Protect360反欺诈指南

概览:与归因相关的欺诈行为在应用行业中是一项重大挑战。欺诈会浪费营销预算,污染营销绩效数据,并会将本是成功的广告系列变成失败的。Protect360为应用程序所有者提供实时欺诈保护和归因后检测

p360intro2.jpg

Related reading: Dashboards | Raw data | Validation rules | Introductory guide for marketers to mobile ad fraud

Protect360概述

Protect360:

  • 防止归因欺诈。它由能够检测欺诈并阻止欺诈归因的动态工具组成。
  • 使用AppsFlyer规模,机器学习和行为分析,来识别已知的和新形式的点击/安装欺诈行为,包括机器人作弊和行为异常。
  • 在设备,发布者和媒体来源级别,保护市场营销人员免受欺诈。
  • 使用分层的实时假量拦截和 归因后欺诈作弊识别方法
  • 不会影响应用程序用户体验。如果涉及真实用户的欺诈尝试,则应用程序安装会正常完成,并且仅会影响归因记录。

实时拦截

  • 实时地,在归因之前,安装被识别为来自欺诈性媒体渠道,并且被阻止归因。
  • 来自同一用户的后续应用内事件将被阻止。
  • 自然和非自然的已拦截安装和应用内事件是:
    • 在Protect360仪表板中报告和已拦截的欺诈报告。
    • 这些事件未包含在AppsFlyer归因和仪表板中,因为它们从未被归因。
  • 已拦截的安装回传会附加拦截原因而发送到媒体渠道,从而使它们得以优化。

关于已拦截的事件

归因后检测

  • 归因后检测到的欺诈称为归因后欺诈。
  • 一旦归因后,将无法删除此安装。因此,归因后欺诈的处理方式与实时欺诈的处理方式不同。
  • 追溯确定的欺诈性安装和应用内事件必须视为真实欺诈,不收取任何费用。

将来源(例如广告网络或网站ID)识别为欺诈后:

  • 未来来自媒体的点击将被阻止。
  • 过去的安装:
    • 从当前日历月的开始到现在,被标记为归因后欺诈,但并未从数据中删除 。自2020年1月起,对于P360客户,这些激活的归因费用将不会记入客户的发票中。
    • 在本月开始之前的安装,不会更改。
  • 发生的应用内事件:
    • 直到安装标签: 标记为欺诈。
    • 安装被标记 :标记为欺诈。

归因后欺诈的示例:

  • 看似常规安装,然后在应用内事件中发出欺诈信号
  • 发现一种新的欺诈形式
  • 仅在异常检测算法收集到有关任何发布者安装的足够统计数据之后,才证明是欺诈的安装

常见欺诈问题和解决方案

当AppsFlyer识别欺诈时,将拦截 与欺诈相关的归因 事件 。这消除了欺诈者的收益和动机。 注释 :该应用程序本身进行安装,没有被阻止。这意味着应用程序用户可以使用该应用程序并为广告客户产生收入。

已拦截的作弊点击,作弊激活,作弊应用内事件,可以在Protect360假量拦截原始报告 中被找到。

下表描述了一些欺诈类型以及Protect360如何处理它们。

欺诈类型 描述 AppsFlyer解决方案

设备 ID 重置作弊

欺诈者会在同一物理设备上不断重置设备ID,从而产生大量安装。

移动设备的AppsFlyer数据库是世界上同类数据库中最大的数据库,涵盖了所有已知智能手机的98%以上。使用此数据库,AppsFlyer可以识别新设备的异常率,从而拒绝提供这些设备的来源。

安装劫持

欺诈者在移动设备上植入恶意软件,这些恶意软件会在下载应用程序时发出警报。立即将一次点击发送到AppsFlyer,以希望赢得此次激活的归因。

基于Google Play服务器端API,以非常快速的CTIT( 单击以安装时间 )阻止归因于点击。

点击劫持

恶意软件会识别激活归因链接的点击,并立即发送另一个点击,如果该点击被归功于它们。

AppsFlyer会拦截发生在同一设备上的同一应用的,其他点击之后很快发生的归因的点击。

点击泛滥

发送大量欺诈性点击的移动欺诈,目的是在安装之前提供最终点击。

以较低的转化率和较长的CTIT拦截来自site ID的归因点击。

行为异常

欺诈者生成不一致且异常的安装后活动的移动欺诈。

AppsFlyer的独特规模使我们能够在多个级别上跟踪和了解行为参与模式-例如按应用程序,区域,媒体平台和发布者。非人类的行为模式几乎是实时识别的,并在源头被阻止。

IP denylists

欺诈者通常从点击农场操作,这些农场可能由他们的 IP 地址被长时间识别。

  • 每天根据从第三方全球提供商 Digital Element 接收到的最新数据拒绝涉嫌欺诈的IP地址。
  • 已为所有应用程序启用IP拒绝列表保护。

SDK验证

欺诈者发送虚假的SDK消息来模拟有价值的用户操作。

  • 专有的哈希协议用于在SDK和Web服务之间加密消息,从而防止欺诈者模仿消息。
  • 已为所有应用程序启用SDK身份验证保护。

商店验证

欺诈者发送虚假的SDK消息来模拟安装或应用内购买,因此他们可以认领高昂的CPA费用。苹果商店验证

AppsFlyer启用iTunes上的安装验证 ,以及iTunes和Google Play的应用内购买验证,以防止欺诈活动归因于任何安装或应用内购买。

注意:上面引用的确切时间值被保留以保护我们的客户。

Additional blocking reasons are explained in the raw data article.

下表概述了各种类型的欺诈性安装和应用内事件,以及Protect360引擎实时拦截它们或在归因后检测到它们的情况。

Protect360欺诈检测和结果
欺诈类型 检测时间 安装会发生什么 应用内事件会如何
虚假安装 实时 实时拦截 实时拦截
归因后 在归因后报告中标记
  • 检测之前:在归因后应用内事件报告中标记
  • 检测后:实时拦截
安装归因劫持 实时
  • 实时拦截
  • 归因已更正为最后一个有效来源渠道
  • 出现在已拦截的事件报告中
  • 归因于与安装相同的有效来源
归因后 在归因后报告中标记
  • 检测之前:在归因后应用内事件报告中标记
  • 发现后:在归因后应用内事件报告中标记(直到发现欺诈后30天)
虚假的应用内事件 实时 - 实时拦截
归因后 - 在归因后应用内事件报告中标记

使用Protect360

控制面板

Protect360仪表板显示汇总的欺诈数据并提供与欺诈流量有关的见解。

仪表板视图: 

Installs: LTV-based insights about fraudulent installs, blocked in real-time, and identified post-attribution. You can drill down to further examine the fraud events by using the filtering and grouping options.

In-app events: Activity-based insights about fraudulent in-app events, blocked in real-time, and identified post-attribution. You can drill down to further examine the fraud events by using the filtering and grouping options.

异常 :与其他受信任源相比,有关安装的媒体源的信息具有“点击后到达安装时间”(CTIT)值异常的信息。

  • 将可疑激活与原始激活数据交叉引用,并查找可疑标志,例如怪异的应用程序版本号,旧的操作系统版本,与众不同的位置等。
  • 使用验证规则来拦截CTIT值过短的激活。Protect360会自动阻止CTIT值非常低的激活。

原始数据

可通过Pull API,Data Locker和Export Data获得有关欺诈的原始数据

原始数据报告分为以下几类:

  • 已拦截的报告:安装,点击和应用内事件报告。其归因被阻止,且用户没有被归因于任何媒体平台。
  • 归因后拦截报告
    • 激活已归因于某个媒体平台,但后来发现是欺诈性的激活。
    • 应用内事件:
      • 归因于媒体平台后被识别为欺诈的安装数量。
      • 不考虑安装本身而被判定为欺诈。
  • 广告主可以使用这些报告,来与广告平台帐户核对,进行优化,还可以调整归因仪表板,查看归因后-重新被判断为假量的情况。

Validation Rules

Validation Rules enable app owners to set conditions to block certain installs, block attribution (and ensure that installs are attributed to the most recent valid media source), or block in-app events.

与广告平台进行欺诈对帐

借助Protect360,广告客户可以获得与可能未记录欺诈行为的广告网络协调欺诈性安装和应用内事件所需的原始数据。

要使用Protect360协调基于CPI的广告系列,可执行以下操作:

  • 每个月初,请与发生假量的每个广告平台中的客户经理联系。
  • 从已拦截的安装和归因后-重新被判断为假量的报告中,收集获取相关的欺诈安装原始数据。
  • 与广告平台共享欺诈原始数据,以协调和优化流量。
  • 可以创建仅包含有效安装的原始数据报告,但不包括归因后-重新被判断为假量的激活。为此,您需要下载每月的UA归因激活报告,并排除所有在归因后-重新被判断为假量的报告中包含的数据。

要使用Protect360核对基于CPA / CPE的广告系列,请执行以下操作:

  • 每个月初,请与发生假量的每个广告平台中的客户经理联系。
  • 从“已拦截的应用内事件”和“归因后欺诈的应用内事件”报告中收集相关的欺诈性应用内事件的原始数据。
  • 与广告平台共享欺诈原始数据,以协调和优化流量。
  • 可以创建仅包含有效IAE,但不包括归因后欺诈的应用内事件的原始数据报告。为此,您需要下载每月 UA归因的应用内事件 报告,并排除 归因后欺诈的应用内事件 报告中包含的数据。

特性和限制

特性和限制

特性和限制
特征 备注
广告商访问 所有团队成员。
渠道访问
  • Protect360仪表板访问权限需要广告主许可。
  • 广告平台始终可以使用带有媒体源数据的已拦截欺诈原始数据报告 。
代理访问权限
  • 需要广告客户的许可。获得授权后,代理商可以查看Protect360仪表板并下载归因后的原始数据。
代理数据透明化  
应用设定的时区
  • 特定于应用程序的 时区 用于仪表板,前提是所有应用程序都设置为相同的 时区
  • 如果应用未设置为相同的时区,则仪表板默认为UTC。
数据新鲜度
  • Protect360仪表板:更新 每日
    最近更新时间,显示在仪表板中的日期范围过滤器下方。
  • 报告:
    • 已拦截的安装和应用内事件:几乎实时不断更新。
    • 归因后:每天使用UTC时区。
限制
  • 表格最多只能有20,000行。
  • 如果查询更大的数据集,则可能会排除某些媒体渠道。为了克服此限制,我们建议以下内容:
    • 查询较小的数据集-较小的日期范围,特定的应用程序和特定的媒体渠道
    • 导出Protect 360 原始数据报告
    • 通过Pull API导出Protect 360汇总的高级检测报告

常见问题和技巧

常见问题解答

常见问题解答

如何计算预计节省成本

对于支持共享成本数据的媒体平台,您可以准确估算出节省的费用。

对于不支持的媒体平台,AppsFlyer会使用来自具有成本数据的所有来源的整个已验证安装组的平均eCPI。如果您的应用仍然没有包含成本数据的来源,则在您进入信息中心时,系统会提示您手动输入估算的eCPI。

广告主授予访问Protect360权限的媒体平台无法看到任何估计的节省数据。

Protect360是否可以防止来自自定义归因链接的欺诈行为?

当然!
除了广告平坦,Protect360还检测并拦截来自自定义归因链接的欺诈。这意味着,如果您拥有自己的媒体活动(例如,网红,电子邮件和短信活动,网站横幅和登陆页面,社交媒体上的病毒式帖子,推送通知甚至QR码),也将受到保护。

与V1相比,Protect360 V2有哪些新功能?

  1. P360 V2.0有3个主要更改:
    归因后重新被判断为假量-无论我们在哪里展示已拦截的安装,我们都会显示归因后重新被判断为欺诈行为安装。归因后重新被判断为假量也可以下载原始数据报告使用。
  2. 异常洞察-添加了一个称为“异常洞察”的新部分,广告客户可以在其中通过可视化工具分析异常。它取代了旧的“高级检测”选项卡上的2个图表。
  3. 集中所有欺诈数据-删除了“高级检测”标签,而我们将所有信息显示在1个标签中。

为什么“ 导出数据”页面中没有提供归因后原始数据?

归因后报告位于每个媒体平台的帐户级别,以便简化对帐过程。“ 导出数据”页面在单个应用程序级别上,并且仍包含应用程序级别上的“已拦截欺诈”数据,以实现向后兼容性。

归因后数据会追溯更新吗?

  • 安装 -概述页面和Protect360仪表板外部的所有其他报告上的数据安装不会追溯更新。
  • 应用内事件 -归因后将安装识别为假量后,此安装产生的应用内事件将被拦截。以前的应用内事件不会追溯更新。

在“异常”见解中选择特定网络时,数据看起来是否有所不同?

我查看了CTIT异常,并选择了AF_Baseline作为基准。它向我显示了一个媒体的异常(下面的第一个屏幕截图)。
然后,我选择了与基准相同的网络,希望不会出现异常,但是现在还有其他异常(第二张屏幕截图)。为什么?

这个结果实际上是您应该期望的。使用受信任的基准时,媒体显示的CTIT异常率在24-39秒范围内。这些安装是从正态分布中“减去”的,这意味着与特定媒体的问题流量相比,常规流量应具有“异常”峰值。

异常的自然流量实际上是欺诈吗?

自然流量的异常峰值实际上可能是欺诈行为。通常,如果您认为AppsFlyer中的自然流量中确实是欺诈性的,则可能是以下三种情况之一:

  • 归因欺诈失败 -欺诈者的点击未能获得归因,例如,点击泛滥而最终点击发生在点击归因窗口之外。
  • 非归因欺诈 -用户执行与归因无关的欺诈,例如使用欺诈行为收集策略游戏中的物品。
  • SDK集成问题 -检查您的应用内事件是否正确发送,即在流程中的正确时间使用正确的事件参数值发送。

基准和技巧

基准和技巧

检测新设备欺诈

欺诈者 可以通过频繁重置其设备的主要ID(例如,iOS的 IDFA 和Android的 GAID 来掩盖其设备。

幸运的是,AppsFlyer可以识别全球98%以上的移动设备。

因此,除非有意将新设备作为目标,否则很大一部分未知的新设备,强烈表明了点击农场的欺诈行为。

检测新设备:

  1. 在Protect360中,转到“ 识别的作弊分析”表。
  2. 滚动到设备农场指示器-新设备列。
  3. 单击“ 安装百分比”列名称,以新设备比率降序对表格进行排序。
  4. 新设备欺诈基准:
    • 可疑来源的安装次数超过100次,其中新设备的比率超过60%
    • 安装相对较多的媒体平台,如果有新设备比率较低的情况,也是怀疑,例如媒体平台带来1000次安装,但因为欺诈行为占40%,也是可疑的。
    • 对于边界来源,请将忠诚用户比率与一般忠诚用户比率进行比较,该比率可在仪表板概述页面的“综合性能报告”表中找到。相对较低的百分比强烈表明存在欺诈行为。
:广告活动预装的应用程序通常有新的设备非常高的价格,因为这些可能是第一个应用程序,用户激活他们的新设备时启动中。因此,对于预安装的应用程序,即使新设备的使用率很高,也不太可能发生新设备欺诈。

检测LAT欺诈

LAT(受限广告跟踪)用户选择不向广告主展示其设备ID,IDFA或GAID。大约15%的iOS用户和10%的Android用户会选择此选项。

与新设备排名类似,LAT用户可以是合法用户。但是,如果占比很大一部分,可能表明存在欺诈行为。

检测LAT:

  1. 在Protect360中,转到“ 识别的作弊分析”表。
  2. 向右滚动到“ 设备农场指示器”-“ LAT设备”列。
  3. 单击“ 安装百分比”列名称,以LAT设备比率的降序对表格进行排序。
  4. LAT设备欺诈基准:
  • 可疑来源的安装次数超过100次,其中新设备的比率超过60%
  • 安装相对较多的媒体平台,如果有新设备比率较低的情况,也是怀疑,例如媒体平台带来1000次安装,但因为欺诈行为占40%,也是可疑的。
  • 对于边界来源,请将忠诚用户比率与一般忠诚用户比率进行比较,该比率可在仪表板概述页面的“综合性能报告”表中找到。相对较低的百分比强烈表明存在欺诈行为。

检测点击泛滥欺诈

  1. 欺诈者通过使用点击泛滥功能,以真实的设备ID发送数百万次点击,希望将其注册归因为真实用户的最终点击。具有此类欺诈的媒体平台的转化率非常低,但质量较高的用户,因为这些是真正的用户。

    检测点击泛滥:

    1. 在Protect360中,转到“ 识别的作弊分析”表。
    2. 向右滚动到“ 点击泛滥指示器”列。
    3. 单击转换率列名称,以转换率的升序对表格进行排序。
    4. 点击泛滥欺诈基准:
    • 正常 转换率 在0.5%到35%之间。
      可疑源的转换率异常低,或者 占应用程序平均转换率 的25%或更低。您可以在仪表板概述页面的“综合性能报告”表中找到此KPI。
    • 对于边缘来源,请将助攻百分比与平均助攻率进行比较。您可以在仪表板概述页面的辅助部件中看到正常的辅助比例。
      助攻率比应用程序的平均助攻率高50%的媒体被认为是可疑的。
      请注意,应用使用的媒体渠道越多,其贡献率就越高。

使用CTIT指示器检测点击泛滥

点击泛滥的另一个迹象是CTIT的均匀分布
通常,大约70%的正常安装是在广告参与后的1小时内完成的。
使用点击泛滥,虚假参与和实际安装之间没有任何联系。这导致超过30%的欺诈安装,而CTIT的安装时间超过1小时。

检测点击泛滥CTIT指示:

  1. 在Protect360中,转到“ 识别的作弊分析”表。
  2. 向右滚动到“点击泛滥指标-CTIT”列。
  3. 点击泛滥CTIT基准测试:
  • 通常,  超过60分钟的值应为30%左右 。可疑的媒体渠道,此指标超过50%。
  • 通常, 超过5小时的值应为20%左右 。可疑的媒体渠道,此指标超过40%。

使用异常洞察 页面以调查可疑CTIT的来源。

先进的反欺诈技巧

先进的反欺诈技巧

安装数量

按每个检查媒体渠道的安装数量进行过滤,对于检测最大的欺诈媒体渠道很重要。此外,较少的安装次数在数学上可能并不重要。注意:

少于30个安装甚至50个安装的媒体渠道不足以得出结论。扩大日期范围或其他搜索条件以获得更重要的结果。

更改忠实用户定义

忠诚度用户的默认定义是应用程序打开3次或以上。对于用户参与而言,它是一个重要的KPI,但不幸的是,许多欺诈者都知道并使用它来伪造高忠诚度用户,从而避免了怀疑。通过创建并选择更好的、更详尽的忠诚用户定义,来避免陷入上述困境。

分析您的应用程序用户质量 KPI 例如注册,教程完成,购买,多个会话。如果用户执行所有 KPI 列表,则在应用程序代码内发送新的 忠实用户 应用程序内事件。

发送第一个非自然的忠实用户事件后,转到“ 应用程序设置”并选择它以指示您的应用程序的忠实用户定义。预计一般的忠实用户率会略有下降,然后对于欺诈媒体渠道会急剧下降。

 提示

您的行业受到欺诈的影响如何?
浏览我们的应用安装欺诈基准指南,涵盖更广泛的参数数据。

这篇文章有帮助吗?