Антифрод — урок третий: красные флаги, которые показывают на мошенников

Группа фрода

Что это

Красные флаги

О чем это говорит

Атрибуционный фрод

Фрод, который связан с техническими уязвимостями мобильной атрибуции.

Чаще всего источник такого фрода — мошенническое приложение, которое установлено на вашем устройстве (фонарик, VPN, утилита для очистки памяти и пр.)

Низкий CR из кликов в установку

Много кликов, мало установок. Вероятен массированный склик

Аномально длинный CTIT (время от клика до установки)

Отложенные установки → подозрение на перехват органики

Аномально короткий CTIT

Инъекция клика сразу после начала установки

Кластеры идентичных CTIT по пользователям

Автоматизация, повторяющиеся задержки → скрипт

Много кликов с одного GAID/IP

Подозрение на ботнет или эмулятор

Резко высокая доля late installs

Перехват трафика без вовлечения

Ret D1 = 0% у «привлеченных» пользователей

Установка не была мотивированной, трафик фальшивый

Одинаковый юзер-флоу на множестве GAID

Скриптовое поведение, шаблонный сценарий

Фрод по событиям (event-based fraud)

Фрод, который основан на различных способах подделки установок и конверсий

Ивенты с высокой ценой (purchase/subscription) без подтвержденной оплаты

Мошенники симулируют дорогие действия

События идут равномерно каждые Х сек/мин

Автоматизированный запуск скрипта

Высокий CR до события, но нулевой LTV

События были поддельные, выручки нет

Нет поведения «живого пользователя» вокруг ивента

Отсутствуют пред/пост-действия, flow неестественный

Один и тот же GAID генерирует ивенты в разных странах

Proxy/VPN или фальшивое устройство

Ивенты не связаны с конкретными источниками install

Устройство неизвестно → возможно прямое серверное вмешательство

Фродовый трафик с поведенческими паттернами

Трафик, который имитирует поведение реальных пользователей, чтобы обмануть системы аналитики, антифрод-защиты и рекламные платформы

D1/D3-retention < 1%

Юзер не возвращается после запуска

ARPU равен нулю при высоком CR

Фрод имитирует полезное действие

ROMI падает при постоянном install-росте

Фрод забирает бюджет без выручки

Слишком много новых девайсов

Генерация GAID/IDFA

Одинаковый юзер-флоу на множестве GAID

Скриптовый или шаблонный бот-флоу

СТІТ одинаковый до миллисекунд

Симулированная установка из одного скрипта

User-agent/Device info повторяются

Работа с эмулятора или headless

Много GAID с одного IP за короткое время

Ферма/автоскрипт

GAID в нескольких кампаниях сразу

Повторное использование

Ротация GAID/IP каждый день

Симуляция новых пользователей

Несовпадение IP и GPS города

Geo spoofing

Группа фрода

Что это

Красные флаги

Контекст на бренд

Конкуренты или веб-мастера используют брендовые ключевые слова для своих рекламных кампаний в поисковиках, когда это запрещено правилами партнерской программы

Органика упала, но общие показатели по трафику не выросли

Цена на контекстную рекламу по бренду выросла

Метрики партнера совпадают с вашей контекстной рекламой

Технические аномалии в статистике

Кукистафинг

Подмена cookie пользователя на партнерские без фактического перехода по партнерской ссылке

Трафик только с десктопа или из определенного браузера

Высокая доля iframe или «неопределенных» размеров окна

Количество кликов кратно количеству пользователей

Нетипичное поведение пользователя

Включение и отключение трафика «по щелчку»

Слишком средние метрики

Фрод-скрипт

Программный код, который злоумышленник встраивает в сайт рекламодателя

Трафик партнера повторяет распределение всего трафика на сайте

Трафик включается и выключается «по щелчку»

Нетипичное поведение пользователя

Трафик пропадает из отчета при использовании какого-то из типов атрибуции

100% iframe

Все пользователи старые или все новые

Источник «Внутренний переход» в партнерском трафике

Визиты и показы есть, а переходов нет

Расхождения с системами аналитики

Боты

Автоматизированный код, который имитирует действия реальных пользователей

Высокая роботность в Яндекс Метрике

Аномальная активность в отчетах

Географические аномалии

Аномалии по техническим отчетам

Соцдем не определен

Мотивированный трафик

Неорганический трафик от пользователей, цель которых не связана с интересом к продукту или услуге

Красные флаги, которые характерны ботам

Околонулевой ретеншен

Обвинения в обмане и спаме

Много возвратов и отказов

Кликандер

Частный случай попандера, когда рекламное окно открывается при любом клике посетителя на веб-странице

Слишком высокий процент отказов

Скачки размера браузера в сессии пользователей

Источник трафика — сайт-однодневка

Mixed fraud

Применение различных видов мошенничества, используются действия реальных пользователей

Клики и конверсии пришли после того, как все показы открутились

Чужой ID кампании в Яндекс Метрике

Трафик — один в один контекстный трафик клиента

Показы из Москвы, а клики из регионов

Трафик точно попадает в КРІ, который прописан в договоре