HUMAN обнаружил пиратскую сеть с 2.5 млрд ежедневных рекламных запросов

HUMAN обнаружил пиратскую сеть с 2.5 млрд ежедневных рекламных запросов

Определение издателей, достаточно сомнительных для исключения из цепочки программатик-продаж, часто оказывается неоднозначной задачей. Однако когда издатель явно занимается незаконной деятельностью — например, пиратством — и прилагает все усилия, чтобы скрыть это от программатик-рекламодателей, необходимость борьбы становится очевидной.

Компания HUMAN, специализирующаяся на выявлении рекламного мошенничества и борьбе с ним, недавно столкнулась с одним из таких однозначных случаев. Они расследовали деятельность бразильского пиратского проекта под названием «Camu».

В ходе расследования выяснилось, что издатели, распространяющие пиратские фильмы, телешоу и игры, размещали программатик-рекламу рядом с украденным контентом. Для сокрытия реальных пиратских сайтов, на которых фактически демонстрировалась реклама, они использовали механизм подмены доменов.

Подмена доменов основывается не только на использовании cookie-файлов, но и на анализе источника трафика. Ключевым механизмом являются реферальные ссылки, позволяющие сайтам отслеживать происхождение пользователя. Кроме того, применяются сложные серверные настройки — геотаргетинг и проверка HTTP-заголовков. Это позволяет точнее фильтровать доступ к различным версиям сайта в зависимости от страны, устройства и даже времени суток.

Расследование HUMAN демонстрирует, как недобросовестные издатели монетизируют краденый контент через сложные цепочки поставок программатик-рекламы, успешно обходя стандартные методы выявления рекламного мошенничества.

Стандартные методы выявления недействительного трафика (IVT) включают применение технологий и алгоритмов для обнаружения подозрительной активности на сайтах. Системы анализируют поведение пользователей: слишком быстрые или частые клики и просмотры могут указывать на бота. Отслеживаются также IP-адреса — чрезмерное количество запросов с одного адреса может свидетельствовать о фальшивом трафике. Кроме того, сравниваются данные о реферальных источниках, чтобы определить, не поступает ли трафик с ненадежных или подозрительных ресурсов.

Как выяснилось, мошенники используют методы, ранее известные по сайтам, созданным для рекламы (MFA), чтобы скрыть свои действия.

Домен под любым другим именем

В декабре HUMAN обнаружила и раскрыла в отчете крупнейшую на сегодняшний день сеть мошенников. На пике активности эта сеть обрабатывала 2,5 миллиарда рекламных запросов в день, преимущественно из Бразилии, используя более 130 специально созданных доменов.

Уильям Хербиг, директор по выявлению мошенничества и работе с данными HUMAN, пояснил, что доступ к доменам с пиратским контентом возможен только через специальные сайты-агрегаторы.

Современное пиратство!

Некоторые сайты, созданные для рекламы (MFA), используют схожую тактику, показывая страницы перегруженные рекламой только для платного трафика. Однако, в отличие от нового мошенничества, на MFA-сайты можно попасть и вручную, просто введя URL в браузер.

Сайты, созданные для рекламы (MFA, Made For Ads) — это веб-ресурсы, существующие исключительно для размещения большого количества рекламных объявлений, а не для предоставления ценного контента пользователям. Такие сайты часто содержат неоригинальный или сгенерированный ИИ контент, а их основная цель — привлечение платного трафика для увеличения показов рекламных блоков. MFA-сайты стремятся купить трафик подешевле и продать его подороже. Они специально оптимизируются под рекламные алгоритмы для получения большего количества показов и кликов, не предоставляя при этом реальной ценности посетителям. В результате рекламодатели могут тратить деньги на показы объявлений на этих сайтах, что часто приводит к низкому качеству трафика и неэффективным рекламным кампаниям.

В случае с новым мошенничеством рекламодатель, пытающийся проявить должную осмотрительность и перейти по URL из отчетов кампании, увидит лишь ничем не примечательную страницу вместо страницы с украденным контентом.

Например, пользователь заходит на сайт filmize.tv, фигурирующий в расследовании HUMAN, чтобы посмотреть новый фильм «Дэдпул и Росомаха». Нажав кнопку «Смотреть онлайн сейчас», сайт устанавливает cookie, позволяющий загрузить URL для нелегального просмотра фильма. На странице с пиратским контентом пользователю показывается несколько программатик-объявлений.

Пираты и печенье

Однако если рекламодатель попытается посетить тот же URL напрямую, браузер загрузит сайт-пустышку. Это происходит потому, что рекламодатель не переходил с пиратского сайта, и у его браузера нет необходимого cookie для загрузки страницы с пиратским контентом.

В отчете HUMAN приводится скриншот страницы с домена guiacripto.online, где размещен медиаплеер для стриминга пиратского контента. На скриншоте также видна реклама тревел-агрегатора Vrbo и компании по прокату автомобилей Sixt. Однако при прямом переходе по URL или при клике на ссылку из результатов поиска загружается безобидный блог о криптовалютах.

Такая маскировка домена — классический признак сложного недействительного трафика (IVT) согласно определению Media Rating Council.

Media Rating Council (MRC) — это американская некоммерческая организация, основанная в 1963 году, которая устанавливает и поддерживает стандарты измерения аудитории, в том числе в интернете. Их цель — обеспечить точность и прозрачность информации о пользователях, чтобы рекламодатели могли доверять этим данным. В стандарте, выпущенном в 2024 году, MRC обновила требования для обнаружения и фильтрации недействительного трафика (IVT), подмены доменов и идентификаторов в CTV и учла новые законы, касающиеся конфиденциальности пользователей.

«Мы можем с полной уверенностью назвать это IVT,» — заявил Хербиг. «Здесь налицо многократное введение в заблуждение.»

По его словам, помимо маскировки доменов и создания разных версий сайтов в зависимости от пути пользователя, эти издатели скрывают истинный источник реферального трафика. Они стремятся создать впечатление, что пользователи попадают на эти страницы по авторитетным ссылкам или из поисковых систем, а не с сайтов, полностью посвященных пиратству.

Обнаружение мошенничества

Хербиг подчеркивает, что ситуация осложняется тем, что мошенников типа Camu невозможно выявить стандартными методами обнаружения программатик-мошенничества.

«У вас есть реальные пользователи на реальных устройствах, которым показываются видимые объявления,» — пояснил он. «Сложность заключается в определении фактического места загрузки рекламы, что непросто сделать, опираясь только на стандартные метрики.»

Несмотря на кажущееся сходство мошенников типа Camu с MFA-сайтами, Хербиг отмечает, что борьба с ними требует иных подходов. MFA-сайты, к примеру, создают особый опыт для платного трафика, поэтому анализ источников такого трафика эффективен для их обнаружения. Пиратские же сайты не делают акцента на платном трафике, что затрудняет их выявление традиционными методами.

Однако наличие украденного контента на пиратских сайтах существенно облегчает процесс их идентификации и проверки.

Сыщики против пиратов

По словам Хербига, HUMAN удалось раскрыть операцию Camu благодаря работе специальной команды. Эта команда исследовала цепочки программатик-продаж, связанные с монетизацией пиратских сайтов. Хербиг подчеркнул: «Ни один рекламодатель не захочет монетизировать пиратский сайт».

После ухода западных компаний, таких как Google, российская рекламная индустрия столкнулась с дефицитом качественного рекламного видеоинвентаря. Это привело к тому, что многие рекламодатели стали «закрывать глаза» на размещение рекламы на пиратских сайтах — одном из немногих оставшихся источников видеоконтента. Несмотря на нелегальную деятельность, пиратские ресурсы активно монетизируются через программатик-системы. Такая практика стала распространенной, хотя она может нанести серьезный ущерб репутации и доверию к рекламному рынку в целом.

HUMAN проанализировала весь свой массив данных — свыше 20 триллионов запросов на покупку в неделю на трех миллиардах уникальных устройств — в поисках «красных флажков», потенциально связанных с пиратством. Кроме того, компания отследила ряд IP-адресов, ранее ассоциированных с известными пиратскими сайтами, чтобы выявить другие посещаемые ими ресурсы и обнаружить возможные аномалии.

«Мы сразу заметили закономерность между сайтами монетизации, куда направлялся трафик наших клиентов, и одним из этих [известных] пиратских доменов,» — рассказывает Хербиг. «Отсюда мы начали выявлять различные модели недействительного трафика».

В частности, HUMAN анализировал каждый домен, использующий характерные настройки cookie известного пиратского сайта, а также искал другие домены, применяющие аналогичные методы подмены источников трафика.

HUMAN также проследил цепочки продаж программатик-рекламы, монетизировавшие известные пиратские домены, чтобы обнаружить схожие ресурсы. По словам Хербига, пиратская сеть использует высокую степень перепродажи программатического инвентаря и общую непрозрачность программатик-рекламы для сохранения анонимности. Зачастую новые домены, созданные взамен демонетизированных, опирались на ту же цепочку посредников.

Основываясь на этих результатах, компания HUMAN за последние девять месяцев внедрила семь различных мер по снижению пред- и пост-бид, направленных на предотвращение показа рекламы на пиратских доменах. Хотя данный вид мошенничества все еще активен, HUMAN удалось сократить рекламную активность, связанную с этими доменами, с 2,5 миллиарда ежедневных запросов до 100 миллионов.

Хербиг воздержался от подробного описания мер, предпринятых HUMAN, опасаясь, что это может послужить руководством к действию для мошенников.

Создано для недействительного трафика (MFIVT)

По мнению Хербига, HUMAN считает оптимальным решением проблемы достижение в отрасли четкого консенсуса: весь трафик на пиратские сайты следует классифицировать как недействительный (IVT).

Однако борьба с пиратскими сайтами, к сожалению, не решит другую серьезную проблему — сайты, созданные специально для размещения рекламы (MFA).

В контексте статьи стоит взглянуть на MFA-сайты под иным углом. Несмотря на негативную репутацию, такие ресурсы могут привлекать реальную аудиторию, взаимодействующую с рекламой, пусть и случайно. При эффективной работе верификаторов, обеспечивающих защиту от ботов и фальшивых показов, реклама на MFA-сайтах может оказаться доступным и даже выгодным вариантом для рекламодателей. В условиях ограниченных рекламных площадок и сокращения инвентаря использование MFA-сайтов при должной проверке и таргетинге может стать разумным решением для охвата целевой аудитории с минимальными затратами. Вероятно, не стоит полностью отказываться от таких сайтов, если ваша цель — экономически эффективные показы реальным пользователям.

MFA и пиратство

AdExchanger попросил HUMAN сравнить новую пиратскую сеть со скандалом вокруг поддоменов MFA в Forbes, потрясшим индустрию. Несмотря на то что в обоих случаях сайт мог меняться в зависимости от источника трафика, представитель HUMAN заявил: «Между этим случаем и предыдущими инцидентами подмены доменов нет никакой связи».

В случае с Forbes проблема заключалась в неправильном указании поддомена «www3» MFA в рекламных запросах. В ситуации с пиратскими сайтами, по словам пресс-службы, «не было случаев несоответствия базового корневого или поддоменного домена». Они добавили, что в новом случае «искажения связаны с загрузкой двух совершенно разных сайтов с одного и того же URL-адреса в зависимости от способа перехода пользователя на сайт», а не с использованием разных URL-адресов для различных источников трафика.

Тем не менее пиратские сайты, занимающиеся явно нелегальной деятельностью, проще лишить монетизации, чем сайты MFA. Последние, хотя и могут манипулировать системами программатик-рекламы, не обязательно нарушают закон.

«Подобные домены созданы для генерации недействительного трафика, а не для рекламы,» — утверждает Хербиг. «Они грубо нарушают все допустимые нормы нашей индустрии».

Другие материалы: