Види шахрайства в programmatic та як із ними боротися

«Детектор медіа» в одному з попередніх текстів писав про те, що таке програматик (programmatic) і як працює купівля реклами через таку систему. Цього разу ми розповімо про ризики шахрайства у програматику — він же фрод (fraud) — та як їх уникнути.

Шахраювати із трафіком при купівлі реклами у програматику можна кількома способами. Як пояснили експерти Олексій Лях та Віталій Сосновий на лекції про фрод від IAB Ukraine, коли попит перевершує пропозицію, виникає спокуса заробити на незнанні інших людей та продати їм неякісний трафік. Сам термін «фрод» (від англ. fraud «шахрайство») експерти пропонують тлумачити як вид шахрайства в галузі інформаційних технологій, а саме несанкціоновані дії та неправомірне користування ресурсами та послугами в мережах зв'язку.

Є два типи фроду: базовий недійсний трафік (GIVT) та просунутий недійсний трафік (SIVT). Відмінність між ними полягає в тому, що з базовим можна боротися вручну й ідентифікувати його через систему аналітики, а ось виявлення просунутого вимагає складнішої аналітики та залучення людини.

Базовий недійсний трафік (GIVT) можна поділити на кілька видів:

трафік центрів роботи з даними. Це будь-який трафік, IP-адреса походження якого — центр зі створення та обробки даних. Загроза такого трафіку полягає в тому, що якщо його пропустити, то за лічені секунди його частка може скласти 100 % від усіх показів;
боти і сканери. Не представляють людей, але в деяких випадках можуть виконувати корисні функції. Наприклад, сюди можна віднести різні трекінгові системи, аналітичні сервіси, системи для дебатів, рекламних банерів. Іноді для того, щоби зрозуміти, чи правильно налаштована кампанія, потрібно імітувати показ банерної реклами. Відповідно, такі імітації показують не реальним людям, а ботам;
підозріла поведінкова активність. За цією ознакою можна виявити шахрайський трафік. Якщо користувач оновлює сторінку через рівні проміжки часу, клікає на одну й ту ж точку на дисплеї, клікає й одразу йде із сайту, це може вказувати на спробу шахрайства;
non-browser user-agent. Юзер-агент — це, по суті, текстовий рядок, частина http-протоколу, в якому міститься інформація про браузер, тип пристрою, версію системи пристрою, мову. Якщо ця інформація не стандартна й у ній містяться дані про застарілі чи невідомі браузери, на це варто звернути увагу;
попередньо завантажений трафік (pre-rendered). Сучасні браузери можуть завантажити контент сторінки до того, як на неї зайде реальна людина. Але це попереднє завантаження може призвести до того, що його буде зараховане як показ, хоча це не завжди означає, що людина побачила рекламний банер.

Із просунутим недійсним трафіком (SIVT) боротися набагато складніше. Його важче виявити, він постійно вдосконалюється, а його обсяги постійно ростуть. У SIVT є такі види:

змішування людського та машинного трафіку. Якщо з одного пристрою йде і машинний трафік, і трафік, створений реальною людиною, виявити це складніше. Наприклад, якщо комп’ютер чи інший ґаджет вражений шкідливою програмою, вона у фоновому режимі може генерувати банерні покази. При цьому сам власник пристрою демонструватиме звичайну користувацьку поведінку в мережі. Системи аналітики будуть бачити, що, з одного боку, є підозріла активність, а з іншого боку — вагомих причин виділити це як фрод немає. Це один із типів фроду, який найскладніше виокремити;
незаконні боти та сканери. Сервери або машини, створені для накрутки трафіку; діють, як велика кількість користувачів для створення подій (переглядів реклами). Їхня мета — нажитися на показах, переписати собі конверсії, імітувати кліки тощо;
перехоплення пристроїв, сесій (high-jacking). У цьому виді шахрайства теж задіяне шкідливе програмне забезпечення. Користувач заходить на сайт, робить якісь дії, а шкідлива програма на його пристрої перехоплює унікальні ідентифікатори його сесії й підставляє свої ідентифікатори. Це працює так: людина заходить на сайт, скажімо, з автомобілями й робить запис на тест-драйв, але ця дія зараховується не як виконана цим користувачем, а тим, чиї ідентифікатори шкідливе ПЗ підставило;
недійсний проксі-трафік. По суті, проксі-сервер — це посередник між комп’ютером та веб-сервісом. Одне із завдань проксі-сервера полягає у шифруванні та забезпеченні анонімності. Всі шахраї намагаються досягнути максимальної анонімності, а через проксі-сервер вони можуть видавати фрод-трафік за справжній;
adware і malware. Підвиди шкідливого програмного забезпечення, які вражають комп’ютери та інші пристрої для генерування фейкових показів реклами під час їхньої роботи. Adware орієнтовані на показ реклами та завантаження рекламних матеріалів. Водночас Malware намагається перехопити контроль над пристроєм, збирає дані користувача, може самовільно встановити пароль на пристрій тощо;
маніпуляція з кількісними показниками. Цей вид фроду актуальний під час розпродажу (sold-out), коли паблішер розуміє, що в нього є трафіку на мільйон показів, а попит — на 2-3 мільйони. Наприклад, рекламна платформа може придбати рекламні місця на веб-сайті, а потім збільшити кількість відвідувачів на сайті, щоб забезпечити перепродаж рекламних місць із прибутком;
фальсифікація видимості показів. Показ рекламних повідомлень, які не відповідають стандартам видимого показу і помилково вважаються видимими. Рекламодавці, які хочуть отримати максимальну видимість своїх оголошень, іноді домовляються про такі умови, коли вони платять лише за цим параметром. Це стало ще одним поштовхом до шахрайства. Коли у звіті Viewability (факт реального перегляду реклами) більше 100 %, це наводить на думку, що щось тут не так і вас стараються обманути;
підміна домену / формату. Фейковий виклик реклами з підстановкою в лічильник рекламного сервера. Дає рекламному серверу помилкову інформацію про місце показу реклами. Наприклад, у звіті показується, що ви купили рекламу на сайті BBC, але покази були на іншому сайті. Така ж ситуація може бути із форматом: рекламодавець хотів купити покази в in-stream, але якщо подивитися перелік майданчиків, на яких були покази, можна знайти такі, в яких формату in-stream у принципі немає. Це означає, що відбулася підробка й підміна домену. Боротися з таким шахрайством систематично не можна. Тут ефективною буде лише ручна перевірка;
маніпуляції з геолокацією. Фальсифікація даних про місцезнаходження, коли справжнє місцезнаходження користувача не відповідає налаштованому геотаргетингу. Бувають ситуації, коли всі покупці хочуть таргетувати рекламу на конкретне місце. Наприклад, на елітний бізнес-центр чи на Ватикан, де місцевого населення мало й в основному там перебувають туристи. Такий трафік коштує дорожче. Шахраї передають свої IP-адреси, показуючи, що це адреси Ватикану чи геолокацію за GPS, показуючи, що це саме точка розташування бізнес-центру, хоча це не так;
невидимий, накладений, захований трафік. Рекламні оголошення можуть бути приховані за контентом сторінки, бути поза екраном або у крихітному розмірі 1х1 піксель, який є фактично невидимим. Якщо зайти на сайт, на якому було, скажімо, 10 тисяч рекламних показів, але банер на ньому відсутній, то можна запідозрити фрод. Якщо показники CTR (рейтинг кліків або клікабельність) та Viewability при цьому нульові, то це теж вказує на шахрайство.

«У період sold-out відсоток просунутого фроду зростає. Це каже про те, що з базовим трафіком більшість навчилися боротися, а з просунутим трафіком поки це не так ефективно», — коментує Віталій Сосновий, головний технічний менеджер проектів у Programmatic Media.

Як боротися із фродом у програматику

Перш за все важливо розуміти: показ реклами не завжди означає, що її побачила реальна людина. За допомогою технології Active View можна оцінювати видимість розміщення реклами, пояснює Олексій Лях, CEO Newage. За загальноприйнятими стандартами Active View вимірюється:

для банерів — 50 % у видимій зоні екрана більше 1 секунди,
для відео — 50 % у видимій зоні екрана більше 2 секунд.

Також є поняття CPM (абревіатура від англ. Cost-Per-Thousand — ціна за тисячу показів) — це рекламна модель, у якій ціна встановлюється за показ рекламного блоку одній тисячі відвідувачів. Її ми вже згадували в підпункті про фальсифікацію видимості показів.

Експерти під час лекції виділили три основні способи боротьби із фродом. Перший спосіб — підключити трекінгову систему. Їх доволі багато: Google Campaign Manager, Gemius Direct Effect, Cmeter, AdRiver, Moat, AdvertTrack, IAS, comScore, DoubleVerify тощо. Вони можуть не лише дати статистику щодо кількості показів та вирахувати відсоток фроду. Є системи, наприклад IAS і Moat, які можна інтегрувати в DSP чи AdServer і які під час аукціону за показ можуть вирішити, чи є цей показ фродом чи ні, й автоматично відфільтрувати його в разі потреби. Вони можуть не лише показувати відсоток фроду, але й безпосередньо на нього впливати.

Сам факт використання трекінгової системи змушує паблішерів задуматися про те, що ви можете контролювати трафік. Це зупиняє частину шахраїв.

Другий спосіб — вивчати й дотримуватися рекомендацій компаній, які досліджують питання шахрайства. Наприклад, IAB (Invalid Traffic Detection and Filtration Guidelines Addendum 2015), Google’s Ad Traffic Quality, TAG’s online resources (теги використовуються для збору та обміну даними між вашим веб-сайтом та іншими сервісами, наприклад, платформами аналітики чи маркетингу. Існують різноманітні ресурси, які можуть допомогти вести моніторинг за тегами, наприклад такий).

Третій — встановити внутрішні стандарти. Якщо обговорити з підрядниками перелік своїх вимог та параметрів від самого початку, це спростить переговори в разі виникнення спірної ситуації. Точно вкажіть на ті характеристики в рекламній кампанії, на які ви будете дивитися в першу чергу (Viewability, CTR тощо).

Ще кілька практичних порад

Трекінгові-системи мають свої антифрод-фільтри. Користуйтеся ними. Наприклад, у Gemius Direct Effect варто дивитися на такі параметри: відсоток cookies, які були створені в період показу реклами; відсоток показів без url; відсоток cookies, які не мають browser ID; співвідношення real users і охоплених cookies.

Якщо у вас були покази на, скажімо, сотні різних сайтів і показники одного сайту виділяються на тлі всіх інших, варто придивитися до нього уважніше. Не завжди це означає, що з цього сайту ви отримали підроблений трафік, але все ж його варто перевірити.

Аудитори gDE, Cmeter, Campaign Manager дають можливість формувати звіти за розподілом частоти. Приміром, багато показів одній і тій же кукі може говорити про накрутку показів. Кукі - це дані, які умовно зберігаються на стороні користувача й які браузер потім відправляє на сайт, якщо людина ще раз на нього зайшла. Кукі допомагає таким чином відстежувати поведінку користувача. Якщо по одному кукі фіксується підозріла активність, наприклад, користувач зайшов на сайт, одразу вийшов, і так підряд багато разів, то це може бути накруткою показів.

Звертати увагу варто й на старі браузери та їхнє співвідношення. Хоча частки різних браузерів від майданчика до майданчика можуть бути різним, але занадто сильна різниця може вказувати на фрод. Старі та маловідомі браузери більш чутливі до шахрайства з рекламою й відсоток недійсних рекламних показів може становити 70–80 %.

Варто особливо пильно відстежувати нічний трафік. Згідно з дослідженнями White Ops, найбільший відсоток фроду припадає саме на нічний час (23:00–05:00).

Складайте чорні та білі списки. Щоби чорні списки працювали ефективно, їх треба максимально часто оновлювати й чітко структуровати. Основне їхнє завдання — доповнювати інші способи захисту. Якщо ж є чіткі критерії контролю безпеки та перевірені підрядники, то краще використовувати білі списки.