Czym są Digital Ad Fraud w reklamie online i jak je zidentyfikować?
Autor: Krzysztof Dumbal, Programmatic & Digital Investment Director, Havas Media Group
„Ad Fraud”, to oszustwo reklamowe. To emisja reklamy, która z założenia nie przynosi reklamodawcy żadnej wartości dodanej i ma jeden, główny cel – wyłudzenie budżetu reklamowego.
Fraudy są obecne w reklamie cyfrowej od lat 90 i wraz z rozwojem technologii stają się coraz bardziej zaawansowane. Mogą być dokonywane zarówno ręcznie, jak i automatycznie. Automatyzacja wyłudzeń polega na wykorzystaniu botów, czyli technologii zaprogramowanej tak, aby wykonać określoną akcję. Np. „wyszukaj element o rozmiarze 300×250 i wykonaj kliknięcie” lub „wypełnij formularz online określonym ciągiem znaków”.
W roku 2014 Mercedes padł ofiarą oszustwa, w którym aż 57% jednej z kampanii zostało wyemitowane do botów. W 2016 roku firma White Ops, zajmująca się ochroną reklamowej przestrzeni cyfrowej odkryła wyłudzenia z wykorzystaniem „MethBot”. Były to boty imitujące zachowania użytkowników – oglądały, a nawet klikały w reklamowe materiały video. Estymuje się, że „MethBot” zarabiał od 3 do 5 milionów USD dziennie. W 2017 roku AdForm wykrył podobne oszustwo polegające na wyłudzeniach w oparciu o „domain spoofing” nazwany „HyphBot”. W 2018 roku Google i White Ops we współpracy z FBI zdemaskowali największe dotychczas oszustwo reklamowe w historii. System powiązanych podmiotów „3ve” wyłudził od reklamodawców ponad 29 milionów dolarów. Oszustwa z wykorzystaniem botów można wykryć zwracając uwagę na anomalie w postaci nienaturalnie wysokich współczynników, czy powtarzające się schematy. Przykładowo, boty będą wykonywały kliknięcie w jednym, określonym miejscu formatu reklamowego (np. prawy górny róg), podczas gdy użytkownicy będą wykonywać kliknięcia losowo.
Najczęstsze i najbardziej spektakularne rodzaje oszustw reklamowych:
- Domain spoofing
Oszustwa związane z „Domain Spoofing” są dosyć zaawansowane i jednocześnie trudne do wykrycia. „Spoofing” w bezpośrednim tłumaczeniu to naciąganie lub podszywanie się. Polega on na podszywaniu się fikcyjnych witryn pod domeny wydawców premium.
Pierwszy rodzaj „Domain Spoofing” polega na przypadkowym zainstalowaniu szkodliwego oprogramowania na komputerach użytkowników. Oprogramowanie aplikuje reklamy na strony internetowe, które w danym momencie przegląda użytkownik. Oszust oferuje na licytacji przestrzeń reklamową strony wyglądającej jak witryna premium podmieniając w bid request deklarowany adres witryny. Oferowane na giełdach reklamowych (Ad Exchange) ceny są konkurencyjne i wyglądają na super ofertę. Finalnie jednak budżety trafiają do oszustów, omijając prawdziwego wydawcę.
Druga odmiana „Domain Spoofing” polega na modyfikacji kodów w tagach identyfikujących domenę przeglądaną przez użytkownika. Oszuści usuwają kod znacznika i zastępują go swoim kodem, który umożliwia podszywanie się pod dowolną wybraną witrynę premium.
IAB walcząc z tym procederem wprowadziło standardy – „Ads txt” i Ads.cert (przy protokole RTB 3.0), który ma na celu ograniczenie takich wyłudzeń. Na rynku programatycznym ciągle funkcjonują giełdy reklamowe (Ad Exchange) dopuszczające wydawców, niemających wdrożonego standardu „Ads txt” oraz Ads.cert.
- Wstrzykiwanie reklam
Sprawcy takich oszustw oferują użytkownikom „dodatkowy plugin”. Zwykle jest to pasek narzędzi przeglądarki lub jej rozszerzenie. W pasku narzędzi lub w rozszerzeniu znajduje się jednak oprogramowanie, które wrzuca własne reklamy na niczego niepodejrzewające witryny. Reklamy nie przynoszą dochodu samej witrynie, lecz twórcy oprogramowania. Taki proceder powoduje, że strony wczytują się zdecydowanie wolniej, a reklamy potencjalnie mogą zaszkodzić zarówno reputacji reklamodawcy, jak i wydawcy.
„Malware” działa w podobny sposób jak boty, tylko że w tym przypadku złośliwe oprogramowanie otwiera okno „pop-under”, widoczne dla użytkownika tak długo, dopóki użytkownik go nie zamknie. Oczywiście złośliwe oprogramowanie działa w tle, bez wiedzy użytkownika.W większości reklamy są dobrze ukryte, a głośność dźwięku video jest automatycznie zmniejszona do zera. Aby nie wzbudzać podejrzeń, reszta dźwięków komputera dla innych programów pozostaje bez zmian. Nawet po tym, jak użytkownicy restartują swoje komputery, adware może automatycznie odtwarzać reklamy, nawet jeśli użytkownik nie otworzył ponownie witryny czy aplikacji.
- CMS
W tym przypadku oszuści włamują się do systemu zarządzania treścią konkretnego wydawcy (CMS np. WordPress, Joomla etc.) i tworzą na ich bazie własne strony. Następnie umieszczają te strony na giełdach reklamowych (Ad Exchange) z kodem definiującym wydawcę premium. Reklamodawca kupując taką powierzchnię płaci oszustom, zamiast wybranemu przez siebie wydawcy.
- Zewnętrzny ruch
Czasami wydawcy nieuczciwie generują większy ruch na swoich witrynach. Najczęściej tak się dzieje w celu osiągnięcia określonej liczby wyświetleń reklam lub w celu zwiększenia zasięgów strony. Aby zrealizować zlecenie, wydawcy kupują ruch z witryn, które uważają za podobne do swoich. Ryzyko polega na tym, że witryny innych podmiotów mogą być obarczone wysokim odsetkiem fraudów – zazwyczaj generowanych poprzez boty lub emitować reklamę do zupełnie innej niż założono grupy celowej.
- Ukryte odsłony
Ten sposób dokonywania “fraudów” polega na umieszczeniu wielu małych slotów reklamowych, zazwyczaj o wielkości 1×1 px, na jednej stronie internetowej i wyświetlaniu reklam w niewidocznych dla użytkownika przestrzeniach. Inna opcja, to układanie wielu warstw reklam (jedna na drugiej), z której tylko jedna reklama jest widoczna. Pozostałe są ukryte przed uwagą użytkownika.
- Fałszywe strony
Oszuści tworzą witryny, na których znajdują się tylko sloty reklamowe. Takie witryny nie zawierają żadnej treści, a więc nie są intencjonalnie odwiedzane przez użytkowników. Odsłony takich stron, a co za tym idzie pojawiających się na nich reklam, są generowane przez boty lub sztucznie czy przypadkowo przekierowanych użytkowników. Jedna odsłona strony będzie równała się kilkudziesięciu odsłonom różnych kreacji, często tego samego reklamodawcy. Takie pojedyncze strony, zazwyczaj nie generują dużego ruchu (aby uniknąć wzbudzania podejrzeń), ale oszustwo polega na tworzeniu sieci wielu fałszywych witryn sprzedawanych jednocześnie na różnych giełdach reklamowych (Ad Exchange), co może generować już spore kwoty.
- Słowa Kluczowe
Targetując reklamy online można wykorzystywać słowa kluczowe. Oszuści wybierają najdroższe i najbardziej popularne słowa kluczowe. Następnie tworzą własne witryny internetowe i wypełniają je treścią z uwzględnieniem tych słów kluczowych tzw. „keyword stuffing”. Cały proces jest zautomatyzowany, przez co strony są generowane w bardzo szybkim tempie. Marketerzy wybierając konkretne słowa kluczowe, kupują przestrzeń reklamową na fałszywych stronach, a boty oszustów dodatkowo klikają w reklamy starając się nie wzbudzać podejrzeń.
- Dane do remarketingu
Boty mogą być zaprogramowane tak, aby naśladowały różne typy użytkowników (np. użytkowników pracujących w konkretnej branży czy aktywnie poszukujących konkretnego produktu). Bot odwiedza odpowiednie strony internetowe i zachowuje się tak, jak użytkownik. Spędza czas na artykułach, klika w linki, powraca na konkretne strony, ale nie dokonuje akcji np. zakupu. Takie działania tworzą potencjalnie bardzo wartościowe pliki cookie. Gdy na takich „użytkowników” uruchamiana jest kampania remarketingowa, marketer ma nadzieję, że uda się domknąć sprzedaż, do czego jednak nie dochodzi, bo po drugiej stronie znajdują się boty. Niemniej jednak, firma sprzedająca dane w postaci fałszywych „cookies” realizuje zyski.
- CPL/CPA/CPD
Poza oszustwami, w których formularze są wypełniane ręcznie przypadkowymi danymi lub osoby wypełniające formularz są zachęcane „nagrodą” za wypełnienie, oszuści coraz częściej wykorzystują boty. Formularze mogą być na masową skalę wypełniane określonym ciągiem znaków. Boty mogą także wykonywać bardziej zaawansowane akcję – np. zainstaluj i otwórz aplikację.
- Cookie Stuffing (lub inaczej Cookie Dropping)
Sieci afiliacyjne rekrutują wydawców, którzy za pośrednictwem użytkowników swoich serwisów doprowadzą do pożądanej akcji. Może to być już wspomniane wypełnienie formularza ściągnięcia aplikacji czy dokonanie sprzedaży. Proceder cookie stuffing polega na sztucznym upychaniu plików cookie w przeglądarkach użytkowników. Nowe pliki zastępują wszystkie inne cookies w przeglądarce danego komputera i jeśli dany użytkownik dokona zakupu, oszust zgłasza się po prowizję, której nie wypracował. Ostatnio taki przypadek na rynku polskim został wykryty w październiku 2018.
Opisane powyżej przykłady fraudów internetowych dotykają tylko część najpopularniejszych dzisiaj sposobów na nieuczciwe generowanie zysków przez „fraudsterów”.
Co można zrobić, żeby ustrzec się przed problemami?
Przede wszystkim należy skupić się na analizie danych i monitoringu wyników kampanii. Czujność powinno wzbudzić to, jeśli w raportach pojawiają się anomalie, współczynniki mediowe są „zbyt” optymistyczne czy zauważone zostaną pewne schematy (np. odnoszące się do głębokości wizyty czy bounce rate). Warto wtedy sprawdzić skąd pochodzi podejrzany ruch, jak rozkłada się w czasie, które formaty są najbardziej „klikalne” i co dzieje się z przekierowanym ruchem na stronach www.
Bardzo ważna jest współpraca z zaufanymi partnerami, którzy dbają, by podczas prowadzenia kampanii reklamowych wykorzystywać sprawdzone Ad Exchange i kupować wyselekcjonowaną powierzchnię reklamową. Uważne sprawdzanie kupowanej powierzchni, oraz skracanie łańcucha dostawców powierzchni reklamowej, powinno być podstawą pracy dobrych Trading Desków.
Standardy wprowadzane przez IAB (ads.txt, ads.cert) powinny być bezwzględnie przestrzegane. Warto także zwrócić uwagę czy podmioty z którymi współpracujemy mają podpisany Kodeks Dobrych Praktyk Reklamy Programmatic.
Dobrą praktyką dla Trading Desków jest także tworzenie i bieżące uzupełnianie „black lists” oraz bliska współpraca Traderów, Analityków czy Traffic. Należy także zwrócić uwagę na sposób kodowania posiadanych stron www oraz setów kreacji, co pozwoli na właściwe wnioskowanie i wykrywanie potencjalnych anomalii. Dobrą praktyką jest także wykorzystywanie dostępnej technologii, która wykorzystuje zestaw algorytmów wykrywających potencjalne fraudy. Możemy wykorzystywać technologię wbudowaną w systemy DSP lub korzystać z rozwiązań tzw. 3rd party providers (np.MOAT, IAS, Comscore, Meetrics czy DoubleVerify).