Guía antifraude de Protect360

At a glance: Attribution related fraud is a significant challenge in the app industry. Fraud drains marketing budgets, pollutes marketing performance data, and can turn successful campaigns into losing ones. Protect360 provides app owners with real-time fraud protection and post-attribution detection.

protect360_types_2.png

Protect360: Overview | Dashboards | Raw data | Validation rules

Lectura relacionadas:  Guía introductoria para marketers sobre el fraude publicitario móvil.

Descripción general de Protect360

Protect360:

  • Protege contra el fraude de atribución. Consiste en herramientas dinámicas capaces de detectar fraudes y bloquear la atribución fraudulenta.
  • utiliza la escala de AppsFlyer, el aprendizaje de máquina y el análisis de comportamiento, para proporcionar cobertura contra formas conocidas y nuevas de fraude por clics/instalaciones fraudulentas, incluidos bots y anomalías de comportamiento.
  • Protege a los marketers del fraude a nivel dispositivo, publisher y fuentes de medios.
  • Utiliza un enfoque por capas de bloqueo de fraude en tiempo real e identificación del fraude posterior a la atribución.
  • No afecta a la experiencia del usuario de la aplicación. En caso de intentos de fraude que involucren a usuarios reales, las instalaciones de la aplicación se completan normalmente y solo se ve afectado el registro de atribución.

Bloqueo en tiempo real

  • En tiempo real, antes de la atribución, la instalación se identifica como procedente de una fuente de medios fraudulenta y se bloquea su atribución.
  • Los eventos in-app posteriores, del mismo usuario, se bloquean. 
  • Lo siguiente ocurre con las instalaciones bloqueadas y los eventos in-app, tanto orgánicos como no orgánicos:
    • Se reportan en el panel de control de Protect360 y en los reportes de fraude bloqueado.
    • Estos eventos no están incluidos en la atribución y los paneles de control de AppsFlyer porque nunca se atribuyeron. 
  • Los postbacks de instalaciones bloqueadas se envían a fuentes de medios, con la razón del bloqueo, lo cual permite optimizarlos. 

Sobre los eventos bloqueados

Detección posterior a la atribución

  • El fraude detectado después de la atribución se denomina fraude posterior a la atribución. 
  • Una vez atribuida, una instalación no puede eliminarse. Por esta razón, el fraude posterior a la atribución se maneja de manera diferente al fraude en tiempo real.
  • Las instalaciones fraudulentas y los eventos in-app identificados en retrospectiva deben tratarse como fraude real y no se debe cobrar por ellos.

Una vez que una fuente, como una red de publicidad o un ID de sitio, se identifica como fraudulenta:

  • Se bloquean los futuros clics provenientes de la fuente.
  • Instalaciones anteriores:
    • Desde el inicio del mes calendario actual hasta el presente, se etiquetan como instancias de fraude posterior a la atribución, pero no se borran de los datos. A partir de enero de 2020, las facturas de los anunciantes se acreditan por las tarifas de atribución de estas instalaciones.
    • Desde antes del inicio del mes en curso, no se cambian.
  • Eventos in-app que ocurren:
    • Hasta el etiquetado de la instalación: se etiqueta como fraude.
    • Después del etiquetado de la instalación: se etiqueta como fraude.

Ejemplos de fraude posterior a la atribución:

  • Instalaciones en apariencia regulares seguidas de señales fraudulentas dentro de eventos in-app
  • Se ha descubierto una nueva forma de fraude
  • Instalaciones que resultan ser fraudulentas solo después de que los algoritmos de detección de anomalías recopilan suficientes datos estadísticos acerca de las instalaciones de cualquier publisher

Problemas y soluciones habituales del fraude

Cuando AppsFlyer identifica el fraude, se bloquea elevento de atribución asociado con el fraude. Esto elimina las ganancias y la motivación de los defraudadores. Nota: La instalación de la aplicación aún se lleva a cabo y no se bloquea. Esto significa que el usuario de la aplicación puede usar la aplicación y generar ingresos para el anunciante. 

Blocked fraud clicks, installs, and in-app events are found in Protect360 fraud raw data reports.

En la tabla a continuación, se describen algunos tipos de fraude y cómo los maneja Protect360.

Tipo de fraude  Descripción Solución de AppsFlyer

Fraude por reinicio de ID de dispositivos

El defraudador reinicia constantemente el ID de dispositivo en el mismo dispositivo físico, para generar una gran cantidad de instalaciones.

La base de datos de dispositivos móviles de AppsFlyer es la mayor de su clase en todo el mundo, ya que abarca más del 98 % de todos los smartphones conocidos del planeta. Con esta base de datos, AppsFlyer puede identificar las tasas anormales de dispositivos nuevos y, por lo tanto, agregar a la lista de denegación a las fuentes que los proporcionen.

Secuestro de instalaciones

Los defraudadores colocan malware en dispositivos móviles que alerta cuando se produce una descarga de una aplicación. Al instante, se envía un clic a AppsFlyer para reclamar el crédito por la instalación.

Bloquea los clics atribuidos con un CTIT (tiempo del clic a la instalación) muy rápido y según la API del lado del servidor de Google Play.

Secuestro de clics

El malware identifica un clic de enlace de rastreo de instalación y al instante envía otro clic que le da crédito si se atribuye.

Bloquea los clics atribuidos que suceden con mucha rapidez después de otros clics de la misma aplicación en el mismo dispositivo.

Inundación de clics

Fraude móvil que consiste en el envío de grandes cantidades de clics con el objetivo de lograr el último clic antes de la instalación.

Bloquea los clics atribuidos de ID de sitios con una tasa de conversión baja y un CTIT largo.

Anomalías de comportamiento

Fraude móvil que consiste en la generación de actividad incoherente y anormal posterior a la instalación por parte del defraudador.

Nuestra escala única nos permite rastrear y entender los patrones de comportamiento en cuanto a la captación (engagement) en varios niveles, como ser por aplicación, región, fuente de medios y anunciante. Los patrones de comportamiento que no son humanos se identifican casi en tiempo real y se bloquean en la fuente.

Listas de denegación de IP

Por lo general, los defraudadores operan desde granjas de clics, que pueden identificarse mediante sus direcciones IP durante períodos prolongados.

  • AppsFlyer elabora a diario listas de negación con direcciones IP sospechosas de fraude, a partir de los datos actualizados recibidos de un proveedor externo a nivel mundial, Digital Element.
  • La protección mediante listas de denegación de IP está activada para todas las aplicaciones.

Autenticación de SDK

Los defraudadores envían mensajes falsos de SDK para simular acciones valiosas de usuarios.

  • Se utiliza un protocolo de hashing propio para cifrar los mensajes entre los SDK y los servicios web, evitando que los estafadores imiten los mensajes.
  • La protección de la autenticación del SDK está activada para todas las aplicaciones.

Validaciones de la tienda

Los defraudadores envían mensajes falsos de SDK para simular instalaciones o compras in-app a fin de reclamar cargos elevados de costo por acción (CPA). Validaciones de Apple Store.

Habilita la validación de instalaciones en iTunes y la validación de compras in-app, tanto para iTunes como para Google Play, en relación con cualquier instalación o compra in-app que haya tenido lugar para impedir la atribución de actividades fraudulentas.

Nota: Los valores exactos de tiempo mencionados anteriormente no se revelan para proteger a nuestros clientes.

Additional blocking reasons are explained in the raw data tab.

The table below outlines the various types of fraudulent installs and in-app events, and what happens when the Protect360 engine blocks them in real-time, or detects them post-attribution.

Protect360 fraud detection and outcomes
Tipo de fraude Detection time What happens to install What happens to in-app event
Fake install Tiempo real Blocked in real-time Blocked in real-time
Después de la atribución Marked in the post-attribution report
  • Before detection: marked in the post-in-app report
  • After detection: blocked in real-time
Install attribution hijacking Tiempo real
  • Blocked in real-time
  • Attribution is corrected to the last valid source
  • Appear in the blocked events report
  • Attributed to the same valid source as the install
Después de la atribución Marked in the post-attribution report
  • Before detection: marked in the post-in-app report
  • After detection: marked in the post-in-app report (until 30 days after fraud detection)
Fake IAE Tiempo real - Blocked in real-time
Después de la atribución - Marked in the post-in-app report

Uso de Protect360

Panel de control

The Protect360 dashboard displays aggregate fraud data and providing insights relating to fraudulent traffic.

Vistas del panel de control: 

Instalaciones: Insights de instalaciones fraudulentas, bloqueadas en tiempo real e identificadas posteriormente a la atribución.  Puedes bajar de nivel para examinar más a fondo los eventos de fraude utilizando las opciones de filtrado y agrupación.

Anomalías: Información sobre fuentes de medios que tienen instalaciones con valores del tiempo del clic a la instalación (CTIT) anormales, cuando se comparan con otras fuentes confiables.

  • Haz una referencia cruzada de las instalaciones sospechosas con tu raw data de instalación y busca signos sospechosos, como números de versión de aplicaciones extraños, versiones antiguas del sistema operativo, ubicaciones distintivas, etc. 
  • Usa Reglas de validación para bloquear instalaciones con valores CTIT cortos. Protect360 bloquea automáticamente las instalaciones con valores CTIT muy bajos.

Raw Data

Raw data about fraud is available via Pull API, Data Locker, and Export Data.

Los reportes de raw data se dividen de la siguiente manera:

  • Reportes bloqueados: instalaciones, clics y eventos in-app de usuarios cuya atribución se bloqueó y no se atribuyó a ninguna fuente de medios. 
  • Reportes posteriores a la atribución:
    • Instalaciones atribuidas a una fuente de medios, pero que posteriormente se descubrió que eran fraudulentas. 
    • Eventos in-app:
      • de las instalaciones identificadas como fraude después de ser atribuidas a una fuentes de medios.
      • juzgados como fraudulentos sin tener en cuenta la propia instalación.
  • Los anunciantes utilizan estos reportes para conciliar las cuentas de la red de publicidad, para la optimización y para ajustar los paneles de control de atribución para el fraude posterior a la atribución.  

Reglas de validación

Las reglas para la validación de objetivos de targeting y la detección personalizada de fraude (Protect360) permiten a los propietarios de aplicaciones asegurarse de que las instalaciones se atribuyan a la fuente de medios válida más reciente.  Si no hay una fuente de medios válida, la instalación se atribuye como orgánica. 

Las reglas para la validación de targeting de la campaña controlan los resultados de esta. Las instalaciones que no cumplen con los objetivos de la campaña son inválidas y se atribuyen como instalaciones orgánicas. 

Las reglas de fraude personalizadas de Protect360 mejoran la capacidad de detectar el fraude. Protect360 se utiliza para bloquear las atribuciones de las instalaciones fraudulentas y corregir la atribución de las instalaciones secuestradas. 

Conciliación del fraude con las redes de publicidad

Con Protect360, los anunciantes obtienen el raw data necesario para conciliar las instalaciones fraudulentas y los eventos in-app con las redes de publicidad que pueden no haber registrado un fraude.

Para conciliar las campañas basadas en el costo por instalación (CPI) mediante Protect360:

  • Al comienzo de cada mes, comunícate con el gerente de cuenta de cada red de publicidad en la que se haya producido fraude.
  • Recopila el raw data relevante de instalaciones fraudulentas a partir de los reportes de instalaciones bloqueadas e instalaciones posteriores a la atribución.
  • Comparte el raw data sobre fraude con la red para conciliar y optimizar su tráfico.
  • Es posible crear un reporte de raw data que incluya solo las instalaciones válidas, pero excluya las instalaciones fraudulentas posteriores a la atribución. Para hacer esto, debes descargar el reporte mensual instalaciones de la UA atribuidas y excluir todas las entradas del reporte instalaciones posteriores a la atribución.

Para conciliar las campañas basadas en costo por acción (CPA)/CPE utilizando Protect360:

  • Al comienzo de cada mes, comunícate con el gerente de cuenta de cada red de publicidad en la que se haya producido fraude.
  • Recopila el raw data relevante de los eventos in-app fraudulentos a partir de los reportes de eventos in-app bloqueados y eventos in-app posteriores a la atribución.
  • Comparte el raw data sobre fraude con la red para conciliar y optimizar su tráfico.
  • Es posible crear un reporte de raw data que incluya solo eventos in-app válidos, pero excluya los eventos fraudulentos posteriores a la atribución. Para hacer esto, debes descargar el reporte mensualeventos in-app de la UA atribuidos y excluir todas las entradas del reporte de eventos in-app posteriores a la atribución.

Rasgos y limitaciones

Rasgos y limitaciones

Rasgos y limitaciones
Característica Observaciones 
Acceso para anunciantes Todos los miembros del equipo.
Acceso a la red de publicidad
Acceso de agencias
  • Requiere el permiso del anunciante. Una vez otorgado, las agencias pueden ver el panel de control de Protect360 y descargar raw data posterior a la atribución.
Transparencia de Agencias  
Zona horaria específica de la aplicación
  • La zona horaria específica de la aplicación se usa en el panel de control siempre que todas las aplicaciones estén configuradas en la misma zona horaria.
  • Si las aplicaciones no están configuradas en la misma zona horaria, entonces el panel de control establece UTC de forma predeterminada.
Actualización de los datos
  • Panel de control de Protect360: se actualiza a diario.
    El tiempo de actualización más reciente se muestra debajo del filtro de rango de fechas en el panel de control.
  • Reportes:
    • Instalaciones bloqueadas y eventos in-app: actualizar continuamente en casi tiempo real.
    • Posterior a la atribución: a diario usando UTC. 
Limitaciones
  • Tablas limitadas a un máximo de 20 000 filas.
  • Si haces una consulta con respecto a un conjunto de datos más grande, es posible que se excluyan algunas fuentes de medios. Para superar esta limitación, recomendamos lo siguiente:
    • Hacer una consulta sobre un conjunto de datos más pequeño: un intervalo de fechas más reducido, aplicaciones y fuentes de medios específicas
    • Export Protect360 raw data reports
    • Exportar los reportes agregados de detección avanzada de Protect360 mediante la Pull API

FAQ and tips

FAQ

FAQ

How is the Estimated savings widget calculated?

For networks that support sharing cost data you get an accurate estimation of the savings.

En el caso de las redes que no permiten eso, AppsFlyer usa el eCPI promedio de todo el grupo de instalaciones verificadas de todas las fuentes que tienen datos de costos. Si tu aplicación aún no tiene ninguna fuente con datos de costos, se te solicitará que ingreses un eCPI calculado manualmente cuando entres en el panel de control.

Las fuentes de medios a la que el anunciante le otorgó acceso a la plataforma Protect360 no pueden ver ningún dato de ahorros estimados.

¿Protect360 funciona contra el fraude proveniente de enlaces de atribución personalizados?

Definitely! Protect360 detects and blocks fraud coming from custom attribution links, in addition to ad networks. That means you are also protected if you have campaigns of owned media, such as with influencers, email and SMS campaigns, web site banners and landing pages, viral posts on social media, Push notifications or even QR codes.

¿Qué hay de nuevo en Protect360 V2 en comparación con la V1?

  1. There are 3 main changes in the P360 V2.0:
    Post-Attribution fraud - wherever we present blocked installs, we also show Post-Attribution fraud installs. Post-Attribution is also available as a raw data report.
  2. Insights sobre anomalías: se agregó una nueva sección, llamada “Insights sobre anomalías”, en la que los anunciantes pueden analizar anomalías mediante herramientas de visualización. Esta sección reemplaza las 2 gráficas de la anterior pestaña “Detección avanzada”.
  3. Centralización de todos los datos sobre fraude: eliminamos la pestaña “Detección avanzada” y, en su lugar, presentamos toda la información en una pestaña.

Why isn't the post-attribution raw data available in the Export Data page?

Post-attribution reports are on the account level per media source, In order to make the reconciliation process easier. The Export Data page is on the single app level, and still contains the Blocked fraud data on the app level, for backwards compatibility.

¿Los datos posteriores a la atribución se actualizan de manera retroactiva?

  • Installs - install data on the overview page and all other reports outside Protect360 dashboard, does not update retroactively.
  • In-app events - once the post-attribution protection layer identifies an install as fake, following in-app events coming from this install are being blocked. Previous in-app events do not update retroactively.

When selecting specific networks in Anomaly insights, the data looks different?

I looked at the CTIT anomalies and selected AF_Baseline as benchmark. It showed me one network's anomalies (first screenshot below). Then I selected the same network as benchmark, expecting to see no anomalies, but now there are other ones (second screenshot). Why?

This outcome is actually what you should expect. When the trusted baseline is used, the network shows abnormal rate of CTIT in the 24-39 seconds range. These installs are "subtracted" from the normal distribution, which means that regular traffic should have some "abnormal" spikes compared with the problematic traffic of the specific network.

¿El tráfico orgánico anormal es realmente fraudulento?

Es posible que los picos anormales en el tráfico orgánico sean realmente fraudulentos. En general, si ves tráfico orgánico en AppsFlyer, que tienes razones para creer que es realmente fraudulento, podría ser uno de los 3 casos siguientes:

  • Failed attribution fraud: fraudster's clicks failed to receive attribution, e.g., click flooding with the last click taking place beyond the click lookback window.
  • Non-attribution fraud: user performs fraud, that is not related to attribution, e.g. using fraud to collect items in strategy games.
  • SDK integration issues: check that your in-app events are sent correctly, i.e. at the right time in the flow and with correct event parameter values.

Puntos de referencia y consejos

Puntos de referencia y consejos

Cómo detectar el fraude de dispositivos nuevos

Fraudsters may mask their devices by frequently resetting the main IDs of their devices, i.e. IDFA for iOS and GAID for Android.

Fortunately, AppsFlyer identifies over 98% of mobile devices globally.

Therefore, a high percentage of unknown new devices is a strong indication of fraud by click farms, unless intentionally targeting new devices.

Cómo detectar dispositivos nuevos:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Device farm indicators - new devices columns.
  3. Click on the Installs % column name to sort the table in descending order of new device ratio.
  4. Puntos de referencia del fraude con dispositivos nuevos:
    • Suspect sources with 100+ installs, which have over 60% new devices ratio.
    • Las fuentes con una cantidad relativamente mayor de instalaciones también son sospechosas si tienen una proporción menor de dispositivos nuevos, p. ej., una fuente con 1000 instalaciones y una proporción del 40% es sospechosa de fraude.
    • For borderline sources, compare the loyal users ratio with the general loyal users ratio, found in the Aggregated performance report table in the dashboard overview page. A relative low percentage is a strong indication of fraud.
Note: Campaigns of pre-installed apps usually have extremely high rates of new devices, as these may be among the very first apps that users launch when activating their new devices. Therefore, for pre-installed apps, new device fraud is unlikely, even with high new devices rates.

Cómo detectar el fraude con dispositivos que tienen LAT

LAT (Limited Ad Tracking) users select to opt out of exposing their device ID, IDFA or GAID, to advertisers. Approximately 15% of iOS users and 10% of Android users take this choice.

De manera similar a la clasificación de dispositivos nuevos, los usuarios con LAT pueden ser legítimos. Sin embargo, un alto porcentaje de ellos podría ser un indicio de actividad fraudulenta.

Cómo detectar el LAT:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Device farm indicators - LAT devices columns.
  3. Click on the Installs % column name to sort the table in descending order of LAT device ratio.
  4. Puntos de referencia del fraude con dispositivos que tienen LAT:
  • Suspect sources with 100+ installs, which have over 60% new devices ratio.
  • Las fuentes con una cantidad relativamente mayor de instalaciones también son sospechosas si tienen una proporción menor de dispositivos nuevos, p. ej., una fuente con 1000 instalaciones y una proporción del 40% es sospechosa de fraude.
  • For borderline sources, compare the loyal users ratio with the general loyal users ratio, found in the Aggregated performance report table in the dashboard overview page. A relative low percentage is a strong indication of fraud.

Cómo detectar el fraude por inundación de clics

  1. Using click flooding, fraudsters send millions of clicks with real device IDs, hoping to register as the last click for real users. Sources with this type of fraud have very low conversion rates, but high-quality users, since these are real users.

    Cómo detectar casos de inundación de clics:

    1. In Protect360 go to the Identified fraud breakdown table.
    2. Scroll right to the Click flooding indicators columns.
    3. Click on the Conversion rate column name to sort the table in ascending order of conversion rate.
    4. Puntos de referencia del fraude por inundación de clics:
    • Normal Conversion Rates are between 0.5% to 35%.
      Suspect sources whose conversion rate are abnormally low, or that have 25% or less of the average conversion rate of the app. You can find this KPI in the Aggregated performance report table in the dashboard overview page. 
    • For borderline sources, compare the Assists % with the average assists ratio. You can see the normal assists ratio in the assists widget, in the dashboard overview page.
      Sources whose assists ratio is 50% higher than the average assists ratio of the app are considered suspicious.
      Note that the more sources are used by an app, the higher are its Contribution rates.

Cómo detectar casos de inundación de clics con indicadores de CTIT

Another indication of click flooding, is even distribution of CTIT.
Usually, around 70% of normal installs take place within 1 hour from the ad engagement.
With click flooding, there's no connection between the fake engagement and the actual install. This leads to much more than 30% of fraud installs, which have longer than 1 hour CTIT. 

Cómo detectar casos de inundación de clics con el CTIT como indicador:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Click flooding indicators - CTIT columns.
  3. Puntos de referencia del CTIT con respecto al fraude por inundación de clics:
  • Normally, Over 60 minutes values should be around 30%. Suspect sources who have more than 50% with this metric.
  • Normally, Over 5 hours values should be around 20%. Suspect sources who have more than 40% with this metric.

Use the Anomaly insights page to investigate sources with suspicious CTIT.

Consejos antifraude avanzados

Consejos antifraude avanzados

Number of installs

Filtering by the number of installs per checked source is important for detecting the biggest fraud sources. Additionally, lower number of installs may not be mathematically significant. Note:

Note: Sources with less than 30 installs, or even 50, are not significant enough to draw conclusions from. Expand the date range or other search criteria to get more significant results.

Change loyal user definition

The default definition for Loyal users is 3 or more launches of the app. It is an important KPI for user engagement, but unfortunately many fraudsters know it and use it to fake high rates of loyal users, thus avoiding suspicion. Avoid being conned by creating and selecting a better, more elaborate loyal user definition.

Analyze your app user quality KPIs such as register, tutorial completion, purchase, multiple sessions. Within the app code send a new loyal user in-app event if a user performs ALL the list of KPIs.

After the first non-organic loyal user event is sent, go to App Settings and select it to indicate loyal users for your app. Expect general loyal user rates to slightly drop and then drastically drop for fraudulent sources.

 Consejo

¿Qué tan afectada por el fraude está tu vertical?
Explora nuestra Guía de puntos de referencia de la instalación fraudulenta de aplicaciones que abarca una amplia gama de parámetros.

¿Fue útil este artículo?

Artículos en esta sección