Guia antifraude Protect360

Visão geral: Fraude relacionada à atribuição é um grande desafio na indústria de aplicativos. A fraude acaba com os orçamentos de marketing, polui os dados de desempenho de marketing e transforma campanhas bem-sucedidas em fracassos. O Protect360 oferece aos proprietários de aplicativos proteção contra fraudes em tempo real e detecção pós-atribuição.

p360intro2.jpg

Leitura relacionada: Dashboards | Dados brutos | Regras de validação  | Guia introdutório para profissionais de marketing sobre as fraudes de anúncios mobile

Visão geral do Protect360

Protect360:

  • Protege contra fraudes de atribuição. Consiste em ferramentas dinâmicas que detectam fraudes e bloqueiam atribuições fraudulentas.
  • Usa escala, machine learning e análise comportamental da AppsFlyer para oferecer cobertura contra métodos novos e conhecidos de clique/instalação, incluindo bots e anomalias comportamentais.
  • Protege os profissionais de marketing contra fraudes nos níveis do dispositivo, do editor e da fonte de mídia.
  • Usa uma abordagem em camadas debloqueio de fraudes em tempo real e identificação de fraude pós-atribuição
  • Não afeta a experiência do usuário do aplicativo. Em caso de tentativas de fraude envolvendo usuários reais, as instalações do aplicativo são concluídas normalmente e somente a gravação de atribuição é afetada.

Bloqueio em tempo real

  • Em tempo real, antes da atribuição, a instalação é identificada como proveniente de uma fonte de mídia fraudulenta e é bloqueada da atribuição.
  • Eventos in-app posteriores, do mesmo usuário, são bloqueados. 
  • Instalações bloqueadas e eventos in-app tanto orgânicos quanto não orgânicos são:
    • Relatado no painel Protect360 e relatórios de fraude bloqueados.
    • Esses eventos não estão incluídos na atribuição e nos painéis da AppsFlyer porque nunca foram atribuídos. 
  • Os postbacks de instalação bloqueados são enviados para fontes de mídia, com o motivo do bloqueio, permitindo que eles otimizem. 

Sobre eventos bloqueados

Detecção pós-atribuição

  • A fraude detectada após a atribuição é referida como fraude pós-atribuição. 
  • Uma vez atribuída, uma instalação não pode ser apagada. Por esta razão, a fraude pós-atribuição é tratada de forma diferente da fraude em tempo real.
  • Instalações fraudulentas e eventos in-app identificados retrospectivamente devem ser tratados como fraude real e não cobrados.

Assim que uma fonte, como uma ad network ou uma ID de site, for identificada como fraudulenta:

  • Cliques futuros da fonte são bloqueados.
  • Instalações anteriores:
    • Desde o início do mês corrente até o dia de hoje, são rotuladas como fraude pós-atribuição mas não são excluídas dos dados. A partir de janeiro de 2020, as faturas do anunciante são creditadas pelas taxas de atribuição dessas instalações.
    • Antes do início do mês vigente, não são alterados.
  • Eventos in-app que ocorrem:
    • Até a rotulagem da instalação: rotulados como fraude.
    • Após a rotulagem da instalação: rotulados como fraude.

Exemplos de fraude pós-atribuição:

  • Instalações aparentemente normais seguidas de indícios fraudulentos em eventos in-app
  • Uma nova forma de fraude encontrada
  • Instalações que se mostram fraudulentas somente depois que algoritmos de detecção de anomalias coletam dados estatísticos suficientes sobre as instalações de qualquer editor

Problemas comuns relacionados a fraudes e soluções

Quando a AppsFlyer identifica fraude, o evento de atribuição associado à fraude é bloqueado. Isso elimina ganhos e motivação de fraudadores. Observação: a instalação do aplicativo ocorre e não é bloqueada. Isso significa que o usuário do aplicativo pode usar o aplicativo e gerar receita para o anunciante. 

Cliques fraudulentos, instalações e eventos in-app bloqueados encontram-se nos relatórios de dados brutos de fraude do Protect360.

A tabela a seguir descreve alguns tipos de fraude e como o Protect360 os manipula.

Tipo de fraude  Descrição Solução da AppsFlyer

Fraude de DeviceID reset

A ID do dispositivo é constantemente redefinida pelo fraudador no mesmo dispositivo físico, de modo a gerar  um grande número de instalações.

O banco de dados de dispositivos móveis da AppsFlyer é o maior de seu tipo no mundo, abrangendo mais de 98% de todos os smartphones conhecidos. Usando esse banco de dados, a AppsFlyer pode identificar taxas anormais de novos dispositivos e, consequentemente, fontes de denylist que os entregam.

Hijacking de instalações

Os fraudadores implantam malwares em dispositivos móveis que alertam quando ocorre o download de um aplicativo. Instantaneamente, um clique é enviado para a AppsFlyer reivindicando crédito pela instalação.

Bloqueia cliques atribuídos com um CTIT (Tempo do clique à instalação) muito rápido e com base na API do servidor do Google Play.

Hijacking de cliques

O malware identifica um clique no link de acompanhamento da instalação e envia instantaneamente outro clique que o credita caso seja atribuído.

Bloqueia os cliques atribuídos que ocorrem muito rapidamente após outros cliques para o mesmo aplicativo no mesmo dispositivo.

Flooding de cliques

Fraude móvel que envia um grande número de cliques fraudulentos com a finalidade de gerar o último clique antes da instalação.

Bloqueia cliques atribuídos de IDs de sites com uma baixa taxa de conversão e CTIT longo.

Anomalias comportamentais

Fraude móvel, onde o fraudador gera uma atividade pós-instalação inconsistente e anormal.

Nossa escala única permite acompanhar e entender os padrões comportamentais de engajamento em vários níveis, por exemplo, por aplicativo, região, fonte de mídia e editor. Os padrões comportamentais não humanos são identificados quase em tempo real e bloqueados na fonte.

Denylists de IP

Geralmente, os fraudadores operam nas fazendas de cliques, que podem ser identificadas por seus endereços IP por longos períodos de tempo.

  • Endereços IP suspeitos de fraude são colocados diariamente na lista de bloqueados com base nos dados atualizados recebidos do provedor global terceirizado Digital Element.
  • A proteção de denylists de IP está habilitada para todos os aplicativos.

Autenticação do SDK

Os fraudadores enviam mensagens SDK falsas para simular ações importantes do usuário.

  • Um protocolo de hash proprietário é usado para criptografar mensagens entre SDKs e serviços da web, impedindo que os fraudadores imitem as mensagens.
  • A proteção de autenticação do SDK está habilitada para todos os aplicativos.

Validações das lojas

Os fraudadores enviam mensagens SDK falsas para simular instalações ou compras in-app para poder reivindicar altas taxas de CPA. Validações de lojas da Apple.

Permite a validação da instalação no iTunes e na validação da compra in-app para o iTunes e o Google Play, de qualquer instalação ou compra in-app que tenha ocorrido para evitar a atribuição de atividades fraudulentas.

Observação: os valores de tempo exatos citados acima são retidos para proteger nossos clientes.

Motivos adicionais de bloqueio são explicados no artigo sobre dados brutos.

A tabela abaixo descreve os vários tipos de instalações fraudulentas e eventos in-app, e o que acontece quando o mecanismo Protect360 as bloqueia em tempo real, ou as detecta pós-atribuição.

Detecção e resultados de fraude do Protect360
Tipo de fraude Hora da detecção O que acontece com a instalação O que acontece com o evento in-app
Instalação falsa em tempo real Bloqueado em tempo real Bloqueado em tempo real
Pós-atribuição Marcado no relatório pós-atribuição
  • Antes da detecção: marcado no relatório pós-in-app
  • Após a detecção: bloqueado em tempo real
Hijacking de atribuição de instalação em tempo real
  • Bloqueado em tempo real
  • A atribuição é corrigida para a última fonte válida
  • Aparece no relatório de eventos bloqueados
  • Atribuído à mesma fonte válida como a instalação
Pós-atribuição Marcado no relatório pós-atribuição
  • Antes da detecção: marcado no relatório pós-in-app
  • Após a detecção: marcado no relatório pós-in-app (até 30 dias após a detecção de fraude)
Evento in-app fraudulento em tempo real - Bloqueado em tempo real
Pós-atribuição - Marcado no relatório pós-in-app

Utilizando o Protect360

Painel

O painel do Protect360 exibe dados agregados de fraude e fornece informações relacionadas ao tráfego fraudulento.

Visualizações do painel: 

Instalações: insights baseados em LTV sobre instalações fraudulentas, bloqueadas em tempo real e instalações pós-atribuição identificadas. Você pode fazer uma análise detalhada para examinar mais profundamente os eventos de fraude usando as opções de filtragem e agrupamento.

Eventos no aplicativo: insights baseados em atividades sobre eventos fraudulentos no aplicativo, bloqueados em tempo real e eventos pós-atribuição identificados. Você pode fazer uma análise detalhada para examinar mais profundamente os eventos de fraude usando as opções de filtragem e agrupamento.

Anomalias: informações sobre fontes de mídia que possuem instalações com valores anormais do tempo do clique à instalação (CTIT), quando comparados com outras fontes de confiança.

  • Faça uma referência cruzada entre as instalações suspeitas com seus dados brutos de instalações e procure sinais suspeitos, como números de versão de aplicativo estranhos, versões antigas de sistema operacional, locais distintos etc. 
  • Use Regras de validação para bloquear instalações com valores curtos de CTIT. O Protect360 bloqueia automaticamente as instalações com valores CTIT muito baixos.

Dados brutos

Os dados brutos sobre fraudes estão disponíveis através da Pull API, do Data Locker e dos Dados de exportação.

Os relatórios de dados brutos são divididos da seguinte forma:

  • Relatórios bloqueados: instalações, cliques e eventos in-app de usuários cuja atribuição foi bloqueada e não atribuída a nenhuma fonte de mídia. 
  • Relatórios pós-atribuição:
    • Instalações atribuídas a uma fonte de mídia, mas posteriormente encontradas como fraudulentas. 
    • Eventos in-app:
      • de instalações identificadas como fraude após serem atribuídas a uma fonte de mídia.
      • julgados fraudulentos, sem levar em conta a instalação em si.
  • Os anunciantes usam esses relatórios para reconciliar contas de ad networks, otimizar e ajustar painéis de atribuição para fraudes pós-atribuição.  

Regras de validação

Regras de Validação permitem que os proprietários do aplicativo definam condições para bloquear determinadas instalações, atribuições (e garantir que as instalações sejam atribuídas à fonte de mídia válida mais recente) ou eventos in-app.

Reconciliação de fraudes com ad networks

Com Protect360, os anunciantes obtêm os dados brutos necessários para reconciliar instalações fraudulentas e eventos in-app com ad networks que podem não ter gravado fraudes.

Para reconciliar campanhas baseadas em CPI usando o Protect360:

  • No início de cada mês, entre em contato com o gerente da conta em cada ad network que sofreu fraude.
  • Colete os dados brutos relevantes de instalações fraudulentas dos relatórios de instalações bloqueadas e pós-atribuição.
  • Compartilhe os dados brutos das fraudes com a rede para reconciliação e otimização do tráfego.
  • É possível criar um relatório de dados brutos que inclui apenas as instalações válidas, mas exclui instalações fraudulentas pós-atribuição. Para fazer isso, você precisa fazer o download do Relatório mensal de instalações do UA Atribuído e excluir todas as entradas do relatório deinstalações pós-Atribuição.

Para reconciliar campanhas baseadas em CPA/CPE usando o Protect360:

  • No início de cada mês, entre em contato com o gerente da conta em cada ad network que sofreu fraude.
  • Colete os dados brutos relevantes de eventos in-app fraudulentos dos relatórios de Eventos in-app bloqueados e Eventos in-app pós-atribuição.
  • Compartilhe os dados brutos das fraudes com a rede para reconciliação e otimização do tráfego.
  • É possível criar um relatório de dados brutos que inclui apenas os IAEs válidos, mas exclui eventos fraudulentos pós-atribuição. Para fazer isso, você precisa fazer o download do relatório mensal de eventos in-app do UA atribuído e excluir todas as entradas do relatório de Eventos in-app pós-atribuição.

Características e limitações

Características e limitações

Características e limitações
Característica Observações 
Acesso do anunciante Todos os membros da equipe.
Acesso da ad network
Acesso das agências
  • Solicite permissão do anunciante . Uma vez concedida, as agências podem visualizar o painel do Protect360 e baixar dados brutos pós-atribuição.
Transparência da agência  
Fuso horário específico do aplicativo
  • O fuso horário específico do aplicativo é usado no painel se todos os aplicativos estiverem configurados para o mesmo fuso horário.
  • Se os aplicativos não estiverem definidos para o mesmo fuso horário, o painel usa UTC como padrão.
Atualização de dados
  • Painel Protect360: atualizado diariamente .
    A hora de atualização mais recente é exibida abaixo do filtro de intervalo de datas no Painel.
  • Relatórios:
    • Instalações bloqueadas e eventos in-app: atualizados continuamente quase em tempo real.
    • Pós-atribuição: diariamente usando UTC. 
Limitações
  • Tabelas limitadas a um máximo de 20.000 linhas.
  • Se você consultar um conjunto de dados maior, algumas fontes de mídia poderão ser excluídas. Para superar essa limitação, recomendamos o seguinte:
    • Consulte um conjunto de dados menor - intervalo de datas menor, aplicativos específicos e fontes de mídia específicas
    • Exportar relatórios de dados brutos do Protect360
    • Exportar relatórios agregados de detecção avançada do Protect360 através da Pull API

Perguntas frequentes e dicas

FAQ

FAQ

Como é calculado o widget de economias estimadas ?

Para redes que oferecem suporte ao compartilhamento de dados de custo você obtém uma estimativa precisa da economia.

Para redes que não oferecem suporte a isso, a AppsFlyer usa o eCPI médio proveniente de todo o grupo de instalações verificadas de todas as fontes que possuem dados de custo. Caso seu aplicativo ainda não tenha uma fonte com dados de custo, você será solicitado a inserir manualmente um eCPI estimado ao acessar o painel.

As fontes de mídia às quais o anunciante concedeu acesso ao Protect360 não conseguem ver os dados de economias estimadas.

O Protect360 funciona contra fraudes provenientes de links de atribuição personalizados?

Com certeza! Protect360 detecta e bloqueia fraudes provenientes de links de atribuição personalizados, além de ad networks. Isso significa que você também estará protegido se tiver campanhas de mídia de propriedade, como influenciadores, campanhas de e-mail e SMS, banners e páginas de destino de sites, postagens virais nas mídias sociais, notificações push ou até códigos QR.

O que há de novo no Protect360 V2 em comparação com o V1?

  1. Há 3 alterações principais no P360 versão 2.0:
    Fraude Pós-Atribuição - sempre que apresentarmos instalações bloqueadas, também mostraremos instalações fraudulentas Pós-Atribuição. A Pós-Atribuição também está disponível em formato de relatório de dados brutos.
  2. Insights de anomalias - adicionamos uma nova seção chamada "Insights de anomalias", onde os anunciantes podem analisar anomalias através de ferramentas de visualização. Ela está substituindo os 2 gráficos na antiga guia "Detecção avançada".
  3. Centralização de todos os dados relacionados a fraudes - removemos a guia "Detecção avançada" e, em vez disso, apresentamos todas as informações em 1 guia.

Por que os dados brutos de pós-atribuição não estão disponíveis na página Exportar dados?

Os relatórios pós-atribuição estão no nível da conta por fonte de mídia para facilitar o processo de reconciliação. A página Exportar dados está no nível do aplicativo único e ainda contém os dados de fraudes bloqueadas no nível do aplicativo, para compatibilidade com versões anteriores.

Os dados pós-atribuição são atualizados retroativamente?

  • Instalações - os dados de instalação na página de visão geral e todos os outros relatórios fora do painel do Protect360 não são atualizados retroativamente.
  • Eventos in-app - depois que a camada de proteção pós-atribuição identificar uma instalação como falsa, os seguintes eventos no aplicativo provenientes dessa instalação serão bloqueados. Eventos in-app anteriores não são atualizados retroativamente.

Ao selecionar redes específicas em Insights de anomalia, os dados parecem diferentes?

Analisei as anomalias de CTIT e selecionei AF_Baseline como referência. Ele me mostrou as anomalias de uma rede (primeira captura de tela abaixo). Depois, selecionei a mesma rede como referência, esperando não ver anomalias, mas agora existem outras (segunda captura de tela). Por quê?

Esse resultado é o que você deve esperar mesmo. Quando a linha de base confiável é usada, a rede mostra uma taxa anormal de CTIT no intervalo de 24 a 39 segundos. Estas instalações são "subtraídas" da distribuição normal, o que significa que o tráfego normal deve ter alguns picos "anormais" em comparação com o tráfego problemático da rede específica.

O tráfego orgânico anormal é realmente fraudulento?

É possível que picos anormais no tráfego orgânico sejam realmente fraudulentos. Em geral, se você vir tráfego orgânico na AppsFlyer que você tem motivos para acreditar que seja realmente fraudulento, pode ser um dos três casos a seguir:

  • Falha na fraude de atribuição - os cliques do fraudador não receberam a atribuição, por exemplo, o flooding de cliques com o último clique ocorrendo além da janela de lookback do clique.
  • Fraude sem atribuição - o usuário executa uma fraude que não está relacionada à atribuição, por exemplo, usando a fraude para coletar itens em jogos de estratégia.
  • Problemas de integração do SDK - verifique se os eventos no aplicativo foram enviados corretamente, ou seja, no momento certo do fluxo e com os valores corretos dos parâmetros do evento.

Comparativos e dicas

Comparativos e dicas

Detectar fraudes em novos dispositivos

Os fraudadores podem mascarar seus dispositivos, redefinindo frequentemente as principais IDs de seus dispositivos, ou seja, IDFA para iOS e GAID para Android.

Felizmente, a AppsFlyer identifica mais de 98% dos dispositivos mobile em todo o mundo.

Portanto, uma alta porcentagem de dispositivos novos e desconhecidos é um forte indício de fraude por fazendas de cliques, a menos que os novos dispositivos sejam intencionalmente direcionados.

Detectar novos dispositivos:

  1. No Protect360, acesse  Detalhamento de fraudes identificadas.
  2. Role para a direita até os indicadores de fazenda de dispositivos -  colunas de novos dispositivos.
  3. Clique no nome da coluna % Instalações para classificar a tabela na ordem decrescente da relação do dispositivo novo.
  4. Comparativos de fraudes em novos dispositivos:
    • Fontes suspeitas com mais de 100 instalações e que possuem uma taxa de mais de 60% de novos dispositivos.
    • Fontes com relativamente mais instalações também são suspeitas, com uma proporção menor de novos dispositivos, por exemplo, uma fonte com 1.000 instalações é suspeita como fraude com uma taxa de 40%.
    • Para fontes limítrofes, compare a taxa de usuários leais com a taxa de usuários leais gerais, encontrada na tabela Relatório de desempenho agregado na página de visão geral do painel. Uma porcentagem relativamente baixa é um forte indicativo de fraude.
Observação: campanhas de aplicativos pré-instalados geralmente têm taxas extremamente altas de novos dispositivos, pois estes podem estar entre os primeiros aplicativos que os usuários iniciam ao ativar seus novos dispositivos. Portanto, para aplicativos pré-instalados, a fraude de novos dispositivos é improvável, mesmo com altas taxas de novos dispositivos.

Detectar fraude no LAT

Os usuários de LAT (Limitação do acompanhamento de anúncios) optam por não expor o ID, IDFA ou GAID de seus dispositivos aos anunciantes. Aproximadamente 15% dos usuários de iOS e 10% dos usuários de Android fazem essa escolha.

Do mesmo modo que a nova classificação de dispositivos, os usuários do LAT podem ser legítimos. No entanto, uma alta porcentagem deles pode indicar atividade fraudulenta.

Detectar o LAT:

  1. No Protect360, acesse  Detalhamento de fraudes identificadas.
  2. Role para a direita para os indicadores de fazenda de dispositivos -  colunas de dispositivos LAT .
  3. Clique na coluna Installs % para classificar a tabela em ordem decrescente de taxa de dispositivos LAT.
  4. Comparativos de fraudes em dispositivos LAT:
  • Fontes suspeitas com mais de 100 instalações e que possuem uma taxa de mais de 60% de novos dispositivos.
  • Fontes com relativamente mais instalações também são suspeitas, com uma proporção menor de novos dispositivos, por exemplo, uma fonte com 1.000 instalações é suspeita como fraude com uma taxa de 40%.
  • Para fontes limítrofes, compare a taxa de usuários leais com a taxa de usuários leais gerais, encontrada na tabela Relatório de desempenho agregado na página de visão geral do painel. Uma porcentagem relativamente baixa é um forte indicativo de fraude.

Detectar fraude de flooding de cliques

  1. Usando flooding de cliques, os fraudadores  enviam milhões de cliques com IDs de dispositivos reais, com o objetivo de se registrar como o último clique para usuários reais. Fontes com esse tipo de fraude têm taxas de conversão muito baixas, mas usuários de alta qualidade, uma vez que são usuários reais.

    Como detectar flooding de cliques:

    1. No Protect360, acesse  Detalhamento de fraudes identificadas.
    2. Role para a direita até as colunas Indicadores de flooding de cliques.
    3. Clique na na coluna Taxa de conversão para classificar a tabela em ordem crescente de taxa de conversão.
    4. Comparativos de flooding de cliques:
    • As taxas de conversão normais estão entre 0,5% a 35%.
      Fontes suspeitas cuja taxa de conversão é anormalmente baixa, ou que tenham 25% ou menos da taxa média de conversão do aplicativo. Você pode encontrar esse KPI na tabela Relatório de desempenho agregado na página de visão geral do painel. 
    • Para fontes limítrofes, compare % Assistências com a proporção média de assistências. Você pode ver a taxa normal de assistências no widget assistências, na página de visão geral do painel.
      Fontes cuja proporção de assistências é 50% maior do que a proporção média  de assistências do aplicativo são consideradas suspeitas.
      Observe que, quanto mais fontes são usadas por um aplicativo, maiores são suas taxas de contribuição.

Detectar flooding de cliques com indicadores CTIT

Outra indicação de flooding de cliques é a distribuição uniforme de CTIT.
Geralmente, cerca de 70% das instalações normais ocorrem dentro de 1 hora após o engajamento do anúncio.
Com o flooding de cliques, não há conexão entre o engajamento falso e a instalação real. Isso leva a muito mais de 30% das instalações fraudulentas, que têm mais de 1 hora de CTIT. 

Como detectar indicações CTIT de flooding de cliques:

  1. No Protect360, acesse  Detalhamento de fraudes identificadas.
  2. Role para a direita até os indicadores de flooding de cliques - colunas CTIT.
  3. Comparativos de CTIT de flooding de cliques:
  • Normalmente, valores acima de 60 minutos devem estar em torno de 30%. Suspeite de fontes que têm mais de 50% com esta métrica.
  • Normalmente, valores acima de 5 horas devem estar em torno de 20%. Suspeite de fontes que têm mais de 40% com esta métrica.

Use a página Insights de anomalia  para investigar fontes com CTIT suspeito.

Dicas avançadas antifraude

Dicas avançadas antifraude

Número de instalações

A filtragem feita segundo o número de instalações por fonte verificada é importante para detectar as maiores fontes de fraude. Além disso, um número menor de instalações pode não ser matematicamente significativo. Observação:

Observação: fontes com menos de 30 instalações, ou mesmo 50, não são significativas o suficiente para que conclusões sejam tiradas. Expanda o intervalo de datas ou outros critérios de pesquisa para obter resultados mais significativos.

Alterar definição de usuário leal

A definição padrão de usuários leais é de 3 ou mais inicializações do aplicativo. É um KPI importante para o engajamento do usuário, mas, infelizmente, muitos fraudadores o conhecem e o usam para falsificar altas taxas de usuários leais, evitando suspeitas. Evite ser enganado ao criar e selecionar uma definição de usuário leal melhor e mais elaborada.

Analise os KPIs de qualidade do usuário do aplicativo, como registro, conclusão do tutorial, compra, sessões múltiplas. Dentro do código do aplicativo, envie um novo evento de usuário leal no aplicativo se um usuário executar TODA a lista de KPIs.

Depois que o primeiro evento de usuário leal não orgânico for enviado, acesse Configurações do aplicativo e selecione-o para indicar usuários leais para seu aplicativo. Espere que as taxas gerais de usuários leais caiam ligeiramente e, em seguida, caiam drasticamente para fontes fraudulentas.

 Dica

Quão afetada pela fraude é a sua vertical?
Explore o nosso Guia de referências de fraudes na instalação de aplicativos que cobre uma ampla gama de parâmetros.

Este artigo foi útil?