтрация роботов в Яндекс Метрике

Когда объем роботного трафика некритичен, можно выбрать менее жесткие варианты фильтрации. 

Многие роботы принадлежат поисковым гигантам и другим компаниям, которые уважительно относятся к сайтам и являются частью поисковых систем. Но есть и вредоносные, накручивающие трафик, чтобы слить рекламный бюджет конкурента или увеличить рекламный доход.

В Google Analytics есть возможность фильтровать трафик системным способом. Но перед этим нужно создать отдельное представление, которое будет фильтроваться. То есть, перед применением любых фильтров должно оставаться представление с «сырыми» данными. Это убережет от потери статистики.

Фильтрация роботов в Google Аналитике

После в настройках представления нужно отметить чек-бокс «Исключить обращения роботов и «пауков». Тем самым весь ваш трафик будет отфильтрован от роботов, которые числятся в списке роботов IAB по ряду параметров. Важно, чтобы реальные источники вашего трафика не оказались в этом списке. Свериться с ним можно здесь.

Если вы имеете дело с ботами, которые отлично выдают из себя обычных пользователей, а экспресс-проверка по этим пунктам не дала результат, значит нужно обратить внимание на количество и частоту активных действий на сайте. 

Человек взаимодействует с интересными для него кликабельными областями, тогда как бот со всеми потенциально кликабельными элементами. Зная это, мы можем добавить на сайт невидимый глазу пиксель и настроить в Google Analytics соответствующие события, вычислив источник трафика, где они срабатывают, а значит, есть «неживой» трафик.

Какие существуют платные антифрод-сервисы

Ранее мы рассказали о минимальном комплексе мер, которые нужно принять, чтобы распознать источники мошеннического трафика. Однако чаще всего анализа Google Analytics и Я.Метрики недостаточно для выявления фрода с площадки, так как фрод-системы могут имитировать живой трафик и по всем показателям вовлеченности подходить под поведение пользователей. Для проверки на фрод нужно ставить трекинговый пиксель сторонней системы для анализа трафика.

Теперь поговорим о популярных сторонних сервисах, которые широко используются на рынке благодаря спектру предоставляемых услуг и уровню интеграции с различными DSP:

MOAT 

Глобальный поставщик решений для оценки качества интернет-рекламы, входящий в состав Oracle Data Cloud. Платформа работает с самыми крупными рекламодателями на российском и международном рынке. MOAT замеряет бот-трафик и фильтрует его на доаукционном этапе, то есть работодателю не нужно платить за некачественный клик или показ. 

Методика замера ботов:

  • Выделение поисковых роботов и трафика из дата-центров.

  • Трафик с неизвестных прокси-серверов.

  • Трафик с IP-адресов, находящихся в Black List.

  • Трафик из неизвестных браузеров.

Adloox 

Кампания, основанная в Париже, является одним из первых специализированных игроков рынка услуг по верификации и аудиту рекламного трафика. Измерения происходят при помощи технологии AdFraud, позволяющей получить данные как по базовым, так и по продвинутым категориям.

Подсчёт производится и в мобайле, и на десктопе. Используя данную технологию в programmatic-сетях, можно не только зафиксировать все случаи «неживого» трафика, но и понять его тип.

Оценка трафика проводится как в сравнении с накопленной базами источников ботов, верифицированных с MRC, так и по поведению на сайте.

К примеру, бот закрывает рекламу через доли секунды после показа объявления. Или клики по кнопке «Х» на сайте происходят строго в одну и ту же точку дисплея.

DoubleVerify – верификатор, штаб-квартира которого находится в Нью-Йорке, производит замер Brand Safety, фрода, точности геотаргетирования, количества заблокированной рекламы и Viewability.

По цене DoubleVerify более доступна, чем Moat.

Все эти функции (Viewability, Fraud protection, Brand Safety) можно использовать непосредственно из интерфейса DoubleClick Bid Manager при закупке трафика через эту DSP.

DoubleVerify предоставляет статистику вплоть до конкретного домена, с которого пришел нецелевой показ. Это позволяет формировать Black List из таких источников трафика для последующего их исключения из таргетов, что помогает уменьшать % ботов от кампании к кампании.

А как DSP борются с ботами  

DCM 

С 2014 года DoubleClick Manager использует технологию Spider.io – трафик, который был расценен как некорректный, не попадает в общий отчет, а рекламодатель за него не платит.

При этом DCM накапливает свою базу доменов, с которых «льют» некачественный трафик, исключая его из размещений ещё на этапе до совершения аукциона.

Еще одним шагом от Google в этой борьбе в 2017 году была разработка нового отраслевого стандарта ad.txt.

Ad.txt – это файл, проверяющий рекламные активности на площадках паблишеров. Он сверяет цифровые подписи, а также может блокировать манипуляции ботов и определять законность рекламной активности. 

Soloway

В основе антифрод-защиты Soloway лежат измерения Adriver, которые основаны на положениях «Interactive Audience Measurement and Advertising Campaign Reporting and Audit Guidelines» от IAB.

Площадка использует «Антинакрутку» — это комплекс алгоритмов, предназначенный для борьбы с искусственным увеличением количества показов и кликов на сайте. Система блокирует попытки накрутки счётчиков по списку IP-адресов и по значению user-agent.

Hybrid 

Данная DSP использует двухфакторную фильтрацию фрода:

1. Анализ площадок с помощью алгоритмов Forensiq.

Алгоритм анализирует сайты, с которых поступают аукционные запросы, на основании чего формируется процент фрода на площадке. Площадки, у которых этот показатель выше 70%, автоматически попадают в глобальный Black List, и реклама на них не показывается.

2. Определение фрода с помощью собственных алгоритмов Hybrid.

Подрядчик использует большой список параметров и условий, только при соблюдении которых засчитываются показы/клики. Например:

  • Правильный порядок действий: ставка на аукционе, затем показ, и только потом клик. Если клик проходит без показа, или порядок действий нарушается, система опознает такой трафик как фрод.

  • Отсутствуют cookies в браузере.

  • Показ произведён сразу после совершения аукциона.

Все ресурсы, входящие в глобальный Black List, не участвует в аукционе. Список постоянно обновляется на стороне DSP.

Что делать, когда результаты проверки DSP и стороннего трекера не сходятся

Для многих рекламодателей допустимый порог фрода составляет порядка 3-5%. Если этот процент в верификаторе превышен, нужно провести анализ логов верификатора и DSP (это осуществляется на стороне подрядчика и верификатора), а также дополнительно провести ручной анализ данных.

Логи

Это текстовые файлы, хранящие информацию о посещениях сайта, в том числе об ошибках, которые возникали в процессе его работы. Логи анализируются на роботизированный трафик, подозрительных пользователей, скликивание и т.д.

DSP на свой стороне может дополнительно выгрузить и проверить IP-адреса, с которых осуществлялся переход. 

По результатам анализа c DSP можно согласовать как принятие мер по улучшению трафика, так и компенсацию по размещению. DSP, в свою очередь, может прекратить сотрудничество с теми SSP, в числе сайтов которых присутствует мошеннический трафик.

Кто ответственен за «чистый» трафик в programmatic

Рекламодателю вместе с агентством важно определить метрики тестирования трафика, а также антифрод-системы, которые будут использоваться. Агентству – понимать логику работы антифрод-инструментов и проводить регулярный аудит качества трафика хотя бы на доступном уровне Google Analytics или Яндекс Метрики. Паблишеру – контролировать качества трафика еще на этапе pre-click. И помнить, что дешевый трафик редко бывает качественным.