Руководство по использованию системы защиты от мошенничества Protect360

At a glance: Attribution related fraud is a significant challenge in the app industry. Fraud drains marketing budgets, pollutes marketing performance data, and can turn successful campaigns into losing ones. Protect360 provides app owners with real-time fraud protection and post-attribution detection.

protect360_types_2.png

Protect360: Overview | Dashboards | Raw data | Validation rules

Материал по теме:  Вводное руководство для маркетологов по мошенничеству в мобильной рекламе.

Обзор Protect360

Protect360:

  • Защищает от мошенничества, связанного с атрибуцией. Решение включает динамические инструменты, способные обнаруживать мошенничество и блокировать мошенническую атрибуцию.
  • Используя уникальный объем данных AppsFlyer, машинное обучение и поведенческий анализ, обеспечивает беспрецедентные возможности выявления ботов и поведенческих аномалий, а также известных и новых форм мошенничества, связанного с кликами и установками.
  • Защищает маркетологов от попыток мошенничества на уровне устройств, издателей и медиаисточников.
  • Использует многоуровневый подход дляблокировки мошенничества в реальном времени ивыявления мошенничества после атрибуции
  • Не влияет на впечатления пользователя от работы с приложением. В случае попыток мошенничества с реальными пользователями, установки приложения выполняются в обычном режиме; затрагивается только регистрация атрибуции.

Блокировка в реальном времени

  • Установка определяется как поступившая из мошеннического медиа-источника, и ее атрибуция блокируется в режиме реального времени.
  • Последующие внутренние события в приложении от того же пользователя блокируются. 
  • Заблокированные установки и внутренние события как органические, так и неорганические:
    • Отображается на дэшборде Protect360 и в отчетах о заблокированных мошенничествах.
    • Такие события не отображаются в отчетах и на дэшбордах AppsFlyer, потому что они не были атрибутированы. 
  • Медиа-источникам отправляются постбэки о заблокированных установках с указанием причины блокировки, что позволяет им оптимизировать трафик. 

О заблокированных событиях

Пост-атрибуционное выявление фрода

  • Мошенничество, обнаруженное после атрибуции, называется послеатрибуционное мошенничество. 
  • Если установка атрибутирована, ее нельзя удалить. Поэтому послеатрибуционное мошенничество обрабатывается иначе, чем заблокированное в реальном времени.
  • Установки и внутренние события приложения, которые определены как мошеннические ретроспективно, должны считаться реальным мошенничеством, и за них не должна взиматься плата.

После того, как источник (например, рекламная сеть или ID сайта) был идентифицирован как мошеннический:

  • Последующие нажатия из этого источника блокируются.
  • Прошлые установки:
    • Установки, выполненные с начала текущего календарного месяца до настоящего времени, помечаются как пост-атрибуционное мошенничество, но не удаляются из данных. По состоянию на январь 2020 года удовлетворяются счета рекламодателей за плату за атрибуцию таких установок.
    • Установки, выполненные до начала текущего месяца, не изменяются.
  • Происходящие события приложения
    • До маркировки установки: помечаются как мошеннические.
    • После маркировки установки: помечаются как мошеннические.

Примеры пост-атрибуционного мошенничества:

  • Установки, которые выглядят как обычные, но после них во внутренних событиях приложения обнаруживаются признаки мошенничества.
  • Обнаружение новой формы мошенничества
  • Установки, которые можно определить как мошеннические только после того, как алгоритмы обнаружения отклонений соберут достаточно статистических данных об установках какого-либо издателя.

Мошеннические проблемы и их решение

Когда AppsFlyer идентифицирует мошенничество, событие атрибуции связанное с мошенничеством, блокируется. Таким образом, мошенники лишаются прибыли, и соответственно, мотивации. Примечание: Приложение все же устанавливается и не блокируется.  Это значит, что пользователь может использовать приложение и генерировать доход для рекламодателя. 

Blocked fraud clicks, installs, and in-app events are found in Protect360 fraud raw data reports.

В таблице ниже описаны типичные типы мошенничества и их решение с помощью Protect360.

Тип мошенничества  Описание Решение AppsFlyer

Фрод со сбросом DeviceID

Мошенник постоянно сбрасывает идентификатор устройства на одном и том же устройстве, чтобы сгенерировать  большое количество установок.

База данных AppsFlyer по мобильным устройствам — самая большая база данных такого типа в мире. Она охватывает более 98% всех известных смартфонов. С ее помощью AppsFlyer может выявлять аномальные показатели новых устройств и помещать в запрещенный список все источники, из которых они получены.

Перехват установок

Мошенники внедряют вредоносное ПО на мобильные устройства, которое посылает уведомление во время загрузки приложения. В тот же момент в AppsFlyer отправляется клик, чтобы перехватить и присвоить себе установку.

Блокирует атрибутированные клики с очень коротким CTIT (Время от клика до установки), выявленные с помощью API Google Play на стороне сервера.

Перехват кликов

Вредоносное ПО идентифицирует клик по ссылке отслеживания установки и мгновенно отправляет еще один клик, которому в случае его атрибуции отдается предпочтение.

Блокирует атрибутированные клики, которые происходят через очень короткое время после других кликов на том же устройстве и для того же приложения.

Клик-флудинг

Мошенничество в мобильных сетях, когда отправляется большое количество фальшивых кликов с целью обеспечить последний клик перед установкой.

Блокирует атрибутированные клики, поступившие с идентификаторами сайтов, которые имеют низкий показатель конверсии и долгий CTIT.

Поведенческие аномалии

Мобильное мошенничество, при котором после установки мошенник выполняет противоречивые и необычные действия.

Огромные масштабы данных AppsFlyer позволяют отслеживать и распознавать модели поведения на разных уровнях, например на уровне приложений, регионов, медиаисточников и издателей. Несвойственные человеку модели поведения идентифицируются практически в режиме реального времени и блокируются на уровне источника.

Список запрещенных IP

Мошенники, как правило, используют фермы кликов, которые можно идентифицировать по IP-адресам за длительные периоды времени.

  • IP-адреса, подозреваемые в мошенничестве, ежедневно помещаются в черный список на основе самых свежих данных, полученных от стороннего глобального провайдера Digital Element.
  • Защита с помощью списков запрещенных IP доступна для всех приложений.

Аутентификация через SDK

Мошенники отправляют поддельные сообщения SDK для имитации действий ценного пользователя.

  • AppsFlyer использует собственный протокол хеширования для шифрования сообщений между SDK и веб-службами, что обеспечивает защиту от поддельных сообщений.
  • Защита путем аутентификации через SDK включена для всех приложений.

Валидации в магазине

Мошенники отправляют поддельные сообщения SDK для имитации установок или покупок в приложении, после чего они могут требовать высокую плату за действия (СРА). Проверки Apple store.

Разрешает валидацию установки для iTunes, а также проверку покупок в приложении для iTunes и Google Play для всех установок или покупок в приложении. Это сделано для предотвращения атрибуции мошеннических действий.

Примечание: Точные значения времени скрыты для защиты наших клиентов.

Additional blocking reasons are explained in the raw data tab.

The table below outlines the various types of fraudulent installs and in-app events, and what happens when the Protect360 engine blocks them in real-time, or detects them post-attribution.

Protect360 fraud detection and outcomes
Тип мошенничества Detection time What happens to install What happens to in-app event
Fake install В реальном времени Blocked in real-time Blocked in real-time
Post-attribution (После атрибуции) Marked in the post-attribution report
  • Before detection: marked in the post-in-app report
  • After detection: blocked in real-time
Install attribution hijacking В реальном времени
  • Blocked in real-time
  • Attribution is corrected to the last valid source
  • Appear in the blocked events report
  • Attributed to the same valid source as the install
Post-attribution (После атрибуции) Marked in the post-attribution report
  • Before detection: marked in the post-in-app report
  • After detection: marked in the post-in-app report (until 30 days after fraud detection)
Fake IAE В реальном времени - Blocked in real-time
Post-attribution (После атрибуции) - Marked in the post-in-app report

Использование Protect360

Дэшборд

The Protect360 dashboard displays aggregate fraud data and providing insights relating to fraudulent traffic.

На дэшборде отображаются:

Установки: Информация о мошеннических установках, заблокированных в реальном времени, и идентифицированных как мошеннические после атрибуции.  Вы можете производить глубокое исследование мошеннических событиях с использованием фильтрации и группировки.

Аномалии: информация о медиа-источниках, от которых получены установки с аномальными значениями CTIT (время от клика до установки) по сравнению с другими надежными источниками.

  • Сопоставьте подозрительные установки с сырыми данными об установках, обращая внимание на признаки вроде странных номеров версии приложения, старых версий операционной системы, разных мест и т.п. 
  • Настройте правила валидации, чтобы заблокировать установки с низкими значениями CTIT. Protect360 автоматически блокирует установки с очень низкими значениями CTIT.

Необработанные данные

Raw data about fraud is available via Pull API, Data Locker, and Export Data.

Отчеты о сырых данных разделяются следующим образом:

  • Заблокированные отчеты: установки, клики и внутренние события приложений пользователей, чья атрибуция была заблокирована и данные не связаны с каким-либо медиа-источником.
  • Пост-атрибуционные отчеты:
    • Установки, атрибутированные медиа-источнику, но впоследствии признанные мошенническими.
    • Внутренние события приложений:
      • по установкам, признанным мошенническими после того, как они атрибутированы медиа-источнику.
      • признанные мошенническими безотносительно самой установки.
  • Рекламодатели используют эти отчеты для сверки аккаунтов рекламных сетей, оптимизации и настройки дэшбордов атрибуции для пост-атрибуционного мошенничества.

Правила проверки

Правила проверки цели и обнаружения мошенничества (Protect360) позволяют владельцам приложения убедиться, что установки атрибутированы проверенному источнику. Если проверенный медиа-источник отсутствует, установка будет атрибутирована как органическая.

Правила валидации цели кампании контролируют результаты кампании. Установки, не соответствующие целям кампании, недействительны и атрибутируются как органические установки.

Настраиваемые правила Protect360 для выявления мошенничества улучшают возможности обнаружения мошенничества. Protect360 используется для блокировки атрибуции мошеннических установок и для корректировки атрибуции перехваченных установок.

Сверка мошенничества с рекламными сетями

Благодаря Protect360 рекламодатели получают сырые данные, необходимые для сопоставления мошеннических установок и событий в приложении с рекламными сетями, которые могли не зарегистрировать мошенничество.

Чтобы сверить кампании на основе CPI с помощью Protect360:

  • В начале каждого месяца свяжитесь со своим менеджером по работе с клиентами в каждой рекламной сети, в которой произошло мошенничество.
  • Собирает соответствующие сырые данные о мошеннических установках из отчетов о заблокированных установках и установках после атрибуции.
  • Передайте в сети отчеты о мошенничестве по необработанным данным для сверки и оптимизации ее трафика.
  • Можно создать отчет по сырым данным, в который входят только действительные установки и не входят мошеннические установки после атрибуции. Для этого нужно загрузить ежемесячный отчет Attributed UA installs (Атрибутированные установки UA) и исключить все записи из отчета Post-attribution installs (Установки после атрибуции).

Чтобы сверить кампании на основе CPA/CPE с помощью Protect360:

  • В начале каждого месяца свяжитесь со своим менеджером по работе с клиентами в каждой рекламной сети, в которой произошло мошенничество.
  • Собирает соответствующие сырые данные о мошеннических внутренних событиях из отчетов о заблокированных внутренних событиях и отчетов Post-attribution In-app events (Внутренние события после атрибуции).
  • Передайте в сети отчеты о мошенничестве по необработанным данным для сверки и оптимизации ее трафика.
  • Можно создать отчет по сырым данным, в который входят только действительные IAE и не входят мошеннические события после атрибуции. Для этого нужно загрузить ежемесячный отчет Attributed UA in-app events (Атрибутированные внутренние события UA) и исключить все записи из отчета Post-attribution in-app events (Внутренние события после атрибуции)

Ограничения и особенности

Ограничения и особенности

Ограничения и особенности
Специфика Заметки 
Доступ рекламодателя Все члены команды.
Доступ рекламной сети
Доступ агентств
  • Необходимо разрешение рекламодателя. Получив разрешение, агентства могут просматривать дэшборд Protect360 и загружать пост-атрибуционные сырые данные.
Прозрачность агентства  
Часовой пояс приложения
  • На дэшборде используется часовой пояс приложения при условии, что все приложения используют один и тот же часовой пояс.
  • Если для приложений не установлен один и тот же часовой пояс, то на дэшборде отображается время UTC.
Актуальность данных
  • Дэшборд Protect360: обновляется ежедневно.
    Время последнего обновления данных отображается на дэшборде под фильтром по диапазону дат.
  • Отчеты:
    • Заблокированные установки и внутренние события: обновляются непрерывно почти в реальном времени.
    • После атрибуции: ежедневно по поясу UTC. 
Ограничения
  • Размер таблиц ограничен 20000 строк.
  • Если запросить больший набор данных, то некоторые медиа-источники могут быть исключены. Чтобы преодолеть это ограничение, мы рекомендуем следующее:
    • Запросите меньший набор данных — за более короткий период, только для определенных приложений и определенных медиаисточников.
    • Export Protect360 raw data reports
    • Экспортируйте из Protect360 сводные отчеты по расширенному выявлению, используя Pull API

FAQ and tips

FAQ

FAQ

How is the Estimated savings widget calculated?

For networks that support sharing cost data you get an accurate estimation of the savings.

Для сетей, которые это не поддерживают, AppsFlyer использует среднюю eCPI, полученную для всей группы проверенных установок из всех источников, которые предоставляют данные о затратах. Если для вашего приложения нет источника, предоставляющего данные о затратах, при входе на панель управления будет выдан запрос на ручной ввод приблизительного значения eCPI.

Медиаисточники, которым рекламодатель предоставил доступ к Protect360, не смогут увидеть данные об ожидаемой экономии.

Работает ли Protect360 против мошенничества со стороны пользовательских ссылок?

Definitely! Protect360 detects and blocks fraud coming from custom attribution links, in addition to ad networks. That means you are also protected if you have campaigns of owned media, such as with influencers, email and SMS campaigns, web site banners and landing pages, viral posts on social media, Push notifications or even QR codes.

Что нового в Protect360 V2 по сравнению с V1?

  1. There are 3 main changes in the P360 V2.0:
    Post-Attribution fraud - wherever we present blocked installs, we also show Post-Attribution fraud installs. Post-Attribution is also available as a raw data report.
  2. Анализ отклонений — добавлен новый раздел Anomaly Insights (Анализ отклонений), в котором рекламодатели могут анализировать отклонения с помощью средств визуализации. Он заменяет 2 таблицы на старой вкладке Advanced Detection (Расширенное выявление).
  3. Централизация всех данных о мошенничестве — удалена вкладка Advanced Detection (Расширенное выявление), и теперь вся информация представлена на одной вкладке.

Why isn't the post-attribution raw data available in the Export Data page?

Post-attribution reports are on the account level per media source, In order to make the reconciliation process easier. The Export Data page is on the single app level, and still contains the Blocked fraud data on the app level, for backwards compatibility.

Обновляются ли пост-атрибуционные данные за прошлое время?

  • Installs - install data on the overview page and all other reports outside Protect360 dashboard, does not update retroactively.
  • In-app events - once the post-attribution protection layer identifies an install as fake, following in-app events coming from this install are being blocked. Previous in-app events do not update retroactively.

When selecting specific networks in Anomaly insights, the data looks different?

I looked at the CTIT anomalies and selected AF_Baseline as benchmark. It showed me one network's anomalies (first screenshot below). Then I selected the same network as benchmark, expecting to see no anomalies, but now there are other ones (second screenshot). Why?

This outcome is actually what you should expect. When the trusted baseline is used, the network shows abnormal rate of CTIT in the 24-39 seconds range. These installs are "subtracted" from the normal distribution, which means that regular traffic should have some "abnormal" spikes compared with the problematic traffic of the specific network.

Является ли ненормальный органический трафик на самом деле мошенническим?

Возможно, что аномальные всплески органического трафика на самом деле являются мошенническими. В общем, если вы видите органический трафик в AppsFlyer, который, как вы считаете, является мошенническим, это может быть одним из 3 следующих случаев:

  • Failed attribution fraud: fraudster's clicks failed to receive attribution, e.g., click flooding with the last click taking place beyond the click lookback window.
  • Non-attribution fraud: user performs fraud, that is not related to attribution, e.g. using fraud to collect items in strategy games.
  • SDK integration issues: check that your in-app events are sent correctly, i.e. at the right time in the flow and with correct event parameter values.

Контрольные показатели и советы

Контрольные показатели и советы

Выявление мошенничества с использованием новых устройств

Fraudsters may mask their devices by frequently resetting the main IDs of their devices, i.e. IDFA for iOS and GAID for Android.

Fortunately, AppsFlyer identifies over 98% of mobile devices globally.

Therefore, a high percentage of unknown new devices is a strong indication of fraud by click farms, unless intentionally targeting new devices.

Выявление новых устройств:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Device farm indicators - new devices columns.
  3. Click on the Installs % column name to sort the table in descending order of new device ratio.
  4. Контрольные показатели мошенничества с использованием новых устройств:
    • Suspect sources with 100+ installs, which have over 60% new devices ratio.
    • Источники с относительно большим количеством установок при низкой доле новых устройств также считаются подозрительными, например, источник, у которого 1000 установок, а доля новых устройств — 40%, считается подозрительным.
    • For borderline sources, compare the loyal users ratio with the general loyal users ratio, found in the Aggregated performance report table in the dashboard overview page. A relative low percentage is a strong indication of fraud.
Note: Campaigns of pre-installed apps usually have extremely high rates of new devices, as these may be among the very first apps that users launch when activating their new devices. Therefore, for pre-installed apps, new device fraud is unlikely, even with high new devices rates.

Выявление мошенничества с использованием ограничений отслеживания рекламы

LAT (Limited Ad Tracking) users select to opt out of exposing their device ID, IDFA or GAID, to advertisers. Approximately 15% of iOS users and 10% of Android users take this choice.

Так же как и при анализе доли новых устройств, может оказаться, что пользователи, отключившие отслеживание рекламы, являются законопослушными. Тем не менее, высокая доля таких пользователей может указывать на мошенническую деятельность.

Выявление ограничений отслеживания рекламы:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Device farm indicators - LAT devices columns.
  3. Click on the Installs % column name to sort the table in descending order of LAT device ratio.
  4. Контрольные показатели мошенничества с использованием ограничения отслеживания рекламы:
  • Suspect sources with 100+ installs, which have over 60% new devices ratio.
  • Источники с относительно большим количеством установок при низкой доле новых устройств также считаются подозрительными, например, источник, у которого 1000 установок, а доля новых устройств — 40%, считается подозрительным.
  • For borderline sources, compare the loyal users ratio with the general loyal users ratio, found in the Aggregated performance report table in the dashboard overview page. A relative low percentage is a strong indication of fraud.

Выявление клик-флудинга

  1. Using click flooding, fraudsters send millions of clicks with real device IDs, hoping to register as the last click for real users. Sources with this type of fraud have very low conversion rates, but high-quality users, since these are real users.

    Выявление клик-флудинга:

    1. In Protect360 go to the Identified fraud breakdown table.
    2. Scroll right to the Click flooding indicators columns.
    3. Click on the Conversion rate column name to sort the table in ascending order of conversion rate.
    4. Контрольные показатели мошенничества с использованием клик-флудинга:
    • Normal Conversion Rates are between 0.5% to 35%.
      Suspect sources whose conversion rate are abnormally low, or that have 25% or less of the average conversion rate of the app. You can find this KPI in the Aggregated performance report table in the dashboard overview page. 
    • For borderline sources, compare the Assists % with the average assists ratio. You can see the normal assists ratio in the assists widget, in the dashboard overview page.
      Sources whose assists ratio is 50% higher than the average assists ratio of the app are considered suspicious.
      Note that the more sources are used by an app, the higher are its Contribution rates.

Выявление клик-флудинга с помощью показателей CTIT

Another indication of click flooding, is even distribution of CTIT.
Usually, around 70% of normal installs take place within 1 hour from the ad engagement.
With click flooding, there's no connection between the fake engagement and the actual install. This leads to much more than 30% of fraud installs, which have longer than 1 hour CTIT. 

Выявление клик-флудинга с помощью показателей CTIT:

  1. In Protect360 go to the Identified fraud breakdown table.
  2. Scroll right to the Click flooding indicators - CTIT columns.
  3. Контрольные показатели CTIT при мошенничестве с использованием клик-флудинга:
  • Normally, Over 60 minutes values should be around 30%. Suspect sources who have more than 50% with this metric.
  • Normally, Over 5 hours values should be around 20%. Suspect sources who have more than 40% with this metric.

Use the Anomaly insights page to investigate sources with suspicious CTIT.

Дополнительные советы по защите от мошенничества

Дополнительные советы по защите от мошенничества

Number of installs

Filtering by the number of installs per checked source is important for detecting the biggest fraud sources. Additionally, lower number of installs may not be mathematically significant. Note:

Note: Sources with less than 30 installs, or even 50, are not significant enough to draw conclusions from. Expand the date range or other search criteria to get more significant results.

Change loyal user definition

The default definition for Loyal users is 3 or more launches of the app. It is an important KPI for user engagement, but unfortunately many fraudsters know it and use it to fake high rates of loyal users, thus avoiding suspicion. Avoid being conned by creating and selecting a better, more elaborate loyal user definition.

Analyze your app user quality KPIs such as register, tutorial completion, purchase, multiple sessions. Within the app code send a new loyal user in-app event if a user performs ALL the list of KPIs.

After the first non-organic loyal user event is sent, go to App Settings and select it to indicate loyal users for your app. Expect general loyal user rates to slightly drop and then drastically drop for fraudulent sources.

 Совет

Насколько распространено мошенничество в вашей вертикали?
Изучите наше руководство Показатели мошенничества при установке приложений, охватывающее широкий спектр параметров.

Была ли эта статья полезной?