Источник изображения
Первоначальный выпуск ads.txt в 2017 году был нацелен на рекламу на веб-сайтах, но мошенничество с мобильной рекламой продолжало расти. В результате IAB TechLab опубликовала в 2019 году app-ads.txt — обновление существующей спецификации, которое также можно использовать для борьбы с мошенничеством с рекламой в мобильных приложениях.
Новый стандарт также быстро был подхвачен Google и AdMob и сейчас имеет ещё более высокий уровень внедрения, чем ads.txt для веб-сайтов. 68 % из тысячи лучших приложений в Google Play имеют app-ads.txt, но только 42 % из тысячи лучших приложений в App Store компании Apple.
App-ads.txt заслуживает отдельной подробной статьи на нашем сайте. А пока вы можете найти последнюю спецификацию и инструкции по реализации в приложениях на официальном сайте IAB.
Уязвимости ads.txt
Теперь, когда мы рассмотрели намерения и преимущества файла ads.txt, нам нужно взглянуть на потенциальные уязвимости. Прежде всего: в системе есть некоторые пробелы, которые могут быть использованы мошенниками, и самым большим фактором ошибок, как это часто бывает, является человеческая ошибка.
Недостаток внимания и обслуживания со стороны издателей
Файл ads.txt — это не то решение, которое вы просто создаёте и забываете. Издатели должны активно отслеживать списки, поддерживать их и периодически пересматривать.
Когда всё больше и больше сторон получают право продавать рекламные места от имени издателя, файл ads.txt становится всё больше и больше. Это не только затрудняет его чтение и поддержку, но и больше не отражает точно, кто имеет право продавать фактические рекламные места.
Каждый раз, когда подписывается новый партнёр, они должны добавлять эту информацию в файл. То же самое и в обратном случае: каждый раз, когда партнёрство заканчивается, информация должна быть удалена из файла. В противном случае издатели рискуют, что давно прекратившие действие партнёрства всё ещё будут иметь доступ к их рекламным местам — по крайней мере, согласно записи в ads.txt. Эту ситуацию можно очень быстро использовать в своих интересах злонамеренные партнёры, что возвращает нас к проблеме фальсификации рекламных запросов.
Возьмём для примера New York Times. На данный момент у неё 21 авторизованный партнёр (по состоянию на июнь 2021 года), которым разрешено управлять рекламными местами. С каждым партнёром установлена прямая связь, поэтому никто не может перепродать рекламные места без лишних хлопот.
С другой стороны, если посмотреть на ESPN.com, то можно просто удивиться. Там перечислены 460 партнёров, и более половины из них — реселлеры.
404Bot — следите за своим реселлером
В начале 2019 года появился новый обман: 404Bot. Мошенники использовали функциональность ads.txt, открывая учётные записи в рекламных сетях, которые были указаны как одобренные реселлеры у крупных издателей.
Предполагается, что из-за вышеупомянутого отсутствия обзора в большом файле ads.txt мошенники смогли украсть от 15 до 80 миллионов долларов за несколько месяцев.
Схема была довольно проста:
- Мошенники создавали учётные записи в рекламных сетях, указанных как реселлеры у крупных изданий.
- Затем они отправляли бот-трафик на поддельные, но выглядящие настоящими URL-адреса на веб-сайте издателей, которых не существовало и которые возвращали код состояния HTTP 404 — отсюда и название 404Bot. Код состояния HTTP 404 указывает на то, что браузер смог связаться с определённым сервером, но сервер не смог найти запрошенный файл.
- Однако на этих поддельных URL-адресах был встроен рекламный код, который выполнялся обычным образом.
- Затем мошенникам платили рекламные сети за успешную продажу рекламных мест от премиум-издателей.
Большим преимуществом этого подхода было также то, что URL-адреса выглядели легитимно во всех отчётах. Если кто-то хотел посетить URL-адреса, ему показывали только уведомление о том, что страница не найдена. Однако могло быть и так, что статья была удалена издателем в это время. Идеальное прикрытие для мошенничества.
Издателям важно следить за содержанием своего файла ads.txt и по возможности избегать реселлеров. Все домены, которые были затронуты 404Bot, имели одну общую черту: их файлы ads.txt были огромными и содержали много партнёров-реселлеров. Чем больше реселлеров указано в нём, тем выше вероятность того, что вы столкнётесь с мошенничеством.
Социальная инженерия для включения в ads.txt
С запуском ads.txt издатели получали всё больше и больше запросов от мошенников, выдававших себя за агентства цифрового маркетинга, которые хотели получить официальное место в списке реселлеров. Мошенничество выглядело примерно так:
Мошенники связывались с крупными издателями, чтобы быть включёнными в их ads.txt. При этом они выдавали себя за реселлеров в прошлом и утверждали, что уже продавали рекламные места издателей. Один из таких поставщиков попал более чем в 60 списков за короткий промежуток времени, потому что издатели не проверяли запросы должным образом, а раздавали много бесплатных пропусков, особенно в начале, из-за страха потерять доход.
Вы, наверное, можете догадаться, чем всё закончилось. Как только мошенники попали в список, они смогли продать рекламное место премиум-издателям по высокой цене и использовать бот-трафик для увеличения прибыли.
В данном случае это была не уязвимость в ads.txt, а социальная инженерия, и, таким образом, люди были самым слабым звеном.
Ads.txt не может защитить вас от недействительного трафика и мошенничества с кликами
В этой статье мы рассмотрели всё, что стоит знать об ads.txt: что это такое, как это работает, а также какие есть уязвимости. Хотя текущее состояние — это шаг в правильном направлении для сокращения рекламного мошенничества — в данном случае, особенно спуфинга домена — важно помнить одну вещь: ads.txt не защищает ваши расходы на рекламу от недействительного трафика и мошенничества с кликами!
Даже если ваша реклама отображается на веб-сайте законным образом, это не гарантирует, что её увидят реальные люди или даже нажмут на неё. Ads.txt гарантирует, что ваша реклама будет отображаться только у авторизованных партнёров, а не то, что с ней будут взаимодействовать реальные люди.
Поэтому как рекламодатель вы по-прежнему будете видеть недействительный бот-трафик и фальшивые клики по вашей рекламе, что будет истощать ваш рекламный бюджет, даже если ваша реклама показывается непосредственно на сайтах издателей.
Очень тревожным в этом контексте является отчёт, опубликованный в конце 2019 года, в котором сделан вывод о том, что на веб-сайтах, использующих ads.txt, примерно на 10 % больше недействительного трафика (IVT), чем на веб-сайтах, которые не внедрили ads.txt.
Чтобы решить эту проблему, вам понадобится программное обеспечение для обнаружения рекламного мошенничества, которое может обнаруживать фальшивых ботов и предотвращать их клики по вашей рекламе и трату вашего рекламного бюджета.
Зарегистрируйтесь на бесплатную 7-дневную пробную версию с fraud0 сегодня и убедитесь в результатах сами — без каких-либо обязательств и без необходимости ввода данных кредитной карты.