往期文章:
EMU的艺术,从大逻辑来解释小细节,我们讲得跟别人不一样(连载之一)
EMU的艺术,从大逻辑来解释小细节,我们讲得跟别人不一样(连载之二)
EMU的艺术,从大逻辑来解释小细节,我们讲得跟别人不一样(连载之三)
EMU的艺术,从大逻辑来解释小细节,我们讲得跟别人不一样(连载之四)
EMU的艺术,从大逻辑来解释小细节,我们讲得跟别人不一样(连载之五)
移动互联网的兴起市场增量1000%+
2015年左右发生了一个大事,就是互联网变为移动互联网之后,广告联盟的头部几乎都变成了中国的公司。最有代表性的是现在的A股上市公司易点天下。易点天下的老板Peter一开始就是一个新手小白,在美国留学,慢慢通过学习进入了这个行业,并且开设了自己的广告联盟,在移动互联网时代来临的时候,果断关闭了传统互联网广告联盟,直接ALL IN移动互联网广告,直接弯道超车变成了移动互联网头部广告联盟。
这里的主要原因依旧是由于移动互联网的兴起,市场增量远超过去的十倍,大家也可以感受下,过去每家有电脑的人就不多,但是移动互联网时代来临的时候,是每个人至少一部智能手机,可以想象增量市场是多么巨大。
所以这个时代的来临,以前一个月一万美元的收入都属于顶尖水平变成了动辄一个月十几万美元收入或者几十万美元收入属于正常收入。而这个时代的来临,也强化延伸了EMU这块往技术方向变革,这里延伸了一个新的名词,归因作弊。
广告归因方式
要讨论广告作弊,就需要先了解广告的归因逻辑,作弊手段基本都是围绕广告归因的逻辑来进行的。
广告归因方案多种多样,我们这里主要讨论应用类广告、海外移动生态、第三方归因的方案。
海外移动广告生态,拥有比较成熟可信的第三方归因平台,比如Appflyer,Adjust以及Kochava等等。归因的核心逻辑是最后归因模型,即“Last Click”。
媒体的广告曝光后,若用户对广告进行了点击,媒体会将广告点击的媒体信息、用户设备信息(核心是IDFA/IMEI)、时间戳、网络状态等信息通过302跳转的方式给到第三方归因平台(即广告点击后,会通过302重定向跳转到第三方归因平台的后台,然后再跳到Google Play或者App Store)。此时,第三方归因平台其实是没有广告的曝光相关信息的。
应用激活后,可以通过接入归因SDK或者通过服务端对接的方式(S2S)的方式将应用相关信息回传给第三方归因平台,归因平台从数据库中找出匹配的媒体点击信息,通过匹配的应用包名、用户ID信息和广告的点击信息,按照最后一次点击的逻辑将应用的激活归因给对应的媒体和广告,完成一次归因的流程。
在全部广告作弊类型中,作弊者能够伪造在归因中使用的任意或两类“信号”(Signal)。这两类信号分别为广告交互(例如查看或点击,对应归因方式中2的位置)和应用活动(例如安装、会话或事件,对应归因方式中3的位置)。在此基础上,我们将作弊分为伪造广告交互和伪造用户应用内活动。前者称为伪造归因(Spoofed Attribution),后者被称为伪造用户(Spoofed Users)。
类型1中的全部流量均为真实流量,即用户受到广告驱使,与应用所产生的真实互动。
类型2指伪造归因,即作弊者伪造真实用户的广告交互。其目的是为了窃取用户与应用之间的自然交互或通过真实广告所产生的效果。此类型的伪造也被称为“窃取归因”或“流量盗取”(poaching)。
类型3和4指伪造用户。此作弊类型专注于模拟用户的应用内活动行为。通过伪造不存在的用户而产生的应用安装和事件,作弊者可以窃取以应用转化为奖励的广告预算。“外挂”、“虚拟机器人”以及任何与“虚假用户”相关的手段都能归纳为此类型的作弊。
伪造归因,也称Attribution Fraud、Spoofed Attribution、归因作弊、抢归因,是利用归因逻辑上的一些漏洞进行作弊的手段,通过发布虚假的曝光/点击,劫持真实用户产生的转化。
Click Spamming
Click Spamming,也叫Click Stuffing或Click Flood,中文名叫点击欺诈、点击泛滥、点击填塞、大点击、预点击、撞库。
做法是伪造海量广告的曝光或点击,等到用户真安装之后,在Last Click归因原则下,如点击后N天内安装的都算成带来点击的渠道,将其他渠道或者是自然量归因抢到自己的渠道中来。
这种方式的作弊成本最低,但隐蔽性很差。
Click Injection
Click Injection 、中文名点击劫持、点击注入、小点击, 是当前安卓应用系统最猖獗的作弊手法,虽然谷歌最新的Google Install Referrer API供点击引荐时间、应用安装开始的时间,可以有效避免点击劫持,但是基于Google Play,国内无缘。
做法是弊者利用的是安卓操作系统上的广播接收器(broadcast) ,由于安卓设备上的所有应用都可以配置广播接收器(包括最常见的 Google Referrer 广播)来收听系统广播的信息—包括接收装置上其他新安装的信息。
如你手机中流氓APP或恶意插件监听到你正在安装一个APP,于是乎同时捏造一个假的点击上报。也就相当于宣告当前的安装是由于这个假点击所产生的,而如果这个用户确实安装了该APP,根据Last Click规则监测工具就会认定这个应用是由这个渠道带来的。如下示例:
时间:22:55:57——用户在渠道A在点击下载APP,触发监测平台的监测链接,记录到点击前的数据
时间:22:55:59——用户被重定向到应用商店
时间:22:57:26——监测平台在收到了渠道B的点击
时间:22:59:00——应用程序的第一次打开发生在
在这个过程中,用户第一次打开应用,根据Last Click原则,这次转化归功于渠道B。
这种方式实现难度更大,更精准,隐蔽性更强。
IOS不存在,因为IOS不存在类似安卓的广播机制,但是还是可以收集IDFA去主动发送去撞库,就是上一种情况。
应对方法:基于Google Play的Referral API可以获得安装完成的时间戳和第一次打开的时间戳,可以用于判断。
Installation hijacking
Installation hijacking,中文叫安装劫持、渠道包劫持。
做法主要是利用在不同应用市场或推广渠道的渠道包在打包时会通过渠道ID区分来源的原理,在用户想要安装APP时对用户发出不安全提示,引导用户前往自己的应用市场,在用户不在不知情的状态下改变渠道包的来源,从而让自己应用商店或渠道获取新用户。
当用户在浏览器中下载了一个 App,准备安装的时候,突然画面跳出对话框,提示基于病毒或是其他安全因素,建议用户从手机厂商的“官方渠道”下载 App,一旦用户选择同意,用户会跳转至手机厂商的“官方渠道”下载。这意味着手机厂商已经劫持了此次安装。这里手机厂商利用自己在系统权限上的优势做的小动作。
下面是对对正常转化和安装劫持的两个示例:
正常转化
用户点击媒体渠道A的广告,然后立即下载应用或跳转到媒体渠道指定的国内第三方应用商店A下载。在监测平台中,会记录到以下归因数据:
媒体渠道 :媒体渠道A
Install app store :媒体渠道指定的国内第三方应用商店A
安装劫持
用户点击媒体渠道A的广告。在启动下载时,设备上会弹出一个警告窗口,提示用户从设备制造商的应用商店下载应用程序。如果用户同意,用户会跳转至制造商的第三方应用商店B下载。在监测平台中,会记录到以下归因数据:
媒体渠道 :媒体渠道A
Install app store :设备制造商的应用商店B
伪造用户
伪造用户发生虚假应用内活动,我们能够发现模拟器、设备农场(Device Farms) 和 SDK 伪造。
在最初发现的伪造用户案例中,我们检测到欺诈者利用模拟器模仿云计算服务上真实用户使用安卓应用的情况。同时,我们还识别出东南亚国家的iOS设备农场,他们通过真实的设备和人员伪造了虚假的应用活动。
模拟器(Bots)
模拟器指的是作弊者通过自动化脚本或计算机程序模拟真实用户的点击、下载、安装甚至是应用内行为,伪装成为真实用户, 从而骗取广告主的CPI/CPA预算。
设备农场(Device Farms)
设备农场指的是作弊者购买大量真实设备进行广告点击、下载、安装和应用内行为,并通过修改设备广告跟踪符等方式隐藏设备信息。
设备农场主使用各种策略来隐藏他们的活动,包括隐藏在新的IP地址后面,使用各种设备,同时启用限制广告跟踪或隐藏在 DeviceID重置欺诈后面(每次安装时重置他们的 DeviceID)。当大规模实施时,这种欺诈也称为DeviceID重置Marathons。
SDK伪造(SDK Spoofing)
SDK伪造是指作弊者通过执行“中间人攻击”破解第三方SDK的通信协议后,在没有任何实际安装的情况下,使用真实设备的数据来发送虚假的点击和安装,以此消耗广告主的预算的作弊行为。作弊者毁坏加密和哈希签名,进而引发了作弊者和研究人员之间的对决。
特点是广告主后台数据和第三方数据不符。
这里面移动互联网广告联盟基本上起到帮凶的作用,最经典的案例是Uber全球推广,有3个人的小团队一年实现了过亿的利润。
当然,还有一些人利用安卓系统的底层漏洞,对第三世界国家比如非洲,沿用国内短信订阅,并且后台暗扣,以及后台弹或者刷广告等,也收益颇丰。
