廣告作弊Ad Fraud（二）

2179 閱讀 0 評(píng)論 33 點(diǎn)贊

Hello，大家好。

我是目前研究出海投放&變現(xiàn)業(yè)務(wù)的SL。

接下來，我們會(huì)逐步分析前文所述的各種ad fraud的特征并說明我們可以采取的應(yīng)對(duì)策略。當(dāng)然純靠開發(fā)者自身依然無法保證百分百避免作弊流量，所以我會(huì)再介紹一下不同MMP平臺(tái)提供了哪些工具以及如何利用這些平臺(tái)提供的功能做出我們自己獨(dú)特的解決方案。

今天我們講述的內(nèi)容包括以下這幾部分：

虛假安裝之設(shè)備農(nóng)場&機(jī)器人

定義及原理
基本的避免方法

定義及原理

設(shè)備農(nóng)場：作弊平臺(tái)通過模擬器重置設(shè)備ID的方式，反復(fù)刷新并虛擬點(diǎn)擊廣告主廣告，批量大規(guī)模下載安裝廣告主應(yīng)用。

機(jī)器人：作弊平臺(tái)通過惡意代碼，實(shí)現(xiàn)反編譯歸因等平臺(tái)的SDK，實(shí)現(xiàn)模擬安裝的行為。（常見于開源SDK）

本質(zhì)上這兩種方法產(chǎn)生的用戶都不是真實(shí)的用戶，所以對(duì)廣告平臺(tái)的風(fēng)險(xiǎn)極大。

我們先探討設(shè)備農(nóng)場的進(jìn)化史：虛擬機(jī)->刷機(jī)/改機(jī)->設(shè)備農(nóng)場->云端設(shè)備->積分墻->混量->more......

虛擬機(jī)指的是利用電腦模擬手機(jī)等移動(dòng)設(shè)備，實(shí)現(xiàn)偽裝。

刷機(jī)/改機(jī)分別指的是：

刷機(jī)：通過修改設(shè)備上的Device ID如GAID、IMEI和OS Version等移動(dòng)設(shè)備信息實(shí)現(xiàn)偽裝。目前簡單的刷機(jī)基本逃不過風(fēng)控和MMP的檢測。

改機(jī)：簡單來說，就是通過逆向排查應(yīng)用設(shè)備的環(huán)境參數(shù)去獲取設(shè)備參數(shù)位置，然后偽造信息、協(xié)議后就可以實(shí)現(xiàn)定制化偽裝真實(shí)設(shè)備。

設(shè)備農(nóng)場：用單個(gè)的真實(shí)實(shí)體移動(dòng)設(shè)備去實(shí)現(xiàn)偽裝。常見的場景如下：

設(shè)備農(nóng)場的成本其實(shí)已經(jīng)非常高昂了，利潤極低。

當(dāng)然聰明的作弊者為了規(guī)避被檢出率會(huì)去洗白設(shè)備。作弊者為了繞過MMP的檢測機(jī)制，會(huì)通過走代理的方式，直接刷頭部Ad Network+大App的量來洗白自己的設(shè)備。這個(gè)方法去年被海外的MMP設(shè)置了渠道和代理雙向握手驗(yàn)證。不過路是死的，人是活的，所以......

云端設(shè)備：簡單來說，設(shè)備農(nóng)場上云服務(wù)器后的產(chǎn)物。

積分墻：這個(gè)內(nèi)容不好說。目前國內(nèi)對(duì)這個(gè)的定義很模糊。比如網(wǎng)賺產(chǎn)品尚且可以定義為違規(guī)，但是地推流量、常見的Digital Turbine、Tapjoy這些大型積分墻業(yè)務(wù)公司又是合規(guī)的正向產(chǎn)品（如果流量下游審核嚴(yán)謹(jǐn)，不來自網(wǎng)賺/刷機(jī)的話）。

混量：目前很多作弊渠道在流量采買上是多種形式混合而成的。它不一定全部是虛假安裝的流量，往往是一部分真實(shí)流量再加一些歸因劫持/大點(diǎn)擊/虛假設(shè)備的量。這樣混裝起來，能夠?qū)崿F(xiàn)甲方的KPI要求，同時(shí)自己也有利潤空間。

接著，我們梳理一下機(jī)器人：作弊平臺(tái)通過惡意代碼，由隱藏在用戶設(shè)備中另一個(gè)應(yīng)用程序上的惡意軟件執(zhí)行，實(shí)現(xiàn)反編譯歸因平臺(tái)或者其他廣告平臺(tái)的SDK，實(shí)現(xiàn)模擬安裝的行為。

具體來看，作弊者劫持SDK（假設(shè)為應(yīng)用程序內(nèi)數(shù)據(jù)分析的SDK）及其后端服務(wù)器的SSL加密通信，進(jìn)行MITM攻擊。一旦攻破SDK通信后，就可以利用該應(yīng)用的SDK把標(biāo)準(zhǔn)的安裝URL發(fā)送給MMP服務(wù)器平臺(tái)。這個(gè)URL并不是一開始就能夠準(zhǔn)確確定的，所以需要不斷試錯(cuò)并調(diào)整URL中的動(dòng)態(tài)/靜態(tài)參數(shù)（詳見歸因基礎(chǔ)知識(shí)了解更多，比如寫死上報(bào)數(shù)據(jù)的siteid，測試廣告ID等動(dòng)態(tài)變化的部分），通過類似“撞庫”的過程，最終捕獲實(shí)時(shí)請(qǐng)求的結(jié)果。如果成功地追蹤到了MMP的安裝事件，則可以證明已經(jīng)成功破解了SDK的安裝事件的上報(bào)邏輯。

基本的避免方法

對(duì)于投放&運(yùn)營來說：在足夠了解自己的產(chǎn)品基礎(chǔ)上，我們可以利用一些基本的行業(yè)經(jīng)驗(yàn)和簡單的規(guī)則去判斷是否有虛假安裝的流量：

基礎(chǔ)維度：

貨不對(duì)板：比如最為基礎(chǔ)的一個(gè)邏輯驗(yàn)證，投放米國的產(chǎn)品出現(xiàn)大量霓虹設(shè)備語言的安裝。

OS Version：假設(shè)我們上架的應(yīng)用只能在Android9+以上版本的設(shè)備上才能正常使用。但是分析渠道的時(shí)候，發(fā)現(xiàn)某些渠道的流量來源于一些非常低OS版本/特別集中的設(shè)備供應(yīng)商，那可以初步判斷渠道是有問題的。

New Device Rate：對(duì)于一個(gè)廣告來說，是有概率投放到新設(shè)備比例上的，這當(dāng)然很正常，但是過高的新設(shè)備比例則明顯不正常。畢竟海外Appsflyer平臺(tái)是拿到了市場上98%的設(shè)備信息。即使是國內(nèi)，神策和數(shù)美等平臺(tái)也拿到了足夠多的數(shù)據(jù)。所以你的應(yīng)用99%的情況下，新舊設(shè)備分布是遵守大盤的，不會(huì)全部都是新設(shè)備，高于20%就已經(jīng)是一個(gè)危險(xiǎn)的數(shù)據(jù)指標(biāo)了。

IP和VPN檢驗(yàn)：VPN的工作原理是通過選定的VPN的專用服務(wù)器而不是互聯(lián)網(wǎng)服務(wù)提供商（ISP）路由設(shè)備互聯(lián)網(wǎng)連接。作弊者使用VPN來掩蓋他們的操作并隱藏他們的IP地址，以避免被列入MMP和Ad Network平臺(tái)的黑名單。MMP平臺(tái)本身提供了IP驗(yàn)證的套件（如Adjust中的MaxMind）。

素材維度：了解所有素材類型和尺寸，拒絕一切非正常規(guī)格驗(yàn)證的素材上報(bào)點(diǎn)擊和曝光。具體來看，比如在明確我們?cè)谒袕V告平臺(tái)都沒有圖片類型素材的話，如果后續(xù)中有上報(bào)來自image的點(diǎn)擊，則可以判定渠道有問題。

規(guī)則驗(yàn)證：Appsflyer提供了廣告主自行設(shè)置Rule防作弊的功能，投放同學(xué)可以和運(yùn)營同學(xué)一起根據(jù)用戶的數(shù)據(jù)表現(xiàn)，設(shè)置規(guī)則。比如IP/OS Version的黑白名單。

對(duì)于產(chǎn)品同學(xué)來說，更需要從技術(shù)層面給予一些支持，避免更為復(fù)雜的作弊方式：

建立風(fēng)控系統(tǒng)：這可能是XJD產(chǎn)品最為熟悉的環(huán)節(jié)，不過現(xiàn)在作弊的情況，其他的品類也可以考慮加入基礎(chǔ)風(fēng)控模型。一般風(fēng)控系統(tǒng)和MMP的Protect高級(jí)服務(wù)都會(huì)包括識(shí)別用戶行為，將程序化、非人類行為模式的安裝排除歸因。說到建立風(fēng)控模型，就一定逃不過通過時(shí)序等各種算法定義用戶，將不同的用戶分到不同的驗(yàn)證池子，這個(gè)后續(xù)有時(shí)間再寫。

設(shè)備傳感器驗(yàn)證：一般產(chǎn)品（常見于安卓）可以收集用戶設(shè)備上安裝的app、屏幕尺寸分辨率、系統(tǒng)亮度、是否打開了usb調(diào)試、所有音量、陀螺儀、是否有設(shè)備指紋、是否root、是否充電、電量、手機(jī)網(wǎng)絡(luò)(wif/4G)等字段驗(yàn)證用設(shè)備是否有問題。

閉源SDK：與開源不同，閉源技術(shù)開發(fā)的SDK源代碼對(duì)作弊者來說，相對(duì)難以模擬和反編譯。一般來說，反編譯后上報(bào)URL的行為通常會(huì)從應(yīng)用程序使用的SDK版本以外的SDK版本發(fā)送點(diǎn)擊和安裝，我們需要定期更新并及時(shí)留意某些特定SDK版本的安裝是否不合理。

CUID埋點(diǎn)：這里是以Appsflyer為例，從應(yīng)用開始準(zhǔn)備發(fā)包前，就埋好CUID這個(gè)收集字段。官方推薦當(dāng)用戶完成注冊(cè)后就生成一個(gè)CUID給這個(gè)用戶。確實(shí)我們可以利用字段有無去識(shí)別一些渠道。但是部分渠道可能依然不承認(rèn)用戶為虛假用戶，沒關(guān)系，還有2.0版本，直接通過CUID和用戶安裝事件深度綁定，將Application SDK引入。這時(shí)候大量沒有任何CUID的用戶的渠道一定是虛假流量。

SDK和S2S事件上報(bào)以及驗(yàn)證：

我們知道事件的上傳可以包括SDK和S2S兩種。之前有部分渠道可以做到機(jī)刷SDK事件，但是現(xiàn)在有的作弊者可以刷S2S事件了，對(duì)此只能說真心佩服。我也遇到過，給一個(gè)純IAA的游戲刷出IAP付費(fèi)事件的情況，甲方自己都懵了，我也只能建議作弊者多長點(diǎn)心，刷之前看看產(chǎn)品類型再說。

SDK作弊，常見于安裝（安裝是一個(gè)事件）、偽造廣告收入。安裝上述已有探討。這里多提一句，如果你接入了外置network或者mediation的SDK平臺(tái)，可以設(shè)置一步S2S激勵(lì)回調(diào)的驗(yàn)證，識(shí)別一些作弊流量。

另外，Appsflyer應(yīng)該是目前歸因后驗(yàn)證數(shù)據(jù)做的最全面的MMP了，你可以識(shí)別歸因后的用戶行為是否合規(guī)。如果產(chǎn)品規(guī)模也比較大的客戶，可以考慮購買附加的服務(wù)。不過需要注意的是，如果發(fā)現(xiàn)渠道流量質(zhì)量有問題需要核減的情況，建議在次月8號(hào)之后再去統(tǒng)一核減上個(gè)月的流量。這是因?yàn)殡m然Appsflyer是實(shí)時(shí)去檢查歸因后數(shù)據(jù)的，但是Appsflyer次月8號(hào)后，即便檢測出之前的流量仍然有問題，也不會(huì)體現(xiàn)在PAF報(bào)告中了。

此外就是，盡量從S2S走事件，SDK相對(duì)不太安全。對(duì)于S2S的放作弊，暫時(shí)沒有什么特別好的方法，只能從風(fēng)控下手。不過不排除暴力打端口的可能性？

一個(gè)簡單的風(fēng)控+事件上報(bào)組合系統(tǒng)邏輯

Bye!

關(guān)注我，獲取更多廣告投放變現(xiàn)知識(shí)！

文章為作者獨(dú)立觀點(diǎn)，不代表DLZ123立場。如有侵權(quán),請(qǐng)聯(lián)系我們。( 版權(quán)為作者所有，如需轉(zhuǎn)載，請(qǐng)聯(lián)系作者 )

網(wǎng)站運(yùn)營至今，離不開小伙伴們的支持。為了給小伙伴們提供一個(gè)互相交流的平臺(tái)和資源的對(duì)接，特地開通了獨(dú)立站交流群。群里有不少運(yùn)營大神，不時(shí)會(huì)分享一些運(yùn)營技巧，更有一些資源收藏愛好者不時(shí)分享一些優(yōu)質(zhì)的學(xué)習(xí)資料。

現(xiàn)在可以掃碼進(jìn)群，備注【加群】。 ( 群完全免費(fèi)，不廣告不賣課！)

點(diǎn)贊(33) 打賞