Как обмануть рекламодателя? ID spoofing!

  • ID spoofing — подмена пользовательского идентификатора для повышения стоимости показа.
  • Сюрприз, сюрприз — так делать нельзя!
  • С такими действиями борются DSP и верификаторы.

В начале этого месяца один из игроков американской AdTech-индустрии Colossus SSP был обвинен компанией Adalytics в том, что он обманывал рекламодателей, изменяя данные о аудитории своих показов таким образом, чтобы получить максимальное количество денег. Но все не так уж однозначно.

Обратите внимание, что в этой статье Digiday будет использовать термин ID spoofing именно в контексте того факта, что присутствует преднамеренное мошенничество. Имейте ввиду, что в других местах в Интернете, вы можете встретить иную трактовку.

Терминология

Cookie stuffing (встраивание cookie) — это когда клики или показы неправильно приписываются ненадлежащим пользователям с целью получения необоснованных доходов. Например, пользователь посещает сайт, а злоумышленник загружает ему несколько дополнительных cookie от разных рекламодателей. В результате, когда пользователь совершает покупку, комиссии неправомерно зачисляются на аккаунт злоумышленника.

ID Mis-matching (несоответствие идентификатора) — это когда идентификатор пользователя ошибочно сопоставляется с другим устройством, что приводит к неправильной атрибуции данных. Например, рекламная платформа случайно сопоставляет идентификатор пользователя с устройством другого пользователя. В результате, реклама предназначенная для одного человека, показывается другому.

ID spoofing (подмена идентификатора) — это когда продавец рекламного инвентаря намеренно подменяет идентификатор пользователя или устройства на другой идентификатор, который имеет большую ценность для покупателя. Подобное возможно только в среде, оперирующей cookie-файлами, например, в Google Chrome.

ID stuffing (встраивание идентификатора) — это когда добавляются лишние идентификаторы пользователей или устройств для увеличения числа рекламных показов или кликов. Например, когда злоумышленник добавляет множество ложных идентификаторов пользователей к настоящим рекламным показам, что увеличивает количество кликов и показов, создавая иллюзию большего трафика.

Полностью ли подделывается информация в идентификаторе пользователя?

По словам Криса Кейна, соучредителя компании Jounce Media, в самом худшем случае, информация в идентификаторе полностью выдумана. Однако, бывает и такое, что новый идентификатор берется путем нахождения идентификатора этого же пользователя, но на другом устройстве. Или другого человека, проживающего в этом же месте. Таким образом, поддельные идентификаторы могут быть как полностью вымышленными, так и заимствованными из реальных данных, но не принадлежащими тому же самому устройству или пользователю.

Как можно использовать связанные идентификаторы для подмены?

Допустим, пользователь с определенным идентификатором ранее искал с домашнего компьютера информацию по автострахованию, но в данный момент пользователь уже находится за своим рабочим компьютером. SSP знает, что идентификатор домашнего компьютера этого пользователя будет чрезвычайно ценным рекламодателя страховых услуг, но в данный момент, пользователь за другим устройством. Тем не менее, SSP решает подменить данные идентификатора, связанные с рабочим компьютером, на идентификатор с домашнего компьютера, чтобы увеличить CPM, зная, что рекламодатель заплатите больше за пользователя, который имеет большую склонность купить страховку.

На самом деле, все еще не известно, является ли этот пользователь тем же человеком, который использовал личный компьютер и искал автостраховку. И даже если CPM останется на том же уровне, что и исходный идентификатор рабочего компьютера, вы все равно покупаете рекламу, таргетированную не на того пользователя, на которого вы думаете, что таргетируете.

Является ли это мошенничеством?

Кажется, что это зависит от мотивов. Хотя подмена (ID spoofing) или встройка идентификатора (ID stuffing) прямо не называются в руководстве Media Rating Council для обнаружения невалидного трафика, однако встраивание cookie там упоминается и описывается как «вставка, удаление или неправильное приписывание cookie. Таким образом манипулируют или фальсифицирют предыдущие действия пользователей».

Более того, это действие направлено на увеличение стоимости пользователя, который, который не является тем, за кого его выдает продавец. Особенно если измененный идентификатор пользователя содержит фальсифицированные данные или даже представляет собой полностью поддельного пользователя.

Когда SSP взаимодействует с DSP для показа рекламы, они синхронизируют данные, чтобы определить уникальный идентификатор браузера пользователя, например, '123'. Если SSP точно знает, что для данного пользователя используется идентификатор '123', она должна отправлять запросы на показ рекламы (bid requests) именно с этим значением.

Если же SSP намеренно использует другой идентификатор вместо '123', это считается мошенничеством и нарушением стандартов, установленных MRC (Media Rating Council). То есть, чтобы не нарушать правила и не обманывать рекламодателей, SSP должна всегда использовать корректные и синхронизированные идентификаторы пользователей.

Майк О'Салливан, соучредитель компании Sincera, специализирующейся на рекламных данных, говорит, что, по его мнению, подмена/вброс идентификаторов относится к серой области, особенно в случае, когда идентификаторы на самом деле приходят откуда-то из другого источника.

По мнению Майка, подделка идентификаторов пользователей — это сложная и не всегда однозначная история. Здесь нет явного вреда, как в случае с бот-трафиком, но всё равно она является недобросовестным действием. Нужно разрабатывать системы, которые смогут распознавать и фиксировать такие случаи.

Кто должен ловить ID spoofing?

По мнению отраслевых экспертов, с этой задачей должны справляться либо верификаторы, либо сами DSP. Единого мнения по этому поводу нет.

Учитывая, что «манипулирование или фальсификация предыдущих действий пользователей» включены в руководство MRC по SIVT, некоторые эксперты утверждают, что любая организация, аккредитованная MRC для выявления мошеннической деятельности на рынке программных продуктов, должна нести ответственность за ее выявление.

Другие эксперты заявляют, что, поскольку DSP должен быть в состоянии обнаружить идентификатор пользователя, отличающийся от первоначального, который он отправил во время аукциона, именно DSP должен обнаружить и сообщить о расхождении своим клиентам.

Майк О'Салливан подчеркивает важность доверия в процессе заявок на рекламные показы (bid requests). Он говорит, что каждая заявка является своего рода заявлением о том, кому именно будет показа рекламу. Существует возможность проверить данные в этих заявках, но он сомневается, что компании по верификации всегда могут успевать за тем что происходит в большом Интернете и что будет отражено в заявке на показ рекламы.

Чем это отличается от ID bridging?

ID bridging — это легальный способ отслеживания пользователя без cookie, объединяя его идентификаторы на разных устройствах и браузерах, что помогает рекламодателям точнее и непрерывно таргетировать рекламу. Этот метод имеет широкое распространение в средах, где сторонние cookie уже отключены, например, в Apple Safari.

По мнению Майка О'Салливана: «Разница между ID spoofing и ID bridging состоит в том, что в ID bridging имеет правдоподобное объяснение происходящего, а продавцы и покупатели имеют соглашение о том, как правильно это должно происходить».

Будет ли проблема решена с отключением сторонних cookie?

Теоретически, ID spoofing должен будет исчезнуть вместе со сторонними cookie. Однако не возможно предсказать, не будет ли эта технология адаптирована для новых условий. Всегда найдутся те, кто захочет обойти систему.

Издателям

Всегда помните, что бесплатный сыр только в мышеловке. Однако конкретно издателям эта ситуация ничем не грозит. Вряд ли SSP делятся или когда-нибудь делились доходом, полученным неправомерным путем, с каким-нибудь издателем. Тем более что издатели никак в этом процессе не задействованны.

Прогноз

Давление и недоверие к SSP будет расти. На рынке будут появляться новые технологии (и способы их обхода) для проверки трафика. Доверия в Открытом Интернете будет все меньше.

Другие материалы по этой теме: