APP安裝類的廣告作弊手段分為三類:
點擊作弊: 虛假點擊、真實用戶
安裝作弊: 虛假點擊、虛假用戶
合約作弊: 真實點擊、真實用戶
下圖中紅色表示作弊,灰色表示真實的。
點擊作弊
在真實用戶的設備上進行模擬點擊時,即使真實廣告沒有顯示或者被點擊,也會讓廣告主相信廣告已經被點擊。這是一種高回報的欺騙方式,因為它只需要一個虛假的點擊操作就可以獲得廣告收入。如下圖,某安全產品就采用了模擬點擊的方式作弊。
當欺詐者在一個真實用戶的設備上進行模擬點擊,一旦用戶自己安裝了APP,則他們就會獲得廣告主的信任。因為這種用戶是真正對這些app感興趣的人,他們的行為就像典型的自然流量用戶一樣,不會留下可疑的痕跡。
(1)點擊填充
通過這樣做,作弊者將用戶作一個標記(tag),即把這些用戶作為他們自己的用戶(也就是說是他們把這些用戶推薦給廣告主的),實際上這些下載應用的用戶與作弊者的行為根本就沒有關系,只是因為作弊者采用了強制點擊的手段,APP安裝的功勞就歸於他們了。這跟web時代的“cookie stuffing”很相似。
(2)可見性作弊
這是一種使用廣告堆疊和像素填充等方式導致用戶沒有機會看到正常廣告內容的流量欺騙方式。
廣告堆疊是多個廣告堆疊在一起,所以只有頂層的廣告是可見的,底層的廣告是不可見的。像素填充是在用戶的手機屏幕上只展示1個像素大小的廣告。這種廣告,用戶看不 見,但統計工具可以統計到,仍然會作為曝光廣告與廣告主結算,給廣告主帶來經濟損失。其它類似於“1 像素廣告”的作弊方式還體現為私自替換廣告主的廣告素材、私自修改廣告素材篇幅等等,花樣百出。
(3)點擊劫持
當有應用被安裝(自然安裝)的時候,Android系統會發出一個廣播,惡意APP(含有廣告欺騙代碼的APP)就會利用這個廣播進行點擊劫持。當惡意APP接收到這個廣播的時候,就會在新安裝的APP打開之前運行惡意代碼觸發點擊事件。這樣,看起來像是作弊者展示的廣告使用戶產生了最后的“點擊”事件,從而可以獲得廣告收入。
換句話說,作弊者通過惡意APP劫持用戶的設備,在恰當的時機創建一個看起來合法的“adclick”,從而獲取CPI收入。
(4)點擊刷量
自然流量安裝用戶對APP開發者有着巨大的價值,因為這些用戶是在沒有任何廣告互動的情況下下載的APP,他們之所以下載很可能是出於自己的興趣,或者是通過APP口碑推薦。
自然流量安裝用戶通常比其他用戶的質量更高,他們使用應用的時間更長,並且可能比付費用戶擁有更高的終身價值。跟蹤APP的自然流量安裝用戶數量的增減通常是了解應用程序整體健康狀況的一個好方法。然而,當作弊者試圖將自然流量用戶充當為他們的用戶時,這種情況就發生了變化。部分自然流量被當作作弊流量,使得APP廣告主需要為那些自然流量安裝付費。這種做法通常被稱為“自然流量竊取”或“點擊刷量”。
當用戶登陸手機網頁或作弊者操作的APP時,“自然流量竊取”就開始了。從那一刻起,任何一種作弊行為都可能發生:
- 移動web頁面可以在沒有用戶可見的廣告,或者沒有可以與之交互的廣告的情況下在后台執行單擊操作。某無感知廣告sdk就是用的這種方式,在后台通過webview加載js代碼執行點擊操作
- 當用戶使用APP時,刷量軟件就開始在后台進行點擊操作,看起來像是用戶與廣告互動過
- 如果作弊者運行的APP是7*24小時在后台運行的(如Launch,內存清理工具,電池優化工具等),則可以在任何時候產生點擊。
- 作弊者可以上報廣告展示和點擊事件,使得某個view好像與用戶進行了互動。
- 刷量人員可以通過偽造的設備id或者通過從其他廣告商獲得的重發列表公然發送點擊信息讓廣告主跟蹤。
這些方法的共同之處在於用戶並不知道他們已經與廣告進行了交互。事實上,他們什么也沒看到。
安裝作弊
安裝作弊是指欺騙廣告主追蹤並未在真實設備上發生的安裝,這種形式的欺騙可以快速的擴大用戶基數。然而這些用戶對這些安裝的APP並不感興趣,他們要么是不懷好意的真實人類,要么只是產生無效流量的機器人。
(1)安裝農場(app install farms)
APP安裝農場通過雇佣“農民”讓他們在提供的移動設備上手動頻繁地安裝和卸載APP。他們進行這些操作的目的並不是要使用這些APP,而只是想在APP內模擬真實的流量。
(2)僵屍網絡
作弊者利用人工方式或網絡傳播方式將木馬/具有再分發能力的應用植入到用戶手機,形成僵屍網絡,通過在后台利用雲控技術對僵屍網絡發送統一的命令,在用戶無感知的情況下,完成App的下載、激活和刪除等一系列操作。
(3)SDK欺騙
SDK欺騙(也稱為“重放攻擊”)是一種看起來進行了安裝實際沒有進行任何真正的APP安裝,以此騙取廣告主酬金的欺詐行為。
為了進行SDK欺騙,欺詐者必須劫持被跟蹤SDK及其后端服務器的SSL加密通信,進行“中間人攻擊”(MITM攻擊)。在完成MITM攻擊之后,欺詐者將為他們想要偽造的APP生成一系列用於測試安裝的URL。因為此時可以清晰的讀取URL請求,從而知道在APP里頭,哪些URL調用代表了哪些特定操作,比如首次打開、重復打開,甚至如購買或升級等不同的應用程序內事件。通過研究這些url的哪些部分是靜態的,哪些是動態的,然后保留靜態的部分(比如事件token等)數據不變,測試諸於廣告ID等動態變化的部分,然后再捕獲實時請求獲得的返回結果。
開發人員可以通過提交安裝事件相關請求然后將其與真實的安裝會話進行匹配來測試其構造的數據是否正確。如果成功地追蹤到了安裝事件,就可以證明已經成功破解了安裝邏輯。因此,SDK欺騙僅僅是對幾十個變量進行簡單的試錯。一旦一次安裝過程被成功追蹤,欺詐者就可以據此構造出一個URL,然后成功的進行安裝偽造。
(4)模擬器安裝作弊
這種作弊方式通常通過數據中心使用模擬器進行。模擬器作弊又分為電腦模擬器、手機軟件模擬、腳本模擬。
- 電腦模擬器作弊是指在一台或多台機器上開很多的虛擬機跑模擬器進行刷量,稍微有實力的作弊者可自己開發模擬器並有專門的服務器掛在全國各地的機房,或者使用VPN不斷變化IP,進行24小時不間斷的刷量。
- 手機軟件模擬作弊是指在手機上安裝模擬器進行作弊,軟件可以從非法渠道買到,也可以根據自已要求定制。經過幾年的發展,手機軟件模擬刷量一鍵安裝運行已成為標配。部分模擬器甚至能動態修改機型唯一性標識,即使是小白用戶也可輕松偽造新增用戶。部分刷量玩家結合PC 時代的技術,編制自動化腳本,單台PC 單日可偽造數百上千新增用戶。更有甚者,可深度定制化模擬器,將偽造新增流水線化,
- 腳本模擬就是利用一些腳本來模擬用戶的行為進行作弊,這類目前占比比較多,常用的一些方法就是使用ACC、IS、IF、IG插件,錄制用戶的行為生成腳本,並設置循環任務,如果會使用LUA語言並懂點業務,再對用戶行為有研究的話,做出一個模擬真實用戶使用的腳本應該不是很困難,市面上已經有些腳本跟真實的用戶行為幾戶沒太大差別,很難從技術上分辨。
合約欺騙
這種類型的作弊的特征是,在廣告主同意的條款之外的條件或環境中投放廣告。這種手段被用來吸引更低價的流量,同時欺騙廣告主從而獲取更多收入。這種形式的欺詐吸引的雖然是真實的用戶,但因為他們並不是廣告主的目標客戶,所以這些廣告的質量或產生的價值並不是廣告主所期望得到的。
(1)環境欺騙
這種類型的欺騙是指將廣告投放在錯誤的環境中或者以錯誤的格式投放廣告。舉個例子,雖然廣告平台將廣告投放在一個有着很大訪問記錄的網站上,但這些人並不是廣告主所期望的目標用戶。所以這被認為是一種合約欺騙,因為廣告並沒有投放在合適的環境中。
(2)未公開的流量激勵
流量激勵是指當用戶點擊某個廣告或者安裝某個APP的后,就會得到一定的獎勵,這樣更能吸引用戶,但是並不能保證用戶對這個廣告感興趣。如果廣告平台提供流量激勵,而廣告主提出不允許提供流量激勵,那么這就是一種合約作弊。
(3)以次充好
流量的價格通常會根據用戶所在的區域(國家)不同而有所區別。如視頻類廣告一線城市受眾較二三線城市往往溢 價售賣。一線城市的庫存經常緊缺。出於牟利動機,部分媒體會將廣告主原本定向的一線城市用戶偷偷換 成二三線城市用戶,達到以次充好的目的。地域是標示用戶的剛性標簽(多方易於達成共識),而類似高收入群體這樣的定向,若發生以次充好,在舉證環節的溝通成本將極高。
(4)未公開的重新代理
未公開的重新代理就是廣告平台違反協議將廣告轉賣給第三方。這種情況下,當廣告最終被展示時,它可能無法到達預期的目標受眾面前,廣告主也可能無法透明地知道廣告最終被投放到哪里。一些廣告主不希望他們的廣告被轉讓,這樣便於掌控他們的品牌和信息。
(5)欺詐套利
套利是商業廣告一個必要的組成部分,以較低價格買入,以較高的價格出售,即“低買高賣” 。套利本身不被認為是欺詐的。 在許多情況下,廣告網絡使用套利來有效地提高效率和規模,這也是合約作弊的一種形式。
(6)誘導性廣告
這種形式的欺詐主要是指在誤導性的語境中展示廣告。它會讓用戶不小心點擊,或者包含一個誘餌誘導用戶點擊,但點擊結果並不是用戶所想要的。誘導性廣告通過誘導性的信息欺騙用戶與廣告進行互動,這通常是在廣告主和廣告平台的合約規定之外。
(7)域名欺騙
在實時競價過程中,欺詐者可以使用域名欺騙來有意地用一個更理想的域名來替換他們的域名,以吸引優質流量,雖然廣告主認為他們的廣告顯示在某個通過域名識別的流量源上。其實他們的廣告偷偷地被顯示在另外一個不同域名的流量源上。
參考資料:
https://www.tune.com/blog/types-of-advertising-fraud/
http://www.199it.com/archives/703479.html
《2017廣告反欺詐白皮書》