Promocja w sieci stała się najbardziej dominującym formatem reklamowych na świecie. W przeciwieństwie do klasycznych form reklamy pozwala dokładnie poznać odbiorców, prawie, że pod każdym kątem. Tym samym umożliwia coraz bardziej precyzyjne docieranie do coraz węższych, sprofilowanych grup potencjalnych klientów. Ta wiedza jest bardzo cenna i reklamodawcy są gotowi za nią sporo zapłacić wyspecjalizowanym i profesjonalnym agencjom. Obok nich pojawiają się jednak też ad frauderzy. W Polsce mało się o tym jeszcze mówi, jednak na zachodnich, bardziej rozwiniętych rynkach temat jest już powszechnie znany. Kim są, jakie techniki stosują – o tym opowiada Michał Jóźwik, ekspert związany z portalem Fraudbusters.

Kim są “ad frauderzy”?

Ad frauderzy to tak naprawdę nieuczciwi dostawcy powierzchni reklamowej. Wykorzystują wszelkie dostępne środki w swoim „portfolio” aby, generować jak najwięcej sztucznego ruchu/eventów, który nigdy faktycznie nie miał miejsca. Wykazują fikcyjne przychody, generując realną stratę dla reklamodawcy.

Na czym polegają te działania?

Sama definicja fraudu nie jest skomplikowana - fraud powszechnie definiujemy jako grupę oszustw występujących w reklamie online. Możemy do nich zaliczyć np. fikcyjne raportowanie kliknięć, konwersji czy też nawet zwykłych wyświetleń reklamy.

W jaki sposób na nich zarabiają?

Korzystając z dedykowanych narzędzi (botów/skryptów) lub „ręcznie” generują przykładowo 100 kliknięć zmieniając przy tym dynamicznie IP (skrót od Internet Protocol Address, numeru identyfikacyjnego nadawanego komputerom lub innym urządzeniem łączącym się z siecią) w danej kampanii oraz kasując cookie w przeglądarce. Podstawowe systemy mierzące raportują, że 100 unikalnych użytkowników wygenerowano 100 kliknięć, ale nie „widzą” już, że to tak naprawdę był jeden „bot”. A za te 100 kliknięć klient musi zapłacić.

Jakie branże, bądź kategorie są najbardziej narażone w Polsce na ad fraud?

Tak naprawdę na fraud narażona jest każda branża reklamująca się w Internecie. W zależności od rodzaju działań (wizerunkowe/sprzedażowe) czy na przykład rodzaju materiałów reklamowych (display/video), źródła emisji (desktop/mobile) poziom fraudów będzie inny. Owszem są branże o większym „potencjale” takie jak produkty finansowe, telekomy, branża motoryzacyjna czy ogólnie pojęty „twardy e-commerce”. Najbardziej fraudogenne są działania w rozliczeniach za kliknięcia oraz zostawienie tzw. “leadów” czyli przeważnie danych do dalszego kontaktu w wypełnionym formularzu (u banków, dealerów samochodów czy w telekomunikacji).

Czy konkurenci również mogą dopuszczać się wobec siebie ad fraudów?

Owszem, zdarzają się takie sytuacje. Jednym z takich przykładów jest pozew sądowy firmy Motogolf.com, internetowego sprzedawcy sprzętu golfowego mieszczącego się w Las Vegas. W kwietniu 2020 roku pozwał konkurenta TopShelf Golf, który rzekomo złamał prawo stanowe i federalne poprzez celowe wyklikiwanie płatnych reklam konkurenta w przeglądarce Google. Niestety dużo podmiotów stosuje tego typu niecne zagrywki, ale ich skala jest bardzo trudna do oszacowania.

A jak duża jest skala problemu w Polsce?

Oszacowanie realnego poziomu fraudów w Polsce jest bardzo ciężkie. Wynika to z niskiej skali lokalnej weryfikacji fraudów. Bazując na raporcie White Ops we współpracy z ANA (Association of National Advertisers) możemy stwierdzić, że w zależności od rodzaju działań reklamowych poziom fraudów sięga przeciętnie 3-14%. Nanosząc poprawki (z doświadczenia), w niektórych niemonitorowanych działaniach fraud może wynosić nawet 30-50% całości wyników kampanii.

Jakie są sposoby na uchronienie się przed fraudami?

W 100% uchronić się nie da. Z oszustwami w internecie jest jak z dopingiem w sporcie. Co chwilę wykrywamy nowe środki dopingujące, a kolejne jeszcze nieodkryte już działają. Pierwszym i koronnym punktem ochrony jest wczesna identyfikacja fraudu. Im szybciej wykryjemy, tym szybciej możemy zminimalizować wpływ na dalszą część kampanii. Jednakże, aby go wyłapać trzeba wiedzieć czego szukać. Fraud w większości przypadków nie jest widoczny gołym okiem. W zależności od jego rodzaju, należy stosować różne metody jego wykrycia. Najszybciej i najłatwiej jest wykorzystać dedykowane do tego narzędzia. Kolejnym rozwiązaniem jest współpraca z zaufanymi rynkowymi podmiotami, które „nie mogą” sobie pozwolić na nadszarpywanie reputacji budowanej latami.

Jakie narzędzia/programy najskuteczniej wykryją

ad fraud?

Tutaj też nie ma jednoznacznej odpowiedzi. Dostępne narzędzia, niezależnie czy są to własne systemy największych podmiotów reklamowych typu Google/Facebook, czy zupełnie niezależne typu ABT Shield lub Traffic Watchdog, mają różne podejścia do wykrywania i mierzenia skali oszustw. Nie ma jednej idealnej technologii do wykrywania każdego rodzaju fraudów. Trzeba być elastycznym i poszukiwać rozwiązań dedykowanych do danego typu fraudów.

Czy to oznacza, że każdy jest potencjalnie podejrzany?

Teoretycznie tak, w praktyce – nie. Narzędzia ad fraudowe nawet w przypadku największych wydawców i rzetelnych dostawców mogą pokazywać niewielki odsetek fraudów, którymi nie są. Może to wynikać z wielu rzeczy takich jak: różnice technologiczne, restrykcyjna definicja fraudu w danym narzędziu, podejrzane zachowania, wyłapywanie „dobrych botów” (white bot) itp.

Czy reklamodawcy obawiają się, że za każdą kampanię cyfrową może kryć się ad fraud?

Ci bardziej świadomi mają na względzie fraud i oczekują niskiego jego poziomu. Całości fraudu realnie wyeliminować się nie da. Praktycznie zawsze zostanie jakiś odsetek wykrytego (bądź nie). Jest jeszcze grupa reklamodawców, którzy w ogóle nie zdają sobie sprawy, że fraud istnieje i na takich fraudsterzy najwięcej zarabiają. Trzeba stawiać w promowanie wiedzy o fraudzie i metodach jego wykrywania. Trzecią grupą są ci, którym się to po prostu nie kalkuluje. Niekiedy poziom fraudów nie jest na tyle wysoki, aby uzasadniał koszt jego wykrycia i usunięcia. Często zdarza się, że reklamodawca woli „wrzucić w koszty” pewną ilość fraudów niż inwestować więcej pieniędzy w narzędzie je likwidujące. Uważam takie podejście jest błędne. Bez weryfikacji nie wiadomo w którym momencie z 5% fraud może zrobić się 15 czy 30%.

Jak świadomość o fraudach wpływa na zachowania reklamodawców?

Często zależy to od branży. Te mocno e-commerce’owe poświęcają sporo czasu i środków na eliminowanie podejrzanych dostawców. Mają dzięki temu wiarygodne dane z ruchu jaki pojawia się u nich na stronach internetowych. Musimy pamiętać, że fraud nie tylko powoduje utratę części pieniędzy przeznaczonych na reklamę, ale też potrafi mocno zafałszować obraz realnego ruchu na stronie. Jeśli przykładowo 40% ruchu jest generowane przez boty z głównej kampanii reklamowej, 20% z innych źródeł, a kolejne 40% jest ruchem naturalnym/generycznym to analityk nie wiedząc o fraudzie stwierdzi w pierwszym momencie, że trzeba dalej inwestować pieniądze w coś co nie generuje realnie żadnego zwrotu z inwestycji.

Jakub Lebuda

CEO w CLIPATIZE, agencji zajmującej się obsługą kampanii digital

Jak tworzyć bezpieczne kampanie online?

Bezpieczne kampanie to takie, które powstają kiedy strategicznie myślimy o celach projektu, a rzadko takim celem będzie “wyświetlenie reklamy”. Wskaźniki mediowe jak CPM, czy CPC najczęścieściej brane na cel przed frauderów, to tzw. vanity metrics - wskaźniki próżności. W kampaniach kluczowe jest określenie raczej celu biznesowego (jak sprzedaż) lub marketingowego (jak dotarcie do klientów na różnych poziomach tzw. lejka) dla naszych działań. Jeśli uda się je określić, a także doprecyzować grupę docelową, to może się okazać, że sam fakt osiągania niskich stawek CPM, czy CPC nie będzie tożsamy z wpływem na sprzedaż lub edukację publiczności. To pozwoli wyłącznie kupić jakiś tani ruch. Nie koniecznie taki, jakiego byśmy sobie życzyli.

Zabierając się za planowanie kampanii, mając określone cele (marketingowe lub biznesowe) możemy wybierać “sprawdzone kanały” do budowania dotarcia np. media społecznościowe, czy sieci Google. Jeszcze bezpieczniejsze i bardziej wiarygodne może być angażowanie renomowanych wydawców do realizacji kampanii, gdzie rozliczenie projektu realizowane jest w odniesieniu do wspólnie określonych celów.

Dodatkowo, w pewnych obszarach marketingu, na przykład w B2B, sam koszt pozyskania ruchy będzie zupełnie nieistotny, bo grupy docelowe w B2B są stosunkowo małe. Łączny koszt dotarcia do rynku będzie tym samym niewielki w porównaniu z kampaniami skierowanymi do klienta masowego.

Warto także precyzyjnie segmentować grupy docelowe i kontaktować się z nimi za pomocą niszowych i wiarygodnych kanałów.

Methbot - sieć na dopalaczach

To sieć - botnet - składająca się z tysięcy fałszywych domen, której założyciele zarabiali na reklamach wyświetlanych przez boty. Po raz pierwszy została namierzona w 2015 roku przez firmę White Ops zajmującą się cyberbezpieczeństwem, a w 2016 odnotowano gwałtowny wzrost jej aktywności. Sieć powstała w Rosji, ale do oszustw wykorzystywała zainfekowane komputery z Europy i Ameryki Północnej.

Przestępcy najpierw zarejestrowali niemal 6 000 fałszywych domen, podszywających się pod takich gigantów jak ESPN, czy Fox News. Ich infrastruktura składała się też z 571 904 IP, 250 267 różnych adresów URL i niemal ćwierć miliona podstron, na których wyświetlane były reklamy. Ponadto 570 000 botów było wykorzystywanych do wykonywania kliknięć na tych stronach i "oglądania” do 300 milionów reklam wideo dziennie. Przez zamaskowanie IP tych botów, jako pochodzących z legalnych sieci jak Verizon, Comcast i wielu innych dostawców w USA, naśladowały zachowanie prawdziwych użytkowników.

W szczytowym momencie działania Methbot, oszuści którzy skopiowali strony operatorów zarabiali od trzech do pięciu milionów dolarów dziennie. Przez Methbot branża reklamowa straciła około od 180 milionów do 1 miliarda dolarów do końca 2016 roku.

Uber - ostra jazda z kosztami

Koniec stycznia 2017 roku nie był dobry dla Ubera, giganta w sektorze usług transportowych. Uber znalazł się pod ostrzałem na dwóch frontach. Z jednej strony na mediach społecznościowych toczyła się batalia #DeleteUber skierowana przeciwko byłemu dyrektorowi generalnemu firmy, zaangażowanemu we współpracę z ówczesnym prezydentem USA Donaldem Trumpem. Z drugiej strony Sleeping Giants, liberalna organizacja zajmująca się monitorowaniem mediów społecznościowych zaczęła zadawać pytania dlaczego Uber reklamował się na kontrowersyjnej stronie Breitbart - amerykańskiej skrajnie prawicowej sieci informacyjnej. Gdy Kevin Frisch, ówczesny Dyrektor Performance marketing & CRM w Uberze, nie był w stanie zidentyfikować, która kampania zignorowała “czarną listę” portali, zaczął po prostu wyłączać jedną po drugiej. Zredukował wydatki na cyfrową reklamę o 10%, ale nie dostrzegł żadnej zmiany w ilości nowych instalacji aplikacji. Zmniejszył więc budżet o 100 mln dolarów. Gdy tak znaczące cięcie nie wpłynęło na zmniejszenie pozyskanej liczby klientów, zdał sobie sprawę, że coś jest nie tak. Ostatecznie Uber obciął swoje wydatki o 2/3. W wyniku przeprowadzonego dochodzenia znaleziono fałszywe aplikacje udające Ubera, strony internetowe podszywające się pod znanych wydawców i armię botów do ich klikania. Uber pozwał agencję marketingu digitalowego Fetch Media za przekazywanie fałszywych informacji o skuteczności ich kampanii oraz za stratę finansową spowodowaną brakiem możliwości zwrotów rabatów bezpodstawnie przyznanych użytkownikom. Uber finalnie wycofał pozew, ale w 2018 roku pozwał 5 domów mediowych - Hydrane SAS, BidMotion, Taptica, YouAppi i AdAction Interactive - które oskarżył o zakup przestrzeni reklamowych “oglądanych przez boty”.

Najpowszechniejsze techniki

Digital ad fraud

Klienci decydując się na zakup reklam w internecie wybierają spośród ich 4 typów:

Cost per mile (CPM) - koszt za tysiąc, gdzie reklamodawcy płacą za każdy tysiąc wyświetleń reklamy,

Cost per click (CPC) - koszt za kliknięcie, gdzie reklamodawcy płacą tylko wtedy gdy odbiorca kliknie w reklamę,

Cost per lead (CPL) - koszt za lead, reklamodawca płaci tylko gdy odbiorca wypełni specjalny formularz, w którym zostawi kontakt do siebie,

Cost per acquisition (CPA) - koszt za pozyskanie, gdy reklamodawca płaci ustaloną opłatę za zakończony proces sprzedaży lub procent od jej wartości.

CPM i CPC składają się na 90% wszystkich wydatków na reklamę cyfrową i to właśnie tam ad frauderzy mogą być najbardziej aktywni. Sztucznie zawyżają ilości odsłon, albo z pomocą botów (czyli aplikacji) klikających w reklamę. W konsekwencji klienci płacą za wyniki, które faktycznie nie zostały osiągnięte.

Sztuczne zwiększanie liczby odsłon

Celem jest sztuczne zawyżanie ilości odsłon (i odbiorców, którzy widzieli reklamy) wszystko po to, aby uzyskać więcej wyświetleń i zarobić więcej pieniędzy. Ad frauderzy osiągają to przez automatyczne przeładowywanie strony internetowej przez co naliczana jest nowa sesja odsłony reklamy. Innym sposobem jest ad stacking czyli “nałożenie na siebie” grafik od 5 do 100 reklam, które wyświetlane są podczas jednej sesji. Choć odbiorca widzi tylko jedną reklamę, to na stronie pozostaje “cyfrowy dowód” wyświetlenia pozostałych. Podobną techniką jest pixel stuffing czyli upychanie na stronie reklam bardzo małej wielkości, nawet 1 piksela, które również są niewidoczne dla odbiorcy, ale w teorii zakodowane na stronie. Z kolei ad injection to reklama, która za pośrednictwem złośliwego oprogramowania wkrada się w miejsce, w którym nie powinna być opublikowana, i za każdym użyciem zainfekowanej domeny, nalicza kolejne wyświetlanie reklamy do jej łącznej liczby.

Ad frauderzy korzystają również z botów, czyli programów które wchodzą na strony udając prawdziwych użytkowników. Właśnie w celu przeciwdziałania tym praktykom wstawia się na stronie okienko “nie jestem robotem”, gdyż te programy “nie potrafią” klikać w konkretne miejsce na stronie. „Wysyłają” boty na stronę gdzie emitowana jest reklama, które odświeżać ją naliczając wyświetlenia baneru w nieskończonych pętlach. Wykorzystują również wyskakujące powiadomienia push czy pop-under. To aplikacje mobilne z ukrytymi przeglądarkami, które ładują strony internetowe, fałszywe aplikacje czy strony udające inne strony tylko po to, by zwabiony na nie odbiorca “przypadkowo” kliknął w schowany w nich link reklamowy i tym samym “nabił” kolejne wyświetlenie reklamy. Jeśli ktoś zastanawia się po co ktoś miałby infekować prywatne komputery i telefony złośliwym oprogramowaniem, to cel jest właśnie taki. Z nieświadomą pomocą zwyczajnych użytkowników, oszuści naciągają reklamodawców.

Sztuczne podwyższanie cen

Zwyczajowo reklamy, których celem jest uzyskanie od odbiorcy konkretnego działania (np. kliknięcie w baner, czy przejście na stronę sklepu) są droższe. Dlatego jeśli ad frauderom uda się przekonać reklamodawcę, że więcej osób niż w rzeczywistości kliknęło w jego reklamę, mogą uzyskać od niego wyższą opłatę.

W tym celu sięgają po domain spoofing, czyli podszywanie się pod znaną stronę lub domenę, residential proxies gdzie udają, że ruch na stronie pochodzi z prawdziwych gospodarstw domowych, a nie centrów danych czy botów, bądź po złośliwy kod, który przechytrza programy wyłapujące złośliwe oprogramowanie. Popularną metodą jest również umieszczanie banerów w aplikacjach czy video, gdzie przy okazji klikania w jedną z funkcji, odbiorca klika również w reklamę. Z kolei oszustwa przy retargetingu (czyli adresowaniu reklam do użytkowników, którzy wcześniej wyrazili zainteresowanie inną reklamą w ramach tej samej kampanii) polegają na “wysłanie” botów pod wskazany adres, by oszukać klientów, że ci osiągnęli znacznie lepsze wyniki. Przez korzystanie z traffic spoofing czy click injection mogą wpłynąć na analitykę i pokazywać ruch z adresów, które wyglądają niemal jak prawdziwe adresy i tylko sprawne przejrzenie źródeł ruchu na stronie pozwoli na ich weryfikację.