Guia antifraude Protect360

At a glance: Attribution related fraud is a significant challenge in the app industry. Fraud drains marketing budgets, pollutes marketing performance data, and can turn successful campaigns into losing ones. Protect360 provides app owners with real-time fraud protection and post-attribution detection.

protect360_types_2.png

Protect360: Overview | Dashboards | Raw data | Validation rules

Leitura relacionada: Guia introdutório para profissionais de marketing para fraude de anúncios mobile.

Visão geral do Protect360

Protect360:

  • Protege contra fraudes de atribuição. Consiste em ferramentas dinâmicas que detectam fraudes e bloqueiam atribuições fraudulentas.
  • Usa escala, machine learning e análise comportamental da AppsFlyer para oferecer cobertura contra métodos novos e conhecidos de clique/instalação, incluindo bots e anomalias comportamentais.
  • Protege os profissionais de marketing contra fraudes nos níveis do dispositivo, do editor e da fonte de mídia.
  • Usa uma abordagem em camadas debloqueio de fraudes em tempo real e identificação de fraude pós-atribuição
  • Não afeta a experiência do usuário do aplicativo. Em caso de tentativas de fraude envolvendo usuários reais, as instalações do aplicativo são concluídas normalmente e somente a gravação de atribuição é afetada.

Bloqueio em tempo real

  • Em tempo real, antes da atribuição, a instalação é identificada como proveniente de uma fonte de mídia fraudulenta e é bloqueada da atribuição.
  • Eventos in-app posteriores, do mesmo usuário, são bloqueados. 
  • Instalações bloqueadas e eventos in-app tanto orgânicos quanto não orgânicos são:
    • Relatado no painel Protect360 e relatórios de fraude bloqueados.
    • Esses eventos não estão incluídos na atribuição e nos painéis da AppsFlyer porque nunca foram atribuídos. 
  • Os postbacks de instalação bloqueados são enviados para fontes de mídia, com o motivo do bloqueio, permitindo que eles otimizem. 

Sobre eventos bloqueados

Detecção pós-atribuição

  • A fraude detectada após a atribuição é referida como fraude pós-atribuição. 
  • Uma vez atribuída, uma instalação não pode ser apagada. Por esta razão, a fraude pós-atribuição é tratada de forma diferente da fraude em tempo real.
  • Instalações fraudulentas e eventos in-app identificados retrospectivamente devem ser tratados como fraude real e não cobrados.

Assim que uma fonte, como uma ad network ou uma ID de site, for identificada como fraudulenta:

  • Cliques futuros da fonte são bloqueados.
  • Instalações anteriores:
    • Desde o início do mês corrente até o dia de hoje, são rotuladas como fraude pós-atribuição mas não são excluídas dos dados. A partir de janeiro de 2020, as faturas do anunciante são creditadas pelas taxas de atribuição dessas instalações.
    • Antes do início do mês vigente, não são alterados.
  • Eventos in-app que ocorrem:
    • Até a rotulagem da instalação: rotulados como fraude.
    • Após a rotulagem da instalação: rotulados como fraude.

Exemplos de fraude pós-atribuição:

  • Instalações aparentemente normais seguidas de indícios fraudulentos em eventos in-app
  • Uma nova forma de fraude encontrada
  • Instalações que se mostram fraudulentas somente depois que algoritmos de detecção de anomalias coletam dados estatísticos suficientes sobre as instalações de qualquer editor

Problemas comuns relacionados a fraudes e soluções

Quando a AppsFlyer identifica fraude, o evento de atribuição associado à fraude é bloqueado. Isso elimina ganhos e motivação de fraudadores. Observação: a instalação do aplicativo ocorre e não é bloqueada. Isso significa que o usuário do aplicativo pode usar o aplicativo e gerar receita para o anunciante. 

Blocked fraud clicks, installs, and in-app events are found in Protect360 fraud raw data reports.

A tabela a seguir descreve alguns tipos de fraude e como o Protect360 os manipula.

Tipo de fraude  Descrição Solução da AppsFlyer

Fraude de DeviceID reset

A ID do dispositivo é constantemente redefinida pelo fraudador no mesmo dispositivo físico, de modo a gerar  um grande número de instalações.

O banco de dados de dispositivos móveis da AppsFlyer é o maior de seu tipo no mundo, abrangendo mais de 98% de todos os smartphones conhecidos. Usando esse banco de dados, a AppsFlyer pode identificar taxas anormais de novos dispositivos e, consequentemente, fontes de denylist que os entregam.

Hijacking de instalações

Os fraudadores implantam malwares em dispositivos móveis que alertam quando ocorre o download de um aplicativo. Instantaneamente, um clique é enviado para a AppsFlyer reivindicando crédito pela instalação.

Bloqueia cliques atribuídos com um CTIT (Tempo do clique à instalação) muito rápido e com base na API do servidor do Google Play.

Hijacking de cliques

O malware identifica um clique no link de acompanhamento da instalação e envia instantaneamente outro clique que o credita caso seja atribuído.

Bloqueia os cliques atribuídos que ocorrem muito rapidamente após outros cliques para o mesmo aplicativo no mesmo dispositivo.

Flooding de cliques

Fraude móvel que envia um grande número de cliques fraudulentos com a finalidade de gerar o último clique antes da instalação.

Bloqueia cliques atribuídos de IDs de sites com uma baixa taxa de conversão e CTIT longo.

Anomalias comportamentais

Fraude móvel, onde o fraudador gera uma atividade pós-instalação inconsistente e anormal.

Nossa escala única permite acompanhar e entender os padrões comportamentais de engajamento em vários níveis, por exemplo, por aplicativo, região, fonte de mídia e editor. Os padrões comportamentais não humanos são identificados quase em tempo real e bloqueados na fonte.

Denylists de IP

Geralmente, os fraudadores operam nas fazendas de cliques, que podem ser identificadas por seus endereços IP por longos períodos de tempo.

  • Endereços IP suspeitos de fraude são colocados diariamente na lista de bloqueados com base nos dados atualizados recebidos do provedor global terceirizado Digital Element.
  • A proteção de denylists de IP está habilitada para todos os aplicativos.

Autenticação do SDK

Os fraudadores enviam mensagens SDK falsas para simular ações importantes do usuário.

  • Um protocolo de hash proprietário é usado para criptografar mensagens entre SDKs e serviços da web, impedindo que os fraudadores imitem as mensagens.
  • A proteção de autenticação do SDK está habilitada para todos os aplicativos.

Validações das lojas

Os fraudadores enviam mensagens SDK falsas para simular instalações ou compras in-app para poder reivindicar altas taxas de CPA. Validações de lojas da Apple.

Permite a validação da instalação no iTunes e na validação da compra in-app para o iTunes e o Google Play, de qualquer instalação ou compra in-app que tenha ocorrido para evitar a atribuição de atividades fraudulentas.

Observação: os valores de tempo exatos citados acima são retidos para proteger nossos clientes.

Additional blocking reasons are explained in the raw data tab.

The table below outlines the various types of fraudulent installs and in-app events, and what happens when the Protect360 engine blocks them in real-time, or detects them post-attribution.

Protect360 fraud detection and outcomes
Tipo de fraude Detection time What happens to install What happens to in-app event
Fake install em tempo real Blocked in real-time Blocked in real-time
Pós-atribuição Marked in the post-attribution report
  • Before detection: marked in the post-in-app report
  • After detection: blocked in real-time
Install attribution hijacking em tempo real
  • Blocked in real-time
  • Attribution is corrected to the last valid source
  • Appear in the blocked events report
  • Attributed to the same valid source as the install
Pós-atribuição Marked in the post-attribution report
  • Before detection: marked in the post-in-app report
  • After detection: marked in the post-in-app report (until 30 days after fraud detection)
Fake IAE em tempo real - Blocked in real-time
Pós-atribuição - Marked in the post-in-app report

Utilizando o Protect360

Painel

The Protect360 dashboard displays aggregate fraud data and providing insights relating to fraudulent traffic.

Visualizações do painel: 

Instalações: insights sobre instalações fraudulentas, bloqueadas em tempo real e identificadas pós-atribuição.  Você pode detalhar para examinar mais profundamente os eventos de fraude usando as opções de filtragem e agrupamento.

Anomalias: informações sobre fontes de mídia que possuem instalações com valores anormais do tempo do clique à instalação (CTIT), quando comparados com outras fontes de confiança.

  • Faça uma referência cruzada entre as instalações suspeitas com seus dados brutos de instalações e procure sinais suspeitos, como números de versão de aplicativo estranhos, versões antigas de sistema operacional, locais distintos etc. 
  • Use Regras de validação para bloquear instalações com valores curtos de CTIT. O Protect360 bloqueia automaticamente as instalações com valores CTIT muito baixos.

Dados brutos

Raw data about fraud is available via Pull API, Data Locker, and Export Data.

Os relatórios de dados brutos são divididos da seguinte forma:

  • Relatórios bloqueados: instalações, cliques e eventos in-app de usuários cuja atribuição foi bloqueada e não atribuída a nenhuma fonte de mídia. 
  • Relatórios pós-atribuição:
    • Instalações atribuídas a uma fonte de mídia, mas posteriormente encontradas como fraudulentas. 
    • Eventos in-app:
      • de instalações identificadas como fraude após serem atribuídas a uma fonte de mídia.
      • julgados fraudulentos, sem levar em conta a instalação em si.
  • Os anunciantes usam esses relatórios para reconciliar contas de ad networks, otimizar e ajustar painéis de atribuição para fraudes pós-atribuição.  

Regras de validação

As regras para validação de direcionamento e detecção de fraude personalizada (Protect360) permitem que os proprietários de aplicativos garantam que as instalações sejam atribuídas à fonte de mídia válida mais recente.  Se não houver uma fonte de mídia válida, a instalação será atribuída ao orgânico. 

As regras para validação de direcionamento da campanha controlam os resultados da campanha. As instalações que não atendem às metas da campanha— são invalidadas—e atribuídas como instalações orgânicas. 

As regras personalizadas de fraude do Protect360 melhoram a capacidade de detectar fraudes. O Protect360 é usado para bloquear atribuições de instalação fraudulentas e corrigir a atribuição de instalações com hijacking. 

Reconciliação de fraudes com ad networks

Com Protect360, os anunciantes obtêm os dados brutos necessários para reconciliar instalações fraudulentas e eventos in-app com ad networks que podem não ter gravado fraudes.

Para reconciliar campanhas baseadas em CPI usando o Protect360:

  • No início de cada mês, entre em contato com o gerente da conta em cada ad network que sofreu fraude.
  • Colete os dados brutos relevantes de instalações fraudulentas dos relatórios de instalações bloqueadas e pós-atribuição.
  • Compartilhe os dados brutos das fraudes com a rede para reconciliação e otimização do tráfego.
  • É possível criar um relatório de dados brutos que inclui apenas as instalações válidas, mas exclui instalações fraudulentas pós-atribuição. Para fazer isso, você precisa fazer o download do Relatório mensal de instalações do UA Atribuído e excluir todas as entradas do relatório deinstalações pós-Atribuição.

Para reconciliar campanhas baseadas em CPA/CPE usando o Protect360:

  • No início de cada mês, entre em contato com o gerente da conta em cada ad network que sofreu fraude.
  • Colete os dados brutos relevantes de eventos in-app fraudulentos dos relatórios de Eventos in-app bloqueados e Eventos in-app pós-atribuição.
  • Compartilhe os dados brutos das fraudes com a rede para reconciliação e otimização do tráfego.
  • É possível criar um relatório de dados brutos que inclui apenas os IAEs válidos, mas exclui eventos fraudulentos pós-atribuição. Para fazer isso, você precisa fazer o download do relatório mensal de eventos in-app do UA atribuído e excluir todas as entradas do relatório de Eventos in-app pós-atribuição.

Características e limitações

Características e limitações

Características e limitações
Característica Observações 
Acesso do anunciante Todos os membros da equipe.
Acesso da ad network
Acesso das agências
  • Solicite permissão do anunciante . Uma vez concedida, as agências podem visualizar o painel do Protect360 e baixar dados brutos pós-atribuição.
Transparência da agência  
Fuso horário específico do aplicativo
  • O fuso horário específico do aplicativo é usado no painel se todos os aplicativos estiverem configurados para o mesmo fuso horário.
  • Se os aplicativos não estiverem definidos para o mesmo fuso horário, o painel usa UTC como padrão.
Atualização de dados
  • Painel Protect360: atualizado diariamente .
    A hora de atualização mais recente é exibida abaixo do filtro de intervalo de datas no Painel.
  • Relatórios:
    • Instalações bloqueadas e eventos in-app: atualizados continuamente quase em tempo real.
    • Pós-atribuição: diariamente usando UTC. 
Limitações
  • Tabelas limitadas a um máximo de 20.000 linhas.
  • Se você consultar um conjunto de dados maior, algumas fontes de mídia poderão ser excluídas. Para superar essa limitação, recomendamos o seguinte:
    • Consulte um conjunto de dados menor - intervalo de datas menor, aplicativos específicos e fontes de mídia específicas
    • Export Protect360 raw data reports
    • Exportar relatórios agregados de detecção avançada do Protect360 através da Pull API

FAQ and tips

FAQ

FAQ

How is the Estimated savings widget calculated?

For networks that support sharing cost data you get an accurate estimation of the savings.

Para redes que não oferecem suporte a isso, a AppsFlyer usa o eCPI médio proveniente de todo o grupo de instalações verificadas de todas as fontes que possuem dados de custo. Caso seu aplicativo ainda não tenha uma fonte com dados de custo, você será solicitado a inserir manualmente um eCPI estimado ao acessar o painel.

As fontes de mídia às quais o anunciante concedeu acesso ao Protect360 não conseguem ver os dados de economias estimadas.

O Protect360 funciona contra fraudes provenientes de links de atribuição personalizados?

Definitely! Protect360 detects and blocks fraud coming from custom attribution links, in addition to ad networks. That means you are also protected if you have campaigns of owned media, such as with influencers, email and SMS campaigns, web site banners and landing pages, viral posts on social media, Push notifications or even QR codes.

O que há de novo no Protect360 V2 em comparação com o V1?

  1. There are 3 main changes in the P360 V2.0:
    Post-Attribution fraud - wherever we present blocked installs, we also show Post-Attribution fraud installs. Post-Attribution is also available as a raw data report.
  2. Insights de anomalias - adicionamos uma nova seção chamada "Insights de anomalias", onde os anunciantes podem analisar anomalias através de ferramentas de visualização. Ela está substituindo os 2 gráficos na antiga guia "Detecção avançada".
  3. Centralização de todos os dados relacionados a fraudes - removemos a guia "Detecção avançada" e, em vez disso, apresentamos todas as informações em 1 guia.

Why isn't the post-attribution raw data available in the Export Data page?

Post-attribution reports are on the account level per media source, In order to make the reconciliation process easier. The Export Data page is on the single app level, and still contains the Blocked fraud data on the app level, for backwards compatibility.

Os dados pós-atribuição são atualizados retroativamente?

  • Installs - install data on the overview page and all other reports outside Protect360 dashboard, does not update retroactively.
  • In-app events - once the post-attribution protection layer identifies an install as fake, following in-app events coming from this install are being blocked. Previous in-app events do not update retroactively.

When selecting specific networks in Anomaly insights, the data looks different?

I looked at the CTIT anomalies and selected AF_Baseline as benchmark. It showed me one network's anomalies (first screenshot below). Then I selected the same network as benchmark, expecting to see no anomalies, but now there are other ones (second screenshot). Why?

This outcome is actually what you should expect. When the trusted baseline is used, the network shows abnormal rate of CTIT in the 24-39 seconds range. These installs are "subtracted" from the normal distribution, which means that regular traffic should have some "abnormal" spikes compared with the problematic traffic of the specific network.

O tráfego orgânico anormal é realmente fraudulento?

É possível que picos anormais no tráfego orgânico sejam realmente fraudulentos. Em geral, se você vir tráfego orgânico na AppsFlyer que você tem motivos para acreditar que seja realmente fraudulento, pode ser um dos três casos a seguir:

  • Failed attribution fraud: fraudster's clicks failed to receive attribution, e.g., click flooding with the last click taking place beyond the click lookback window.
  • Non-attribution fraud: user performs fraud, that is not related to attribution, e.g. using fraud to collect items in strategy games.
  • SDK integration issues: check that your in-app events are sent correctly, i.e. at the right time in the flow and with correct event parameter values.

Comparativos e dicas

Comparativos e dicas

Detectar fraudes em novos dispositivos

Fraudsters may mask their devices by frequently resetting the main IDs of their devices, i.e. IDFA for iOS and GAID for Android.

Fortunately, AppsFlyer identifies over 98% of mobile devices globally.

Therefore, a high percentage of unknown new devices is a strong indication of fraud by click farms, unless intentionally targeting new devices.

Detectar novos dispositivos:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Device farm indicators - new devices columns.
  3. Click on the Installs % column name to sort the table in descending order of new device ratio.
  4. Comparativos de fraudes em novos dispositivos:
    • Suspect sources with 100+ installs, which have over 60% new devices ratio.
    • Fontes com relativamente mais instalações também são suspeitas, com uma proporção menor de novos dispositivos, por exemplo, uma fonte com 1.000 instalações é suspeita como fraude com uma taxa de 40%.
    • For borderline sources, compare the loyal users ratio with the general loyal users ratio, found in the Aggregated performance report table in the dashboard overview page. A relative low percentage is a strong indication of fraud.
Note: Campaigns of pre-installed apps usually have extremely high rates of new devices, as these may be among the very first apps that users launch when activating their new devices. Therefore, for pre-installed apps, new device fraud is unlikely, even with high new devices rates.

Detectar fraude no LAT

LAT (Limited Ad Tracking) users select to opt out of exposing their device ID, IDFA or GAID, to advertisers. Approximately 15% of iOS users and 10% of Android users take this choice.

Do mesmo modo que a nova classificação de dispositivos, os usuários do LAT podem ser legítimos. No entanto, uma alta porcentagem deles pode indicar atividade fraudulenta.

Detectar o LAT:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Device farm indicators - LAT devices columns.
  3. Click on the Installs % column name to sort the table in descending order of LAT device ratio.
  4. Comparativos de fraudes em dispositivos LAT:
  • Suspect sources with 100+ installs, which have over 60% new devices ratio.
  • Fontes com relativamente mais instalações também são suspeitas, com uma proporção menor de novos dispositivos, por exemplo, uma fonte com 1.000 instalações é suspeita como fraude com uma taxa de 40%.
  • For borderline sources, compare the loyal users ratio with the general loyal users ratio, found in the Aggregated performance report table in the dashboard overview page. A relative low percentage is a strong indication of fraud.

Detectar fraude de flooding de cliques

  1. Using click flooding, fraudsters send millions of clicks with real device IDs, hoping to register as the last click for real users. Sources with this type of fraud have very low conversion rates, but high-quality users, since these are real users.

    Como detectar flooding de cliques:

    1. In Protect360 go to the Identified fraud breakdown table.
    2. Scroll right to the Click flooding indicators columns.
    3. Click on the Conversion rate column name to sort the table in ascending order of conversion rate.
    4. Comparativos de flooding de cliques:
    • Normal Conversion Rates are between 0.5% to 35%.
      Suspect sources whose conversion rate are abnormally low, or that have 25% or less of the average conversion rate of the app. You can find this KPI in the Aggregated performance report table in the dashboard overview page. 
    • For borderline sources, compare the Assists % with the average assists ratio. You can see the normal assists ratio in the assists widget, in the dashboard overview page.
      Sources whose assists ratio is 50% higher than the average assists ratio of the app are considered suspicious.
      Note that the more sources are used by an app, the higher are its Contribution rates.

Detectar flooding de cliques com indicadores CTIT

Another indication of click flooding, is even distribution of CTIT.
Usually, around 70% of normal installs take place within 1 hour from the ad engagement.
With click flooding, there's no connection between the fake engagement and the actual install. This leads to much more than 30% of fraud installs, which have longer than 1 hour CTIT. 

Como detectar indicações CTIT de flooding de cliques:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Click flooding indicators - CTIT columns.
  3. Comparativos de CTIT de flooding de cliques:
  • Normally, Over 60 minutes values should be around 30%. Suspect sources who have more than 50% with this metric.
  • Normally, Over 5 hours values should be around 20%. Suspect sources who have more than 40% with this metric.

Use the Anomaly insights page to investigate sources with suspicious CTIT.

Dicas avançadas antifraude

Dicas avançadas antifraude

Number of installs

Filtering by the number of installs per checked source is important for detecting the biggest fraud sources. Additionally, lower number of installs may not be mathematically significant. Note:

Note: Sources with less than 30 installs, or even 50, are not significant enough to draw conclusions from. Expand the date range or other search criteria to get more significant results.

Change loyal user definition

The default definition for Loyal users is 3 or more launches of the app. It is an important KPI for user engagement, but unfortunately many fraudsters know it and use it to fake high rates of loyal users, thus avoiding suspicion. Avoid being conned by creating and selecting a better, more elaborate loyal user definition.

Analyze your app user quality KPIs such as register, tutorial completion, purchase, multiple sessions. Within the app code send a new loyal user in-app event if a user performs ALL the list of KPIs.

After the first non-organic loyal user event is sent, go to App Settings and select it to indicate loyal users for your app. Expect general loyal user rates to slightly drop and then drastically drop for fraudulent sources.

 Dica

Quão afetada pela fraude é a sua vertical?
Explore o nosso Guia de referências de fraudes na instalação de aplicativos que cobre uma ampla gama de parâmetros.

Este artigo foi útil?

Artigos nessa seção