Rocket Фрод
Ранее мы писали про скрипты «ретаргетинга» и фрод, который идет через CPA-сети и рекламные агентства. В преддверии высокого сезона решили описать новый подход к фроду, который удалось найти.
Проверка скриптов ретаргетинга
Коротко: большинство сайтов из нашей первой статьи не удалили фродящие коды, но сами коды поменялись (например, домен retag.pw, подобно Лернейской Гидре, распался на десятки одноразовых доменов). Думаем, это - наша заслуга, и фродеры стали осторожней. Больше нам не выложить красивый скриншот с similarweb как доказательство фрода. Придется разбираться с каждым из одноразовых доменов, которые часто меняются.
Фродовая CPA-сеть
Теперь к главному: в этой статье разберем целую CPA-сеть, в которой мы не нашли чистых вебмастеров.
Для крупных фродеров создание свой CPA-сети выглядит как логичный шаг. Ведь действительно, зачем регистрировать вебмастера в общеизвестной CPA-сети когда можно создать свою CPA-сеть используя affise.com и прийти с этой CPA-сетью напрямую в агентство.
Агентства обычно мотивированы увеличить CPA-канал и с радостью подключают новые источники, вставляя неизвестные коды ретаргетинга с анонимных одноразовых доменов (как избежать этого с помощью правильных KPI мы рассказывали в предыдущей статье).
Эту сеть нам помог найти контейнер скриптов Adv.Cake на сайте 220-volt. Напомним, в прошлый раз они вставляли такой код:
Но после нашей статьи его убрали. Также этот код убрали и некоторые CPA-сети (например, GdeSlon) и глобально фрода стало меньше на какое-то время.
Сейчас на том же месте в контейнере Adv.Cake находится такой код:
Давайте разберем как он работает: открываем dev tool и видим пустой файл.
Но это не проблема – мы привыкли, что от нас прячут скрипт. Проверили другие страницы сайта и код также не нашли.
Мы начали искать, что отдает rockcnt.com на самом деле и нашли следующее:
Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику 13-14 октября.
Код rockcnt.com на некоторых сайтах возвращает и более знакомые нам скрипты по прошлым статьям.
Далее через серию вставок кода с домена ubscript.com мы находим боевой участок кода:
По коду видно, что создается iframe по CPA-ссылке в невидимой области экрана – это обычный Кукистаффинг.
По CPA ссылке происходит переход на тот же сайт, но с CPA-метками с источником Rocket10 в utm_source.
Не только Adv.Cake подключает rockcnt.com, например, в контейнере TrackAd мы нашли такой код:
По UTM метками, коду подключения из TrackAd, алиасу track.r10web.com на affise.com можно сделать вывод, что Rocket10 приходит в агентство как CPA-сеть с несколькими вебмастерами и полноценной интеграцией.
Результат расследования
Мы проверили вебмастеров Rocket10 по доступному нам трафику и обнаружили: равномерное распределение трафика по вебмастерам, одинаковый фрод через iframe в каждом вебмастере (примерно по 20%). Чистый трафик там тоже есть, но он скорее нужен для отвода глаз, чтобы скрыть фрод по статистике.
Отметим, что Adv.Cake и TrackAd позиционируют себя как антифрод-решения, однако подключают клиентам неизвестный код с анонимных доменов, который довольно часто оказывается фродом.
Сайты, на которых мы нашли вставку rockcnt.com:
123.ru, 220-volt.ru, alpindustria.ru, aromacode.ru, atlasformen.ch, atlasformen.de, atlasformen.fr, atlasformen.nl, atlasformen.pl, avtocod.ru, beautydiscount.ru, bethowen.ru, bonprix.ru, book24.ru, chitai-gorod.ru, condom-shop.ru, delivery-club.ru, dinomama.ru, evropharm.ru, gracy.ru, just.ru, lampart.ru, laredoute.ru, mi-shop.com, mytoys.ru, nebo.ru, niyama.ru, nozhikov.ru, ogo1.ru, ostin.com, pharmacosmetica.ru, pichshop.ru, ps-box.ru, pudra.ru, rukodelov.ru, sendflowers.ru, shop.laroche-posay.ru, shop.misslo.com, sportmaster.ru, store77.net, topradar.ru, tutu.ru, vamsvet.ru, vassatrend.ru, zdravzona.ru.
Также домен usercomebacker.com, похожий по поведению на ubscript.com, был обнаружен на этих сайтах:
lacywear.ru, lwr.kz, toy.ru, yves-rocher.ru, ezakaz.ru, holyskin.ru.
Что в итоге
Технологии мошенников развиваются ежедневно. Чтобы не переплачивать за бесплатный трафик и не платить дважды за трафик с других платных каналов, мы рекомендуем внимательно проверять скрипты, которые ставятся на ваш сайт, особенно через подрядчиков.
Для контроля правильного расходования бюджета лучше привлекать независимых подрядчиков, которые не получают процент с рекламного бюджета.
Мы со своей стороны всегда рады бесплатно проконсультировать и помочь всем, кому это действительно интересно - проверяем работу сторонних кодов на сайте, фрод в СРА-трафике и накрутки со стороны медийных подрядчиков.
Впереди высокий сезон, Black Friday, День холостяка и Новый год - большие рекламные бюджеты, дефицит чистого трафика и повышенный соблазн для мошенников "срубить бабла" на год вперед везде, где за ними не следят.