Враг внутри, часть 2. Ищем фрод самостоятельно - c помощью SimilarWeb

На прошлой неделе мы рассказали как мошенники используют скрипты сторонних источников, установленные на сайте рекламодателей. Подробнее читайте здесь.

Статья имела хороший отклик - «фродеры» притаились и выключили отдачу скриптов с домена retag.pw для популярных доменов. Компании, с кодов которых проходил фрод, переписали часть своих скриптов и отключили часть кода, но об этом позже.

В этой статье мы покажем, как можно найти подозрительный трафик с помощью SimilarWeb. Думаю, никто не будет спорить с тем что в SimilarWeb достаточно независим и точен.

В своей работе мы используем несколько иной подход - включая анализ стека переходов, определение источников фрода и команду аналитиков, собирающих нужные доказательства. Но для верхнеуровневого анализа фрода можно использовать данный метод.

Приведем 2 примера:

Пример №1 (pult.ru)

Шаг первый: ищем источники трафика.
Для этого открываем SimilarWeb и видим такую картинку:

text

Обращаем внимание на домен: retag.pw

Шаг второй: просматриваем источники и смотрим статистику по retag.pw

text

Мы видим для retag.pw входящий трафик с pult.ru, а в исходящем - реферальные ссылки.

apyecom.com – домен редиректа Actionpay
pwieu.com – CityAds
f.gdeslon.ru – GdeSlon

Вывод: скорее всего трафик ушел с pult.ru на домен retag.pw и вернулся через CPA ссылки.

Это, конечно, не железные доказательства кукистафинга - такое поведение может быть вызвано разными причинами. Но в данном случае вероятность такого события небольшая, и на это стоило обратить внимание еще в конце апреля, когда данный источник фрода только проявился. Как итог – источник фрода работает почти месяц.

Источник фрода использует несколько CPA сетей и скорее всего несколько id вебмастеров. По опыту можем сказать, что иногда создание уникальных ID происходит со скоростью - 1 id вебмастера в день. Создать новый аккаунт почти в любой CPA сети - не проблема. Хотя, например, в admitad система проверки вебмастеров более тщательная.

Как найти источник вставки retag.pw в ваш сайт.

Скорее всего, сами вы его не найдете, он хорошо прячется. Пример такой вставки вы также можете найти в предыдущей статье

Рекомендуем, в первую очередь, обратить внимание на скрипты с этих доменов:
qtstat.com, aprtx.com, aprtn.comstatab.com, code.acstat.com (Adv.Cake) - для pult.ru

Вы также можете обратится к нам – мы найдем код, который фродит, покажем и расскажем, как он работает, и проконсультируем как его воспроизводить.

Пример 2: (delivery-club.ru)

Шаг 1: проверяем источники трафика

text

Находим подозрительный источник - xretag.ru
IP этого домена, кстати, совпадает с IP домена statab.com из предыдущего примера и домена pdstrack.com из статьи.
И даже отдаёт такой же код:
https://xretag.ru/r/s/tt=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F
https://statab.com/r/s/t?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F
https://pdstrack.com/r/s/t/?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F

Шаг 2: проверяем xretag.ru

text

Видим на входе одноразовые домены, а на выходе - тот же delivery-club.ru и CPA ссылки.
Далее - смотрим данные о рекламе этого домена -

text

Очевидно, это - кликандер и возможно с точным «ретаргетингом».
Если поискать скрипты на delivery-club.ru опять же можно найти code.acstat.com (Adv.Cake) который подключает, например, код ретаргетинга от GdeSlon.
update: По словам представителя GdeSlon, на момент написания статьи фродящий вебмастер уже был отключен от DeliveryClub.

Вывод:
Судя по приведенным данным, можно сделать вывод что delivery-club.ru или сам закупает трафик с кликандеров или, что более вероятно, кто-то показывает кликандеры по CPA, что запрещено условиями delivery-club.ru. Причем, скорее всего, кликандер закупается по ретаргетингу.

Заключение:
Мы специально не стали предоставлять данные нашей системы мониторинга фрода и делали выводы только по данным SimilarWeb, хотя в распоряжении есть и более точные данные.
Надеемся, что в результате данной статьи смогут сами проанализировать свой трафик и задать нужные вопросы себе и своим партнерам по CPA.
Мы готовы к сотрудничеству со всеми заинтересованными компаниями и готовы предоставить по возможности логи и треки переходов, подтверждающие фрод.