Краткий обзор: Мошенничество, связанное с атрибуцией, является серьезной проблемой для индустрии приложений. Мошенничество истощает маркетинговые бюджеты, искажает данные о результатах маркетинга и превращает успешные кампании в проигрышные. Protect360 предоставляет владельцам приложений возможность защиты от мошенничества и распознавания мошенничества в реальном времени.
О системе Protect360
Protect360:
- Protects against attribution fraud. It consists of dynamic tools that detect fraud and block fraudulent attribution.
- Uses AppsFlyer scale, machine learning, and behavioral analysis to provide cover against known and new forms of click/install fraud including bots and behavioral anomalies.
- Guards marketers from fraud at the device, publisher, and media source levels.
- Uses a layered approach of real-time fraud blocking and post-attribution fraud identification
Блокировка мошеннических схем в режиме реального времени
The first layer of anti-fraud protection blocks the attribution of fraudulent media sources in real-time: Protect360 automatically blocks fraudulent installs and in-app events in real-time.
Note: Protect360 does not impact the app user experience. In case of fraud attempts involving real users, app installs complete normally, and only the attribution data is affected.
Пост-атрибуционное мошенничество
The second layer of anti-fraud protection relates to fraudulent events, detected after the install and real-time attribution.
When installs are detected as fraudulent in retrospect, they can't be erased, but need to be treated as real fraud and not charged for.
После того, как источник (рекламная сеть, идентификатор сайта или страна) был идентифицирован как мошеннический:
- Последующие нажатия из этого источника блокируются.
-
Past installs:
- From the start of the current calendar month until the present, are labeled as post-attribution fraud, but not erased from the data. As of January 2020, advertiser invoices are credited for the attribution fees of these installs.
- From before the start of the current month, are not changed.
-
In-app events occurring:
- Up until the install labeling: labeled as fraud.
- After the install labeling: labeled as fraud.
Examples of post-attribution fraud:
- Установки, которые выглядят как обычные, но после них во внутренних событиях приложения обнаруживаются признаки мошенничества.
- A new form of fraud found
- Установки, которые можно определить как мошеннические только после того, как алгоритмы обнаружения отклонений соберут достаточно статистических данных об установках какого-либо издателя.
Fraud reconciliation with ad networks
With Protect360 advertisers gain the raw data needed to reconcile fraudulent installs and in-app events with ad networks.
To reconcile CPI-based campaigns using Protect360:
- В начале каждого месяца свяжитесь со своим менеджером по работе с клиентами в каждой рекламной сети, в которой произошло мошенничество.
- Collect the relevant fraudulent installs raw data from the Blocked installs and post-attribution installs reports.
- Передайте в сети отчеты о мошенничестве по необработанным данным для сверки и оптимизации ее трафика.
- It's possible to create a raw data report which includes just the valid installs, but excludes post-attribution fraudulent installs. To do this, you need to download the monthly Attributed UA installs report and exclude all entries from the Post-attribution installs report.
To reconcile CPA/CPE-based campaigns using Protect360:
- В начале каждого месяца свяжитесь со своим менеджером по работе с клиентами в каждой рекламной сети, в которой произошло мошенничество.
- Collect the relevant fraudulent in-app events raw data from the Blocked in-app events and Post-attribution In-app events reports.
- Share the fraud raw-data with the network for reconciliation and optimization of their traffic.
- It's possible to create a raw data report which includes just the valid IAEs, but excludes post-attribution fraudulent events. To do this, you need to download the monthly Attributed UA in-app events report and exclude all entries from the Post-attribution in-app events report.
Как использовать Protect360?
In the remaining tabs of this article, we explain how Protect360 works, how to use the Protect360 dashboard, and how to use raw data reports.
В таблице ниже описано, где в AppsFlyer находятся данные для обоих уровней защиты:
| Сводные данные | Необработанные данные | |
|---|---|---|
| Блокировка мошеннических схем в режиме реального времени | Панель управления Protect360 | Export Data page/Pull API |
| Пост-атрибуционное мошенничество | Панель управления Protect360 | Pull API |
- На странице Anomalies insight (Анализ аномалий) представлена информация о медиа-источниках, от которых получены установки с аномальными значениями CTIT по сравнению с другими надежными источниками.
Чтобы исследовать эти отклонения, перейдите на данную страницу. Сопоставьте подозрительные установки с сырыми данными об установках, обращая внимание на признаки вроде странных номеров версии приложения, старых версий операционной системы, разных мест и т.п. - Use Validation rules to block installs with short CTIT values. Protect360 automatically blocks installs with very low CTIT values.
Совет
Насколько распространено мошенничество в вашей вертикали?
Изучите наше руководство Показатели мошенничества при установке приложений, охватывающее широкий спектр параметров.
Панель управления Protect360
На панели управления Protect360 отображаются сводные данные обо всех мошеннических действиях. Изначально они отображаются на уровне отдельной учетной записи. Сводные данные о мошеннических действиях, от которых пострадала ваша учетная запись, разделены на 2 категории: заблокированные в режиме реального времени и после атрибуции.
Дэшборд Protect360 показывает вам информацию о мошенническом трафике в аккаунте. Вы можете производить глубокое исследование мошеннических событиях с использованием фильтрации и группировки. Кроме того, есть функция для обнаружения отклонений, которые в некоторых случаях могут указывать на мошеннические действия.
Панель управления Protect360 
Вход в систему
В AppsFlyer перейдите в Dashboard > Protect360.
Кто может получить доступ?
- Рекламодатели: Члены команды
-
Рекламные сети:
- Для доступа к панели управления Protect360 требуется разрешение рекламодателя.
- Для доступа к отчетам по необработанным данным о блокировке мошеннических действий, а также к данным о медиа-источниках разрешения не требуются.
- Агентствам: Для доступа к Protect360 необходимо разрешение рекламодателя. Получив разрешение, агентства могут просматривать дэшборд Protect360 и загружать сырые данные после публикации.
Фильтры и группировки
Фильтры и группировки
Доступны следующие параметры фильтрации и группировки:
- Основные фильтры:
- Имя приложения
- Медиа-источник
- Геоданные
- Диапазон дат
- Расширенные фильтры — нажмите на синюю стрелку справа от поля выбора даты:
- Агентства
- Кампании
- каналы
- Минимальный размер когорты
- Варианты группировки — вы можете использовать различные показатели для группировки данных о мошенничестве, чтобы получить анализ, который вам необходим:
- Application (Приложение) — сравнение общего количества мошеннических действий в каждом приложении.
- Media Source (Медиа-источник) (по умолчанию) — сравните количество обработанных мошеннических действий для каждого медиа-источника, используемого вашими приложениями.
- Media Source + Campaign (Медиа-источник + кампания) — сравнение количества зарегистрированных мошеннических действий во всех кампаниях и во всех медиа-источниках, которые используются вашими приложениями.
- Media Source + Site ID (Медиа-источник + идентификатор сайта) — сравнение количества зарегистрированных мошеннических действий для всех издателей (ID сайтов) по всем медиа-источникам, которые используются вашими приложениями.
- Media Source + Site ID + Campaign: (Медиа-источник + идентификатор сайта + кампания) —сравнение количества зарегистрированных мошеннических действий для всех издателей (ID сайтов) по всем медиа-источникам, которые использует ваше приложение, с привязкой к соответствующим названиям кампаний.
- Геоданные — сравнение данных о мошенничестве, полученных из всех стран.
Актуальность данных
- Данные на дэшборде Protect360 обновляются ежедневно. Промежуток между окончанием дня и отображением обновленных данных составляет 15 часов. Время последнего обновления данных отображается на дэборде под фильтром по диапазону дат.
- Панель управления использует часовой пояс приложения при условии, что все приложения используют один и тот же часовой пояс.
График, отображающий динамику фрода
На графике отображается количество мошеннических событий по дням, разбитое между заблокированными установками и событиями пост-атрибуции.
Показатели выявления мошенничества
Показатель выявления мошенничества позволяет вам увидеть:
- Ожидаемую экономию средств
- Число мошеннических установок,
- Число мошеннических событий в приложении
Для каждого KPI отображается значение в процентах. Это значение изменения KPI относительно аналогичного предыдущего периода. Например, за последние 7 дней ожидаемая экономия выросла на 19%, то есть за предыдущую неделю мошеннических установок было на 19% меньше.
Виджет ожидаемой экономии
Этот виджет сообщает стоимость мошенничества, выявленного в вашей учетной записи. Он показывает сумму для заблокированных мошеннических действий и сумму для пост-атрибуционного мошенничества , которые вам нужно согласовать с рекламными сетями. Сумма для пост-атрибуционного мошенничества, независимо от выбранных фильтров, может обновляться в течение месяца, поэтому в качестве суммы за предыдущий месяц следует использовать значение на начало следующего месяца.
Виджет ожидаемой экономии показывает приблизительное значение этой суммы, рассчитанное по такой формуле: ожидаемая экономия = количество заблокированных установок Х средняя eCPI приложения
Подробные сведения о методике расчета этой суммы см. в этом пункте Вопросов и ответов.
Виджет общего количества выявленных случаев мошенничества
Этот виджет сообщает общее количество мошеннических действий, заблокированных по любой из возможных причин. Он также показывает количество установок, которые были идентифицированы как мошеннические уже после атрибуции.
Виджет заблокированных внутренних событий приложения
Этот виджет показывает количество внутренних событий приложения, которые были заблокированы AppsFlyer. События могут быть заблокированы из-за связи с заблокированными установками или из-за того, что они помечены как подозрительные пост-атрибуционные события.
Виджет анализа отклонений
Чтобы открыть страницу со сводкой отклонений (описано ниже), нажмите кнопку Explore anomalies (Данные по отклонениям).
Таблица выявленных случаев мошенничества
В таблице Распознанное мошенничество отображается множество информации о:
- Мошенничестве, заблокированном в реальном времени
- Мошенничестве, идентифицированном и отмеченном после атрибуции
- Иные указания на мошенничество, сгруппированные по медиа-источникам
При первом входе в панель мониторинга Protect360 таблица представлена в общем формате обзора, как показано ниже:
Вы можете нажать кнопку настроек таблицы, чтобы добавить или удалить столбцы в таблице. Если вы вносите какие-либо изменения в таблицу, обязательно нажмите кнопку Сохранить.
The Identified fraud breakdown dynamic table structure is per user, so every team member with access to Protect360 can personally customize their own table structure. See more table options below.
| Столбец | Описание |
|---|---|
| Группировки |
|
| Установок | Заголовок разбивки заблокированных установок и установок, определенных как мошеннические после атрибуции. |
| Total (Всего) (A) |
|
| Blocked (Заблокированные) (B) |
|
| Blocked % (% заблокированных) (B/A) | Количество заблокированных установок / Общее количество установок |
| Post-attribution (После атрибуции) (C) | Установки источника, отмеченные как мошеннические после атрибуции. |
| Post-attribution % (% после атрибуции) (C/A) | Количество установок, помеченных как мошеннические после атрибуции / общее количество установок |
| Общее число мошеннических установок (D) | Мошеннические установки, заблокированные в режиме реального времени или идентифицированные как мошеннические после атрибуции. |
| Fraudulent installs % (% мошеннических установок) (D/A) | Мошеннические установки / Общее число установок |
| Ложные установки | Мошеннические установки, имитирующие реальную пользовательскую активность — с разбивкой на заблокированные в реальном времени и после атрибуции. |
| Блокировка в реальном времени | Ложные установки, заблокированные в реальном времени. |
| Пост-атрибуционное мошенничество | Ложные установки, идентифицированные как мошеннические после атрибуции. |
| Перехваченные установки | Мошеннические установки, крадущие атрибуцию реальных пользователей по последнему клику, с разбивкой на заблокированные в реальном времени и после атрибуции. |
| Блокировка в реальном времени | Перехваченные установки, заблокированные в реальном времени. |
| Пост-атрибуционное мошенничество | Перехваченные установки, идентифицированные как мошеннические после атрибуции. |
| Правила проверки | Установки, соответствующие правилам проверки Protect360. |
| Заблокированные установки | Установки, заблокированные правилами проверки Protect360 — Business customization (версия приложения, пустое значение идентификатора клиента). |
| Заблокированная атрибуция | Установки, атрибуцию которых изменили правила проверки Protect360 — Time to install: с мошеннических кликов на реальные медиа-источники. |
| Fake installs block breakdown (Разбивка заблокированных фальшивых установок) | Разбивка заблокированных установок и установок, определенных как мошеннические после атрибуции, которые обычно выполняются программным путем |
| Blocked site ID blacklist (Черный список заблокированных идентификаторов сайтов) | Установки, заблокированные из-за того, что SiteID внесен в черный список Protect360. |
| Post-attribution site ID blacklist (Пост-атрибуционный черный список идентификаторов сайтов) | Установки, заблокированных из-за того, что SiteID внесен в пост-атрибуционный черный список Protect360. |
| Blocked bots (Заблокированные боты) | Заблокированные попытки установки, выполненные ботами. |
| Post-attribution bots (Пост-атрибуционные боты) | Установки, помеченные после атрибуции как мошеннические в результате выявления действий ботов. |
| Blocked behavioral anomalies (Заблокированные поведенческие аномалии) | Установки, заблокированные из-за поведенческих аномалий, то есть подозрительных сеансов пользователей и их действий в приложениях. |
| Post-attribution behavioral anomalies (Пост-атрибуционные поведенческие аномалии) | Установки, помеченные после атрибуции как мошеннические из-за поведенческих аномалий. |
| Blocked install validation (Установки, заблокированные при валидации) | Общее количество установок, заблокированных из-за отрицательных результатов их валидации магазином. |
| Hijacked installs block breakdown (Разбивка заблокированных перехватов установок) | Разбивка мошеннических последних кликов, предназначенных для кражи атрибуции реальных установок приложений пользователями |
| Blocked install hijacking (Заблокированные перехваты установок) | Заблокированные перехваты установок из источника. |
| Post-attribution install hijacking (Перехваты установок, выявленные после атрибуции) | Перехваты установок, помеченные как мошеннические после атрибуции. |
| Blocked CTIT anomalies (Заблокированные из-за отклонения CTIT) | Установки, заблокированные из-за отклонения CTIT. |
| Post-attribution CTIT anomalies (Пост-атрибуционные отклонения CTIT) | Отклонения CTIT, помеченные после атрибуции как мошеннические. |
| Blocked click flooding (Блокировка клик-флудинга) | Установки, заблокированные из-за клик-флудинга (мошенники отправляют большие количества кликов в надежде, что при атрибуции по последнему клику им будут атрибутированы случайные установки). |
| Post-attribution click flooding (Клик-флудинг после атрибуции) | Установки с использованием клик-флудинга, которые после атрибуции были помечены как мошеннические. |
| Clicks (Клики) | Подлинные и заблокированные клики из источника |
| Total (Всего) (E) | Общее количество кликов |
| Blocked (Заблокировано) (F) | Заблокированные клики |
| % (F/E) | Количество заблокированных кликов / Общее количество кликов |
| Внутренние события приложений | Подлинные и заблокированные внутренние события приложения, инициированные источником |
| Total (Всего) (G) | Общее количество внутренних событий приложения |
| Blocked (Заблокировано) (H) | Заблокированные внутренние события приложения |
| % (H/G) | Количество заблокированных внутренних событий приложения / Общее количество внутренних событий приложения |
| Device farm indicators - new devices (Признаки фермы устройств — новые устройства) | Признаки мошеннических действий фермы устройств с использованием фрода со сбросом идентификаторов устройств |
| Installs (Установки) (I) | Установки с новым ID устройства, не известным AppsFlyer. |
| Installs % (% установок) (I/A) | Количество установок с новых устройств / Общее количество установок |
| Loyal user % (% лояльных пользователей) | Общий KPI, указывающий, являются ли пользователи реальными или поддельными. |
| Device farm indicators - LAT devices (Признаки фермы устройств — устройства, использующие ограничение отслеживания рекламы) | Признаки мошеннических действий фермы устройств с использованием ограничения отслеживания рекламы (LAT) |
| Installs (Установки) (K) | Установки с LAT-устройств |
| Installs % (% установок) (K/A) | Количество установок с LAT-устройств / Общее количество установок |
| Loyal user % (% лояльных пользователей) | Общий KPI, указывающий, являются ли пользователи реальными или поддельными. |
| Click flooding indicators (Признаки клик-флудинга) | KPI качества пользователей |
| Conversion rate (Уровень конверсии) (%) | Низкий процент по сравнению с общим показателем конверсии приложения указывает на мошенничество с использованием клик-флудинга |
| Assists % (% содействия) | Высокий процент по сравнению с другими медиаисточниками (в виджете содействия на обзорной странице ) указывает на мошенничество с использованием клик-флудинга |
| Click flooding indicators - (Признаки клик-флудинга — CTIT) | Признаки мошенничества с использованием клик-флудинга, а именно: аномально высокое время от клика до установки |
| Over 60 minutes (Больше 60 минут) | Обычно ~30% первых запусков приложений происходят более чем через 60 минут после загрузки |
| Over 5 hours (Больше 5 часов) | Обычно ~20% первых запусков приложений происходят более чем через 5 часов после загрузки |
Дополнительные функции таблицы
- Нажмите кнопку Export CSV (Экспорт CSV), чтобы загрузить таблицу на свой компьютер в формате CSV.
- Нажмите значок шестеренки, чтобы выполнить такие действия:
- Изменить порядок столбцов в таблице.
- Добавить или удалить описанные выше столбцы.
- Добавить или удалить из таблицы любое из недавно заблокированных внутренних событий приложения. Для каждого добавленного внутреннего события приложения отображаются следующие столбцы:
| Столбец | Описание |
|---|---|
| Events Counter (Total) (Счетчик событий (Всего)) | Количество случаев блокирования конкретного события |
| Unique Users (Уникальные пользователи) | Количество уникальных пользователей, для которых было заблокировано конкретное событие |
Учтите, что необычные значения любого из этих KPI необязательно указывают на мошенничество, так как многие события блокируются из-за установок, которые были определены как мошеннические после атрибуции.
Количество отображаемых событий определяется на основании активности, а не LTV, то есть это точное количество случаев блокирования событий за указанный период.
Анализ отклонений
На странице Anomaly insights (Анализ отклонений) можно выявлять медиа-источники, которые имеют подозрительные значения CTIT (Время от клика до установки) или долю новых устройств по сравнению с другими медиа-источниками. Эти существенные KPI уровня медиа-источников позволяют вам получить от медиа-источника компенсацию и решить, стоит ли продолжать с ним сотрудничество.
Вкладка CTIT
Для просмотра информации CTIT (цифры относятся к предыдущему скриншоту):
- Перейдите в Anomalies (Аномалии) > CTIT .
- Выберите приложения для просмотра на странице.
- Выбирать страны, данные по которым нужно отображать на странице.
- Выбирать диапазон дат для просмотра данных на странице.
- Включать переключатель Exclude post-attribution fraud (Исключить пост-атрибуционное мошенничество) для просмотра только заблокированных мошеннических действий или же отключать его для просмотра полных данных о мошеннических действиях.
- Выбирать базовый уровень медиаисточника для сравнения. По умолчанию используется базовый уровень приложений — App Baseline, который учитывает различные источники вашего трафика, пользующиеся доверием AppsFlyer.
- Выберите разрешение по времени для графика: секунды, минуты, часы или дни.
- Customize the validation rules to exclude installs with illogical CTIT.
Note: the validation rules feature must be enabled for your account to perform this. - Чтобы увидеть подробные данные, наведите курсор на выделенные цветом участки графика, которые указывают на обнаруженные отклонения CTIT.
- Нажмите для визуального сравнения CTIT для разных медиаисточников.
- Чтобы вернуться на страницу Identified Fraud (Выявленное мошенничество), нажмите на ссылку Protect 360.
В таблице разбивки отклонений CTIT в нижней части страницы показаны все медиаисточники с отклонениями CTIT. Используйте ее для просмотра данных о количестве и процентном соотношении установок с аномальными значениями CTIT. Кроме того, можно экспортировать данные из этой таблицы в формате CSV, добавлять в нее или удалять столбцы, а также изменять их порядок.
Вкладка "Новые устройства"
Вкладка "Новые устройства" позволяет визуально определять медиа-источники и идентификаторы сайтов, которые имеют подозрительно высокую долю новых устройств, устанавливающих ваше приложение.
Источники, которые окрашены в серый цвет, находятся ниже порога доли новых устройств. Для окрашенных желтым источников, чем насыщеннее цвет, тем выше доля новых устройств.
Площадь, которую занимает медиа-источник, отображает общее число установок с него, включая заблокированные и мошеннические установки после атрибуции.
Для просмотра информации о новых устройствах (цифры относятся к предыдущему скриншоту):
- Перейдите в Anomalies (Аномалии) > New devices (Новые устройства) .
- Выберите приложения для просмотра на странице.
- Выбирать страны, данные по которым нужно отображать на странице.
- Выбирать диапазон дат для просмотра данных на странице.
- Установите порог доли новых устройств, при превышении которого вы рассматриваете медиа-источник как подозрительный и окрашиваете его желтым.
- Для просмотра подробной информации о медиа-источнике нажмите на него.
Нажмите на ссылку All media sources (Все медиа-источники), чтобы вернуться к просмотру всех медиа-источников. - Нажмите на ссылку Installs (Установки), чтобы вернуться на вкладку Установки .
- You can export the Identified fraud breakdown table, containing the new devices data.
Ограничение объема данных
Максимальный объем данных в описанных таблицах —20 000 записей. Если запросить больший набор данных, то некоторые медиа-источники могут быть из него исключены.
Чтобы преодолеть это ограничение, мы рекомендуем следующее:
- Запросите меньший набор данных — за более короткий период, только для определенных приложений и определенных медиаисточников.
- Экспортируйте из Protect360 отчеты по необработанным данным.
- Export Protect 360 Aggregated Advanced Detection Reports through Pull API
Мошенничество — проблемы и решения
Клиентам, использующим Protect360, предоставляется автоматическая и комплексная защита от мошенничества как на уровне одного устройства, так и на общем уровне услуги. В таблице ниже описаны некоторые распространенные типы мошенничества и способы, используемые Protect360 для борьбы с ними.
| Тип мошенничества | Описание проблемы | Решение AppsFlyer |
|---|---|---|
|
Фрод со сбросом DeviceID |
Мошенник постоянно сбрасывает идентификаторы на одном или нескольких устройствах, чтобы показать большое количество установок. |
Огромная база данных мобильных устройств AppsFlyer — самая большая база такого типа в мире. Она охватывает более 98% всех смартфонов на планете. |
|
Перехват установок |
Мошенники внедряют вредоносное ПО на мобильные устройства, которое посылает уведомление во время загрузки приложения. В тот же момент в AppsFlyer отправляется клик, чтобы перехватить и присвоить себе установку. |
AppsFlyer блокирует атрибутированные клики с очень коротким CTIT (Время от клика до установки), выявленные с помощью API Google Play на стороне сервера. |
|
Вредоносное ПО идентифицирует клик по ссылке отслеживания установки и мгновенно отправляет еще один клик, которому в случае его атрибуции отдается предпочтение. |
AppsFlyer блокирует атрибутированные клики, которые происходят через очень короткое время после других кликов на том же устройстве и для того же приложения. |
|
|
Мошенничество в мобильных сетях, когда отправляется большое количество фальшивых кликов с целью обеспечить последний клик перед установкой. |
AppsFlyer блокирует атрибутированные клики, поступившие с идентификаторами сайтов, которые имеют низкий показатель конверсии и долгий CTIT. |
|
|
Поведенческие аномалии |
Мобильное мошенничество, при котором после установки мошенник выполняет противоречивые и необычные действия. |
Огромный охват AppsFlyer позволяет отслеживать и распознавать модели поведения на разных уровнях, например на уровне приложений, регионов, медиаисточников и издателей. Несвойственные человеку модели поведения идентифицируются практически в режиме реального времени и блокируются на уровне источника. |
|
Черные списки IP-адресов |
Мошенники, как правило, используют фермы кликов, которые можно идентифицировать по IP-адресам за длительные периоды времени. |
AppsFlyer ежедневно помещает в черный список IP-адреса, подозреваемые в мошенничестве, используя самые свежие данные, полученные от стороннего глобального провайдера Digital Element. Примечание. Защита с использованием черных списков IP-адресов автоматически включена для ВСЕХ клиентов AppsFlyer. |
|
Аутентификация через SDK |
Мошенники отправляют поддельные сообщения SDK для имитации действий ценного пользователя. |
AppsFlyer использует собственный протокол хеширования для шифрования внутренних сообщений между нашими SDK и нашими веб-службами, что обеспечивает защиту от поддельных сообщений. Примечание. Защита путем аутентификации через SDK автоматически включена для ВСЕХ клиентов AppsFlyer. |
|
Валидации в магазине |
Мошенники отправляют поддельные сообщения SDK для имитации установок или покупок в приложении, после чего они могут требовать высокую плату за действия (СРА). Проверки Apple store. |
AppsFlyer разрешает валидацию установки для iTunes, а также проверку покупок в приложении для iTunes и Google Play для всех установок или покупок в приложении. Это сделано для предотвращения атрибуции мошеннических действий. |
Обратите внимание, что AppsFlyer скрывает указанные выше точные значения времени для защиты своих клиентов.
Другие причины блокировки описаны на вкладке Отчеты.
В чем заключается блокирование мошенничества?
Когда AppsFlyer идентифицирует мошенничество, событие атрибуции, связанное с мошенничеством, блокируется. Таким образом, мошенники лишаются прибыли, и соответственно, мотивации. Примечание: Приложение все же устанавливается и не блокируется. Это значит, что пользователь может использовать сообщение и генерировать доход для рекламодателя.
Вот список мошеннических событий атрибуции, которые блокируются:
- Мошеннические фейковые установки, как и боты, блокируются и не отображаются на дэшборде и отчетах по необработанным данным. Это касается как органических, так и неорганических установок.
- Перехваченные установки, такие, как клик-флудинг, атрибутируются легитимным медиа-источникам. Это значит, что мошеннические клики удаляются, а установки приписываются последнему взаимодействию, которое предшествовало мошенническому клику (или органическому).
- Постбэки установок регистрируются в отчете по необработанным данным о заблокированных установках. Они отправляются поддерживающим постбэки медиа-источникам с указанием причины блокировки для целей внутренней оптимизации.
- События внутри приложения, поступающие от мошеннических установок или расценивающиеся как мошеннические, не отображаются ни на дэшборде, ни в отчете по необработанным данным. Это включает и неорганические, и органические события.
- Постбэки внутренних событий приложения НЕ отправляются никаким медиа-источникам.
- Заблокированные мошеннические клики, установки и внутренние события приложения отображаются в отчетах Protect360 по сырым данным о мошенничестве.
Отчеты Protect360 по необработанным данным
- Raw data reports are divided as follows:
- Blocked reports: Installs, clicks, and in-app events of users whose attribution was blocked and not attributed to any media source at all.
- Post-attribution reports:
- Installs attributed to a media source, but later found to be fraudulent.
- In-app events:
- of installs identified as fraud after being attributed to a media source.
- judged to be fraudulent without regard to the install itself.
- Advertisers use these reports to reconcile ad network accounts, for optimization, and to adjust attribution dashboards for post-attribution fraud.
| Report topic | Актуальность данных | Описание | Pull API | Страница экспорта данных | Data Locker |
|---|---|---|---|---|---|
| Установок | Real-time | Blocked installs with the block reason | ✓ | ✓ | ✓ |
| In-app events | Real-time | In-app events performed by blocked users | ✓ | ✓ | ✓ |
| Clicks (Клики) | Real-time | Clicks performed by blocked users | ✓ | ✓ | ✓ |
| Blocked install postbacks | Real-time | Postback to the media source of blocked installs | - | ✓ | - |
| Post-attribution installs |
Daily |
Installs identified as fraudulent post-attribution. The report can be optionally filtered by the detection date as described in the section that follows. |
✓ |
- | ✓ |
| Post-attribution in-app events fraud |
Daily |
The report can be optionally filtered by in-app event type as described in the parameters table that follows. |
✓ | - | - |
- Post-attribution raw data fraud reports have the same structure as the blocked fraud reports. This enables you to merge the two types of reports.
- Отчет о пост-атрибуции за текущий (для целей даты установки) месяц продолжает обновляться до седьмого дня следующего месяца (дата обнаружения).
- Post attribution raw data reports are limited to advertisers. Agencies do not have access to it.
- Reports contain post-attribution fraud events identified by Protect360 and include all media sources in a single report.
- In the Protect360 dashboard, go to Raw data reports > Blocked.
OR - Go to the Export Data page.
To download raw data reports available by Pull API raw data:
Before you begin:
You need a Pull API token. Get the token from the admin.
- Go to Integration > API Access.
The Pull API page opens. - In the Protect360 fraud reports section, select the necessary Pull API call.
- Populate the parameters as required. The table that follows lists the parameters.
- Pull the report.
| Параметр | Описание | Формат | Обязательный |
|---|---|---|---|
| app_id | App ID as it appears in AppsFlyer | Строка | Да |
| api_token | Retrieve the key from the Dashboard. Go to Integration > API Access. Only the account admin can retrieve the API token. | Строка | Да |
| from |
Start of the date range:
|
YYYY-MM-DD | Да |
| to |
End of the date range:
|
YYYY-MM-DD | Да |
| event_name |
[Optional for Post-attribution in-app events fraud] Filter events by in-app event. Limit the report to specific events. One or more events can be included. Example usage: |
Строка |
Нет
|
| detect-from |
[Optional for Post-attribution installs] Start of the fraud detect date range. (Default is from.) (Used in Post-attribution install fraud.) (Used in Post-attribution install fraud.) |
YYYY-MM-DD | Нет |
| detect-to |
[Optional for Post-attribution installs] End of the fraud detection date range. (Default is to.) |
YYYY-MM-DD | Нет |
Using the Protect360 Post-attribution installs report
Вы можете выбрать любую комбинацию диапазонов дат установки и дат обнаружения.
Take into consideration that Protect360 performs post attribution detection during the calendar month of the install and up to the seventh day of the following month. This means, for example, that for installs in November, Protect360 checks for fraud up to December 7.
Практические рекомендации по использованию этого Pull API:
- Предположим, что вы выгружаете отчет ежедневно.
- Установите диапазон дат установки на 60 дней, предшествующих текущему дню.
- Установите диапазон дат обнаружения мошенничества на день, предшествующий текущему дню.
This means you will get the list of post-attribution frauds detected yesterday. If you didn't pull the report for a few days, adjust the detect date range, and pull the report.
Пример
Пример A: в течение декабря (дата установки) 15 установок приписываются example_media . 3 января (дата обнаружения) Protect360 идентифицирует медиа example_media как мошенника. В результате 15 установок, приписанных example_media, указываются в отчете о пост-атрибуции как мошеннические, чтобы владелец приложения предпринял дальнейшие действия.
Пример B: В декабре 15 установок были атрибутированы example_media. 9 января Protect360 идентифицирует медиа example_media как мошенника. В этом случае Protect360 не предпринимает никаких действий, поскольку мошенник был обнаружен после закрытия месяца 7 января.
Пост-атрибуционные отчеты по сырым данным о мошенничестве доступны:
- На дэшборде: ограничено одним медиа-источником в течение календарного месяца.
- Pull API: contains all media sources. (Limitation: Available to app owners only.)
Для добавления или загрузки пост-атрибуционного отчета выполните следующие действия:
- In the Protect360 dashboard, click Raw data reports and select Post-attribution.
- Выберите для отчета медиа-источник и календарный месяц.
- Нажмите Generate report (Создать отчет).
- Создание отчета может занять несколько минут — это зависит от трафика из медиа-источника. Вы можете нажать Done (Сделано) и скачать отчет позже, когда он будет доступен.
Структура отчетов Protect360
Protect360 reports have the same general structure as their parallel user acquisition reports fields.
In addition to the regular fields, Protect360 reports have the following additional fields, as follows:
- Причина блокировки
- Подпричина блокировки
- Значение причины блокировки
- Правило, которое вызвало блокировку
Protect360 blocking reasons
Причины блокировки уровня кликов
На уровне кликов блокируются только клики, в процессе атрибуции они просто игнорируются.
| Причина блокировки | Описание |
|---|---|
| ip_blacklist | На основе динамически создаваемого списка (подробные сведения) |
| install_store_validation | Расхождение между значениями параметров установки, полученных в Google Referrer |
| invalid_fingerprint | Только межсерверные клики — неверные параметры, отправленные источником (для сопоставления идентификационных отпечатков) |
Причины блокировки уровня установок
На уровне установки мы определяем достаточно информации на момент установки, чтобы выявить:
- Ложную установку, когда пользователь, устанавливающий приложение, не настоящий человек. В таком случае атрибуция полностью блокируется.
- Перехват атрибуции, когда пользователь настоящий человек, но его интеракция сфальсифицирована. В этом случае мошенническая интеракция блокируется, и атрибуция переназначается первой действительной рекламной сети.
В таблицах ниже приведены возможные причины блокировок на уровне установок:
| Причина блокировки | Подпричина блокировки | Описание |
|---|---|---|
| Боты | fake_device_parameters | В процессе установки приложения обнаружено поведение бота |
| Боты | bayesian_network | Байесовская сеть выявления мошеннических моделей |
| validation_bots | invalid_sdk | Установки с устаревшими или неиспользуемыми версиями SDK — определяется клиентом |
| validation_bots | invalid_device_parameters | Расхождение в ожиданиях определенных полей устройства — определяется клиентом |
| validation_bots | invalid_app_version | Установки с устаревшими или неиспользуемыми версиями приложения — определяется клиентом |
| Причина блокировки | Подпричина блокировки | Описание |
|---|---|---|
|
ctit_anomalies |
short_ctit |
Install blocked due to short CTIT: Protect360 defined |
|
install_hijacking |
referrer_hijack |
Попытки перехвата, заблокированные на основе GooglePlay API и параметров SDK AppsFlyer |
|
validation_hijacking |
short_ctit |
Install blocked due to short CTIT: Customer defined |
|
validation_hijacking |
empty_site_id |
Install blocked due to unpopulated site ID. Rule implementation is phased |
Cluster level blocked reasons
При обнаружении мошеннической модели источник мошенничества заносится в черный список. Установки из источников, занесенных в черный список, блокируются по двум причинам:
- Ложную установку, когда пользователь, устанавливающий приложение, не настоящий человек. В таком случае атрибуция полностью блокируется.
- Перехват атрибуции, когда пользователь настоящий человек, но его интеракция сфальсифицирована. В этом случае мошенническая интеракция блокируется, и атрибуция переназначается первой действительной рекламной сети.
The following tables list possible cluster level blocked reasons:
| Причина блокировки | Подпричина блокировки | Описание |
|---|---|---|
| Боты | timestamp_anomalies | Аномалии, связанные со временем клика в процессе атрибуции и другими метками времени, полученными от устройства |
| bots, site_blacklist | device_emulators | Installs generated on a large scale by automatic scripts working in virtual environments |
| site_blacklist | device_farms | Высокий уровень неизвестных (новых) устройств |
| behavioral_anomalies | behavioral_anomalies | Подозрительное поведение в приложении по сравнению с обычным поведением пользователя приложения |
| Причина блокировки | Подпричина блокировки | Описание |
|---|---|---|
| ctit_anomalies, install_hijacking | ctit_anomalies | Аномальный показатель CTIT по стандартам приложения |
| click_flood | click_flood | Аномально высокое количество кликов при долгой дистрибуции CTIT |
| install_hijacking | click_clusters | Клики, генерируемые вредоносным ПО на уровне устройства |
Причины блокировки уровня приложения
In-app events can be blocked for the following reasons:
- Первоначальная установка была ложной.
- Из-за определенного правила проверки.
- Из-за того, что наш алгоритм обнаружил мошенничество.
В таблицах ниже приведены возможные причины блокировок на уровне приложения.
| Причина блокировки | Подпричина блокировки | Описание |
|---|---|---|
| Inherits from install | Inherits from install | Initial install identified as fake based on install or blacklisted level reason |
| inapps_bots | fake_device_parameters | Алгоритм AppsFlyer обнаружил мошенничество |
| validation_inapps | invalid_event_name | На основании запрошенного или установленного вручную правила проверки |
| validation_inapps | invalid_event_value | На основании запрошенного или установленного вручную правила проверки |
Вопросы и ответы
Как выполняются расчеты в виджете ожидаемой экономии?
Для сетей, которые это не поддерживают, AppsFlyer использует среднюю eCPI, полученную для всей группы проверенных установок из всех источников, которые предоставляют данные о затратах. Если для вашего приложения нет источника, предоставляющего данные о затратах, при входе на панель управления будет выдан запрос на ручной ввод приблизительного значения eCPI.
Медиаисточники, которым рекламодатель предоставил доступ к Protect360, не смогут увидеть данные об ожидаемой экономии.
Работает ли Protect360 против мошенничества со стороны пользовательских ссылок?
Определенно!
Protect360 обнаруживает и блокирует мошенничество, исходящее из пользовательских ссылок, в дополнение к рекламным сетям. Это значит, что вы под защитой, если вы проводите кампании в собственных медиа-источниках, таких как инфлюэнсеры, кампании в электронной почте и SMS, баннеры на веб-сайтах и лэндинги, вирусные посты в социальных сетях, уведомления Push или даже QR-коды.
Что нового в Protect360 V2 по сравнению с V1?
- В P360 V2.0 есть 3 основных изменения:
Пост-атрибуционное мошенничество — везде, где показаны данные о заблокированных установках, показаны и данные о мошеннических установках, выявленных после атрибуции. Кроме того, пост-атрибуционные данные можно получить в виде отчета по необработанным данным. - Анализ отклонений — добавлен новый раздел Anomaly Insights (Анализ отклонений), в котором рекламодатели могут анализировать отклонения с помощью средств визуализации. Он заменяет 2 таблицы на старой вкладке Advanced Detection (Расширенное выявление).
- Централизация всех данных о мошенничестве — удалена вкладка Advanced Detection (Расширенное выявление), и теперь вся информация представлена на одной вкладке.
Почему на странице Export Data (Экспорт данных) нет необработанных пост-атрибуционных данных?
Чтобы облегчить процесс согласования, пост-атрибуционные отчеты предоставляются на уровне учетной записи отдельно для каждого медиаисточника. Страница Export Data (Экспорт данных) содержит данные уровня одного приложения, и для обратной совместимости на ней по-прежнему представлены данные о блокировании мошеннических действий на уровне приложения.
Обновляются ли пост-атрибуционные данные за прошлое время?
- Установки — данные по установкам на странице обзора и всех других отчетах за пределами панели управления Protect360 не обновляются задним числом.
- События в приложении — после того, как защита после атрибуции идентифицирует установку как поддельную, последующие события в приложении, поступающие из этой установки, блокируются. Предыдущие события в приложении не обновляются задним числом.
Выбор конкретных сетей на странице Anomaly insights (Анализ отклонений)
Вопрос: Я просмотрел отклонения CTIT и выбрал в качестве контрольного показателя AF_Baseline. Он показал мне отклонения для одной сети (первый снимок экрана ниже).
Затем я выбрал в качестве контрольной эту же сеть, предполагая, что отклонений уже не будет, однако теперь появились другие (второй снимок экрана). Почему так получилось?
Ответ: Такого результата и следовало ожидать. Когда используется надежный базовый уровень, сеть показывает отклонения значений CTIT в диапазоне 24-39 секунд. Эти установки «вычитаются» из нормального распределения, поэтому нормальный трафик будет иметь некоторые «аномальные» всплески по сравнению с проблемным трафиком конкретной сети.
Является ли ненормальный органический трафик на самом деле мошенническим?
Возможно, что аномальные всплески органического трафика на самом деле являются мошенническими. В общем, если вы видите органический трафик в AppsFlyer, который, как вы считаете, является мошенническим, это может быть одним из 3 следующих случаев:
- Неудачное мошенничество с атрибуцией — клики мошенника не получили атрибуцию, например, клик-флудинг с последним кликом, происходящим вне окна атрибуции по кликам.
- Мошенничество без атрибуции — пользователь совершает мошенничество, не связанное с атрибуцией, например, собирает очки в стратегических играх.
- Проблемы интеграции SDK — проверьте, что события в приложении отправляются правильно, то есть в нужное время в потоке и с правильными значениями параметров события.
Контрольные показатели и советы
Выявление мошенничества с использованием новых устройств
Мошенники могут маскировать свои устройства, часто сбрасывая основные идентификаторы этих устройств, то есть идентификаторы IDFA для устройств iOS и GAID для устройств Android.
К счастью, AppsFlyer идентифицирует более 98% мобильных устройств по всему миру. Таким образом, высокий процент неизвестных новых устройств является явным признаком мошеннических действий ферм кликов, за исключением случаев, когда кампания намеренно нацелена на новые устройства.
Выявление новых устройств:
- В Protect360 перейдите к таблице Identified fraud breakdown (Выявленные случаи мошенничества).
- Прокрутите ее вправо до столбца Device farm indicators - new devices (Признаки фермы устройств — новые устройства).
- Нажмите на имя столбца Installs % (% установок), чтобы отсортировать таблицу в порядке убывания доли новых устройств.
- Контрольные показатели мошенничества с использованием новых устройств:
- Подозрительные источники, от которых получено более 100 установок, с долей новых устройств более 60%.
- Источники с относительно большим количеством установок при низкой доле новых устройств также считаются подозрительными, например, источник, у которого 1000 установок, а доля новых устройств — 40%, считается подозрительным.
- Для сомнительных источников следует сравнивать долю лояльных пользователей с общей долей лояльных пользователей, которая показана в таблице сводного отчета по эффективности на обзорной странице панели управления. Сравнительно низкий процент является явным признаком мошенничества.
Примечание
Кампании по предустановке приложений обычно имеют чрезвычайно высокую долю новых устройств, поскольку, как правило, это те приложения, которые пользователи запускают одними из первых при активации своих новых устройств. Таким образом, при предустановке приложений даже высокая доля новых устройств очень редко является признаком.мошенничества с использованием новых устройств.
Выявление мошенничества с использованием ограничений отслеживания рекламы
Пользователи, использующие функцию ограничения отслеживания рекламы, не предоставляют рекламодателям идентификатор своего устройства — IDFA или GAID. Эту возможность используют примерно 15% пользователей устройств iOS и 10% пользователей устройств Android.
Так же как и при анализе доли новых устройств, может оказаться, что пользователи, отключившие отслеживание рекламы, являются законопослушными. Тем не менее, высокая доля таких пользователей может указывать на мошенническую деятельность.
Выявление ограничений отслеживания рекламы:
- В Protect360 перейдите к таблице Identified fraud breakdown (Выявленные случаи мошенничества).
- Прокрутите таблицу вправо до столбца Device farm indicators - LAT devices (Признаки фермы устройств — устройства, использующие ограничение отслеживания рекламы).
- Нажмите на имя столбца Installs % (% установок), чтобы отсортировать таблицу в порядке убывания доли устройств, использующих ограничение отслеживания рекламы.
- Контрольные показатели мошенничества с использованием ограничения отслеживания рекламы:
- Подозрительные источники, от которых получено более 100 установок, с долей новых устройств более 60%.
- Источники с относительно большим количеством установок при низкой доле новых устройств также считаются подозрительными, например, источник, у которого 1000 установок, а доля новых устройств — 40%, считается подозрительным.
- Для сомнительных источников следует сравнивать долю лояльных пользователей с общей долей лояльных пользователей, которая показана в таблице сводного отчета по эффективности на обзорной странице панели управления. Сравнительно низкий процент является явным признаком мошенничества.
Выявление клик-флудинга
Используя клик-флудинг, мошенники отправляют миллионы кликов с реальными идентификаторами устройств, надеясь зарегистрировать свой клик как последний, который будет атрибутирован как клик реального пользователя. Источники с таким типом мошенничества отличаются очень низкими показателями конверсии при высоком качестве пользователей, поскольку эти пользователи являются реальными.
Выявление клик-флудинга:
- В Protect360 перейдите к таблице Identified fraud breakdown (Выявленные случаи мошенничества).
- Прокрутите таблицу вправо до столбцов Click flooding indicators (Признаки клик-флудинга).
- Нажмите на имя столбца Conversion rate (Показатель конверсии), чтобы отсортировать таблицу в порядке убывания показателя конверсии.
- Контрольные показатели мошенничества с использованием клик-флудинга:
- Обычно показатели конверсии имеют значения от 0,5% до 35%.
Источники, у которых показатель конверсии очень низкий или же его значение не превышает 25% от среднего показателя конверсии для приложения, считаются подозрительными. Этот KPI можно посмотреть в таблице сводного отчета об эффективности на обзорной странице панели управления. - Для сомнительных источников следует сравнивать показатель Assists % (% содействия) со средним значением содействия. Обычное значение показателя содействия можно увидеть в виджете содействия на обзорной странице панели управления. Источники, у которых показатель содействия на 50% выше среднего показателя содействия в приложении, считаются подозрительными.
Обратите внимание, что чем больше источников используется приложением, тем выше его показатель содействия.
Выявление клик-флудинга с помощью показателей CTIT
Еще один признак клик-флудинга — это равномерное распределение CTIT.
Как правило, около 70% обычных установок происходит в течение 1 часа после взаимодействия с рекламой.
При клик-флудинге между фальшивым взаимодействием и фактической установкой нет никакой связи. В результате более 30% мошеннических установок имеют CTIT более 1 часа.
Выявление клик-флудинга с помощью показателей CTIT:
- В Protect360 перейдите к таблице Identified fraud breakdown (Выявленные случаи мошенничества).
- Прокрутите таблицу вправо до столбцов Click flooding indicatorsnbsp - CTIT(Признаки клик-флудинга — CTIT).
- Контрольные показатели CTIT при мошенничестве с использованием клик-флудинга:
- Обычно показатель Over 60 minutes (Более 60 минут) должен иметь значение около 30%. Источники, у которых значение этого показателя превышает 50%, считаются подозрительными.
- Обычно показатель Over 5 hours (Более 5 часов) должен иметь значение около 20%. Источники, у которых значение этого показателя превышает 40%, считаются подозрительными.
Для анализа источников с подозрительными значениями CTIT перейдите на страницу Anomaly insights (Анализ отклонений).
Дополнительные советы по защите от мошенничества
Число установок
Применение фильтрации по количеству установок на каждый проверенный источник позволяет выявить самые крупные источники мошенничества. Кроме того, небольшое количество установок не оказывает значительного влияния на результаты расчетов.
Совет
На основании данных от источников, у которых меньше 30 или даже меньше 50 установок, невозможно сделать какие-либо выводы. Чтобы получить более значимые результаты, расширьте диапазон дат или других критериев поиска.
Изменение определение лояльного пользователя
Совет
Проанализируйте ключевые показатели качества пользователей своего приложения, такие как регистрация, прохождение обучения, покупка, несколько сеансов и т. п. Если пользователь соответствует ВСЕМ критериям в списке KPI, отправьте из приложения новое событие «лояльный пользователь».
После отправки первого неорганического события «лояльный пользователь» перейдите в раздел App Settings (Настройки приложения) и выберите его, чтобы указать лояльных пользователей своего приложения. Будьте готовы к тому, что доля лояльных пользователей в целом немного снизится, а затем резко упадет для мошеннических источников.