Найти в Дзене
Admon
37 подписчиков

Враг внутри, часть 2. Ищем фрод самостоятельно - c помощью SimilarWeb

284
3 мин
Admon - сервис по мониторингу качества интернет-рекламы На прошлой неделе мы рассказали как мошенники используют скрипты сторонних источников, установленные на сайте рекламодателей. Подробнее читайте здесь.
Статья имела хороший отклик - «фродеры» притаились и выключили отдачу скриптов с домена retag.pw для популярных доменов. Компании, с кодов которых проходил фрод, переписали часть своих скриптов и отключили часть кода, но об этом позже. В этой статье мы покажем, как можно найти подозрительный трафик с помощью SimilarWeb. Думаю, никто не будет спорить с тем что в SimilarWeb достаточно независим и точен. В своей работе мы используем несколько иной подход - включая анализ стека переходов, определение источников фрода и команду аналитиков, собирающих нужные доказательства. Но для верхнеуровневого анализа фрода можно использовать данный метод. Приведем 2 примера: Пример №1 (pult.ru) Шаг первый: ищем источники трафика.
Для этого открываем SimilarWeb и видим такую картинку: Обращаем вни

Admon - сервис по мониторингу качества интернет-рекламы

На прошлой неделе мы рассказали как мошенники используют скрипты сторонних источников, установленные на сайте рекламодателей. Подробнее читайте здесь.

Статья имела хороший отклик - «фродеры» притаились и выключили отдачу скриптов с домена retag.pw для популярных доменов. Компании, с кодов которых проходил фрод, переписали часть своих скриптов и отключили часть кода, но об этом позже.

В этой статье мы покажем, как можно найти подозрительный трафик с помощью SimilarWeb. Думаю, никто не будет спорить с тем что в SimilarWeb достаточно независим и точен.

В своей работе мы используем несколько иной подход - включая анализ стека переходов, определение источников фрода и команду аналитиков, собирающих нужные доказательства. Но для верхнеуровневого анализа фрода можно использовать данный метод.

Приведем 2 примера:

Пример №1 (pult.ru)

Шаг первый: ищем источники трафика.
Для этого открываем SimilarWeb и видим такую картинку:

https://www.SimilarWeb.com/website/pult.ru#referrals
https://www.SimilarWeb.com/website/pult.ru#referrals

Обращаем внимание на домен: retag.pw

Шаг второй: просматриваем источники и смотрим статистику по retag.pw

https://www.SimilarWeb.com/website/retag.pw#referrals
https://www.SimilarWeb.com/website/retag.pw#referrals

Мы видим для retag.pw входящий трафик с pult.ru, а в исходящем - реферальные ссылки.

apyecom.com – домен редиректа Actionpay

pwieu.com – CityAds

f.gdeslon.ru – GdeSlon

Вывод: скорее всего трафик ушел с pult.ru на домен retag.pw и вернулся через CPA ссылки.

Это, конечно, не железные доказательства кукистафинга - такое поведение может быть вызвано разными причинами. Но в данном случае вероятность такого события небольшая, и на это стоило обратить внимание еще в конце апреля, когда данный источник фрода только проявился. Как итог – источник фрода работает почти месяц.

Источник фрода использует несколько CPA сетей и скорее всего несколько id вебмастеров. По опыту можем сказать, что иногда создание уникальных ID происходит со скоростью - 1 id вебмастера в день. Создать новый аккаунт почти в любой CPA сети - не проблема. Хотя, например, в admitad система проверки вебмастеров более тщательная.

Как найти источник вставки retag.pw в ваш сайт.

Скорее всего, сами вы его не найдете, он хорошо прячется. Пример такой вставки вы также можете найти в предыдущей статье.

Рекомендуем, в первую очередь, обратить внимание на скрипты с этих доменов:

qtstat.com, aprtx.com, aprtn.com, statab.com, code.acstat.com (Adv.Cake)
- для pult.ru

Вы также можете обратится к нам – мы найдем код, который фродит, покажем и расскажем, как он работает, и проконсультируем как его воспроизводить.

Пример 2 (delivery-club.ru)

Шаг 1: проверяем источники трафика

https://www.SimilarWeb.com/website/delivery-club.ru#referrals
https://www.SimilarWeb.com/website/delivery-club.ru#referrals

Находим подозрительный источник - xretag.ru

IP этого домена, кстати, совпадает с IP домена statab.com из предыдущего примера и домена pdstrack.com из статьи.

И даже отдаёт такой же код:

https://xretag.ru/r/s/t?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F
https://statab.com/r/s/t?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F
https://pdstrack.com/r/s/t/?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F

Шаг 2: проверяем xretag.ru

https://www.SimilarWeb.com/website/xretag.ru#referrals
https://www.SimilarWeb.com/website/xretag.ru#referrals

Видим на входе одноразовые домены, а на выходе - тот же delivery-club.ru и CPA ссылки.

Далее - смотрим данные о рекламе этого домена -

https://www.SimilarWeb.com/website/xretag.ru#referrals
https://www.SimilarWeb.com/website/xretag.ru#referrals

Очевидно, это - кликандер и возможно с точным «ретаргетингом».

Если поискать скрипты на delivery-club.ru опять же можно найти code.acstat.com (Adv.Cake) который подключает, например, код ретаргетинга от GdeSlon.
update: По словам представителя GdeSlon, на момент написания статьи фродящий вебмастер уже был отключен от DeliveryClub.

Вывод:

Судя по приведенным данным, можно сделать вывод что delivery-club.ru или сам закупает трафик с кликандеров или, что более вероятно, кто-то показывает кликандеры по CPA, что запрещено условиями delivery-club.ru. Причем, скорее всего, кликандер закупается по ретаргетингу.

Заключение

Мы специально не стали предоставлять данные нашей системы мониторинга фрода и делали выводы только по данным SimilarWeb, хотя в распоряжении есть и более точные данные.

Надеемся, что в результате данной статьи смогут сами проанализировать свой трафик и задать нужные вопросы себе и своим партнерам по CPA.

Мы готовы к сотрудничеству со всеми заинтересованными компаниями и готовы предоставить по возможности логи и треки переходов, подтверждающие фрод.

Источник: https://admon.ai/blog/vrag-vnutri-2