Невидимая угроза: как фрод в мобильной рекламе лишает рекламодателей доходов

Исследование Fraudscore показало, что в 2024 году 41,7% мобильного рекламного трафика в России было мошенническим. Отчет АРИР подтверждает серьезность проблемы: 99% специалистов столкнулись с фродом в мобильной рекламе (в десктопной — 80%), при этом 34% рекламодателей продолжают оплачивать нецелевой трафик.

Несмотря на некоторую стабилизацию роста мошенничества, рынок пока далек от существенного снижения объемов фрода, а это грозит финансовыми потерями для рекламодателей. В этом материале делимся методологией выявления и противодействия фроду для оптимизации рекламных бюджетов:

• Как устроена мобильная реклама: основные каналы и риски

• Как анализировать мобильный фрод: ключевые метрики для разных типов

  • Кражи атрибуции

  • Ложные установки

  • Мотивированный трафик

  • Смешанный фрод

• Как MMP и Google Play борются с фродом

• Какие инструменты использовать против фрода

• Что делать участникам рынка, чтобы снизить влияние фрода

• Вместо итогов

Как устроена мобильная реклама: основные каналы и риски (OEM, DSP, Managed In-App)

Евгений Любимов руководитель направления по работе с мобильной рекламой E-Promo (часть E-Promo Group)

События 2022 года создали благоприятные условия для распространения фрода на российском рекламном рынке. Из-за сокращения каналов рекламодатели начали адаптироваться к новым реалиям и искать альтернативные каналы привлечения клиентов, чтобы сохранить или увеличить приток пользователей в приложения. Так менее проверенные источники трафика стали применяться чаще. Так, например, в 2023 году доля in-app рекламы возросла более чем на 30 п.п., но затем опустилась в 2024 году.

Согласно нашим данным и средней оценке коллег по рынку, данные по медиасплиту с 2022 по 2024 год выглядят так.

На графике представлены доли каналов продвижения в зависимости от года. В 2022 году игроки редко разделяли in-app на OEM/DSP/Managed in-app. С ростом доли инструментов эта сегментация прочно закрепилась на рынке.

Разница между работой через DSP или через Managed in-app заключается в прозрачности:

1. DSP обладают рекламным кабинетом, прозрачной структурой SSP паблишеров и закупку производят, как правило, по CPM.

2. Managed in-app работает полностью противоположно — это закрытые экосистемы, где вы не имеете представления, что происходит за рамками чата с вашим подрядчиком и сколько еще партнеров находится в цепочке.

В данном случае конечным участником цепи, зачастую, оказывается фроддер.

При работе с крупными источниками трафика (Яндекс Директ, VK Реклама) рекламодатели сталкиваются с ограничением емкости: снижением притока новых пользователей и ростом стоимости привлечения. Существует два основных подхода для решения проблемы:

1. Использовать Managed in-app, где приходится усиленно контролировать качество трафика.

2. Отказаться от Managed in-app рекламы и искать новые надежные источники трафика. Инвестировать в опосредованные активности (brandformance, ASO).

Если полный отказ от Managed in-app невозможен, мы рекомендуем следующие меры:

• внедрение антифрод-решений;

• регулярная сверка данных по CRM;

• ежедневный анализ трафика через дашборды;

• установка жестких и мягких KPI;

• лимитирование кликов и показов в день с одного партнера;

• создание черного списка недобросовестных партнеров;

• систематический корреляционный анализ органического и платного трафика.

Как анализировать мобильный фрод: ключевые метрики для разных типов

Фрод — это общий термин для обозначения мошенничества с трафиком, включающий обман, введение в заблуждение и жульнические действия с корыстной целью. Также к фроду относится и дизайн, вводящий пользователя в заблуждение и приводящий к клику по рекламе.

Для анализа фродового трафика используются две группы ключевых параметров:

1. Аппаратные метрики: оператор связи, модель и производитель устройства, IP-адрес, LAT (Limit Ad Tracking), география и пр.

2. Поведенческие метрики: конверсии на каждом этапе воронки, CTIT/ETIT (время от клика до установки/от установки до события), Retention Rate, assisted installs, uninstall rate.

Основные категории фрода — это кража атрибуции, ложные установки (ботовый трафик) и мотивированный трафик.

Кража атрибуции

К этому типу фрода относятся реальные пользователи, которые были некорректно отнесены к рекламному источнику, его принято делить на:

• click spam;

• view spam;

• click inject;

• click hijacking.

Click spam — это мошенничество, при котором с устройства потенциального пользователя посылается большое количество кликов. Это делается с целью, чтобы установка приложения была с источника, который интересен злоумышленнику, а не с того, с которого пользователь мог установить приложение сам. Мошенники получают доступ к устройству через вредоносное приложение.

Метрики для анализа:

• аномальное количество кликов в день;

• низкая конверсия из кликов в установку;

• высокая доля установок со CTIT (количество прошедшего времени с момента клика до установки мобильного приложения) — более пяти часов;

• просадка в органике с момента подключения конкретного партнера;

• Retention Rate (коэффициент удержания клиентов) имеет высокий уровень сходства с органическим;

• CR в события внутри приложения схожи с органикой и превосходят большинство проверенных платных источников;

• высокий показатель ассистов.

Метрики трафика c click spam.

View spam — создание фейковых просмотров рекламы без реального взаимодействия пользователей. Это аналог click spam с применением view-атрибуции.

Метрики для анализа:

• аномальное количество показов в день;

• просадка в органике с момента подключения конкретного партнера;

• Retention Rate схож с органическим;

• CR в события внутри приложения схожи с органикой;

• высокий показатель assisted installs;

• низкий View/Install Rate.

Метрики трафика c view spam.

Click inject — вид мошенничества, характерный только для Android, предполагающий кражу органической установки реального пользователя. В отличие от click spam/view spam механизм работает более точечно и старается генерировать мошеннический клик непосредственно перед установкой приложения.

Метрики для анализа:

• большая доля установок со CTIT меньше одной минуты;

• высокий показатель Assists;

• Retention Rate схожий с органикой;

• CR в события внутри приложения схожи с органикой;

• аппаратные метрики в норме;

• высокий CR в установку.

CTIT c click inject.

Click hijacking — мошенничество, при котором фейковый клик одного медиа-источника присваивает себе атрибуцию другого. Работает на похожей с click injection механике, но перехватывает не органику, а платный трафик с другого источника.

Метрики для анализа click hijacking:

• очень высокий показатель Assists;

• большая доля установок со CTIT меньше одной минуты.

Ложные установки

Другое название такого трафика — ботовый трафик. Это имитация пользователей и всех их действий. Ботовый трафик делится на SDK Spoofing, фермы устройств и эмуляторы.

SDK spoofing — это метод взлома шифрования, который генерирует фиктивные события. Создает полную иллюзию конверсии в нужные действия без реального участия пользователей.

Метрики для анализа:

• высокий процент расхождения данных с CRM;

• аномальный Retention rate d1;

• низкая доля «длинных» установок по CTIT;

• Uninstall rate стремится к нулю;

• ассисты стремятся к нулю;

• аномалии в аппаратной части;

• высокий Conversion Rate в установку, а также в целевое событие.

Два других типа ботового трафика — фермы устройств и эмуляторы, — идентичны по метрикам. Самый простой способ избежать данного вида фрода — подключить сверку по CRM.

Пример метрик в случае ботовой активности.

Мотивированный трафик

Это реклама с вознаграждением за определенные действия пользователя. Она включает в себя:

• offer wall: выплата небольшой суммы за выполненное задание, например, установка приложения;

• манипуляции с дизайном, приводящие к случайным кликам.

Метрики для анализа мотивированного трафика:

• высокий Uninstall Rate;

• низкий Retention Rate после первого дня;

• аппаратная часть без аномалий.

Отдельно выделим Rewarded формат — игровые стимулы за просмотр рекламы (дополнительные жизни, награды). Это также манипулирует пользователем, заставляет его посмотреть рекламу. Но четкой границы, разделяющей качественную и некачественную манипуляцию, здесь нет. Существуют вполне эффективные плейсменты такого рода, где достигается высокая результативность по ценным конверсиям. Решайте, использовать или нет такие форматы, в зависимости от оценки репутационных рисков.

Смешанный фрод

Нередко в один трекер подмешивается click spam и боты, цель которых — скрыть аномалии в метриках и затруднить идентификацию невалидного трафика.

Для определения смешанного фрода (click spam и боты) используйте метрики:

• низкая конверсия в события высокой ценности по CRM;

• маскировка под естественный Retention Rate;

• маскировка под естественный CTIT;

• конверсия в MMP события без аномалий, замена SDK события;

• низкий CR to install;

• высокая доля неизвестных аппаратных метрик.

Пример того, как выглядят метрики click spam + боты.

Еще один способ смешивания трафика — click inject + боты. Чтобы его определить, оценивайте эти метрики:

• конверсии в CRM событие значительно меньше среднего;

• маскировка под естественный Retention Rate;

• низкая доля «коротких» установок по CTIT;

• Install Rate и конверсия в MMP события выше среднего.

Пример того, как выглядят CTIT click inject + боты.

При анализе фрода источники часто дробятся на подуровни (например, Site ID), что маскирует истинный уровень мошенничества. Средний Fraud Rate в 3% может скрывать значительные колебания между подуровнями. Тщательно анализируйте и блокируйте любые попытки скрыть мошеннические действия.

Как MMP и Google Play борются с фродом

Для противодействия фроду в начале февраля Google Play внедрил обновление с предупреждениями на страницах подозрительных приложений. Примерные формулировки — такие:

1. «Это приложение чаще удаляют по сравнению с другими».

2. «Пользователи взаимодействуют с этим приложением реже, чем с другими приложениями».

3. «У этого приложения меньше пользователей по сравнению с другими».

Четыре основных MMP российского рынка (AppsFlyer, Adjust, MyTracker, AppMetrica) используют собственные методы работы с данными:

1. Атрибуция: с ее помощью определяется источник рекламного просмотра или клика на уровне идентификаторов устройств.

2. Сбор.

3. Агрегация.

Какие инструменты использовать против фрода

Есть ряд инструментов для борьбы с фродом:

• AppsFlyer: Protect 360

• Adjust: Fraud Prevention Suite

• FraudScore и AppMetrica

• MyTracker FraudScanner

AppsFlyer: Protect 360

AppsFlyer предлагает собственный продукт по идентификации и первичной блокировке фрода — Protect 360. Инструмент считается эталоном рынка. Для начинающих доступна бесплатная, но ограниченная версия Lite.

Блокировка трафика проходит по двум сценариям:

1. В реальном времени (заблокированные установки не отражаются в атрибуции).

2. В пост-атрибуции (выявляется в течение следующих семи дней после установки).

Типы фрода, которые различает Protect 360:

• махинации со сбросом DeviceID;

• перехват установок;

• перехват кликов;

• клик-флудинг;

• поведенческие аномалии;

• блокировка по списку запрещенных IP;

• проблемы аутентификации через SDK.

Кроме внутренних алгоритмов обработки данных, пользователи могут настроить правила проверки, с помощью которых задаются условия, фильтрующие установки приложения и внутренние события.

Adjust: Fraud Prevention Suite

Решение Adjust имеет существенный недостаток — отсутствие анализа пост-атрибуции (все блокировки происходят только в реальном времени). Также оно не отличается большой точностью, и его часто обходят смешиванием типов фрода.

Adjust борется со следующими анонимными IP-адресами:

1. Защита от VPN, выходных узлов Tor и центров обработки данных.

2. Выявление ферм устройств и эмуляторов.

3. Фильтрация по базе анонимных IP-адресов MaxMind.

Для борьбы с клик-спамом используется:

• исключение гипервовлечения (частых кликов с повторяющимися интервалами);

• анализ аномального распределения времени от клика до установки (CTIT);

• блокировка мошеннических ссылок через API черного списка.

Adjust также предотвращает внедренные клики, использует временные отметки, чтобы противодействовать отправке фальшивых кликов.

FraudScore и AppMetrica

FraudScore является партнером Яндекса с интеграцией в AppMetrica, а также standalone версией. Система анализирует трафик более чем по 150 метрикам и включает 33 расширенные причины мошенничества, среди которых:

• ненормальное распределение устройств в трафике;

• дублирующиеся IP-адреса;

• использование эмуляторов устройств.

Каждая метрика имеет свой вес, формирующий общий рейтинг конверсии. По итогам анализа система выдает оценку: OK, low, middle или high. Анализ проводится в несколько этапов:

1. Основные метрики: первые 10–15 минут после установки.

2. Общие паттерны источника: в течение четырех дней.

3. Поведенческие метрики пользователя: на протяжении 30 дней.

MyTracker FraudScanner

В собственной разработке MyTracker, аналогично P360, существует два сценария:

1. Real-time мониторинг фрода.

2. Пост-атрибуционный мониторинг фрода — в течение первых трех дней после установки приложения Fraud Scanner собирает новые данные о поведении пользователей и определяет показатели фрода по каждой установке.

А также используется три уровня проверки:

1. Аппаратный.

2. Атрибуционный (кликовый).

3. Поведенческий.

Что делать участникам рынка, чтобы снизить влияние фрода

Дмитрий Исаков CEO FraudScore

Сегодня защита от фрода — это не просто установка некоего «фильтра», а комплексная стратегия. Мы всегда рекомендуем подходить к вопросу многоуровнево:

• использовать надежные антифрод-решения с поведенческой аналитикой;

• работать только с проверенными партнерами;

• регулярно мониторить ключевые метрики;

• внимательно следить за post-install активностью.

В in-app сегменте это особенно важно: за два года уровень мобильного фрода вырос с 32% до 41%, всё чаще имитируя качественный трафик, что без глубокой аналитики выявить практически невозможно.

Для профилактики фрода мы рекомендуем следующее.

Вместо итогов

Рынок мобильной рекламы меняется, поэтому важно учитывать ряд моментов:

1. Ориентация на проверенные рекламные каналы. В 2022–2023 годах Managed in-app (размещение рекламы внутри большого количества приложений) считался стандартным подходом. К 2024 году рекламодатели начали переориентироваться на проверенные платформы (VK Реклама, Яндекс Директ, OEM, DSP). Это усложнило реализацию медиапланов, где стоимость привлечения пользователей была изначально низкая.

2. Разделение форматов DSP in-app и Managed in-app. На фоне растущей популярности второго активно публиковались материалы с формулировками: «За in-app настоящее и будущее». Однако текущая ситуация требует разделения форматов и бюджетов между каналами DSP in-app и Мanaged in-app.

Перед рекламодателями сегодня остро стоит задача — пересмотреть стратегию размещения в пользу источников с минимальным уровнем фрода. Вероятно, ключевыми участниками рынка станут рекламные агентства, у которых есть собственные технологические решения для противодействия фроду.