Подмена геолокации и фальшивые клики: как вычислить фрод с мобильного трафика

Геотаргетинг — друг и враг рекламодателя одновременно. С одной стороны, эта настройка позволяет показывать объявления там, где находятся целевые клиенты, спасая от нецелевого трафика. С другой — мошенники знают, как обойти это ограничение.

Злоумышленники, как владельцы площадок, так и конкуренты, которые хотят обмануть рекламные платформы и рекламодателей, могут манипулировать мобильным трафиком и генерировать фальшивые клики по рекламе с помощью инструментов подмены (спуфинга) своего местоположения. Рассказываем, какие методы и технологии они используют и по каким признакам можно обнаружить такие визиты.

Кому это выгодно

В первую очередь скликиванием с подменой геолокации занимаются недобросовестные владельцы площадок из РСЯ, КМС и других рекламных платформ. Например, в некоторых регионах стоимость клика может быть выше, например в Москве, поэтому вместе с подменой гео они генерируют фальшивый бот-трафик в попытке завышения выплат в свою пользу.

Вторая причина — конкуренты. В высокочастотных и конкурентных нишах может быть «заказ» на скликивание конкретной рекламы с целью «потопить» конкурента. Получается что-то вроде цифрового рекламного рэкета в борьбе за место на поиске.

Фермы, эмуляторы и вредоносы: от маленького офиса до всего земного шара

Для подмены геолокации с мобильного трафика мошенники создают целые фермы из устройств, распространяют вредоносы и используют эмуляторы. В ход идут как свои устройства, так и чужие.

Мобильные фермы

Фермы из мобильных устройств характерны для стран Центральной и Южной Азии. Они повсеместно распространены в первую очередь в Китае, Таиланде и на Филиппинах. Это такая локальная ферма из десятков смартфонов, которыми управляет один оператор вручную или с помощью ПО.

В первую очередь они используются для тестирования приложений и игр. Однако у этой тактики есть и темная сторона — мошеннические атаки на рекламу, накрутка лайков и других метрик в социальных сетях, фальшивые установки приложений.

Мобильные фермы позволяют злоумышленникам масштабировать, автоматизировать и упрощать схемы с генерацией кликов. Спуфинг геолокации играет в этом случае не последнюю роль.

Например, в начале апреля этого года эксперты Catalyst обнаружили крупную мобильную ферму, расположенную в Китае. Мошенники использовали смартфоны на iOS и Android и рассылали с них до 100 тысяч фишинговых сообщений в день. Они использовали манипуляцию IP-адресами для повышения эффективности своих атак.

Зараженные устройства

Не фермами едиными. Устройства для атак не обязательно должны находиться в одной геолокации — они могут быть разбросаны по всему земному шару. Для этого злоумышленники распространяют вредоносное ПО и заражают мобильные устройства случайных пользователей для объединения их в мошенническую сеть.

Как правило, делают они это с помощью вредоносных мобильных приложений. К примеру, не так давно в Google Play было обнаружено сразу 331 такое приложение с суммарным количеством установок более 60 млн. Злоумышленники заражали смартфоны пользователей и генерировали сотни миллионов фальшивых просмотров рекламы.

Каждый такой смартфон или планшет — это уникальный IP, который даёт мошенникам преимущество. Так они могут «прикрывать» чужим местоположением свои атаки на рекламу.

Эмуляторы

Фермы эмуляторов — вариант с использованием не физических мобильных устройств, а их имитаций. С их помощью мошенники могут эмулировать десятки тысяч смартфонов, используя для этого реальные идентификаторы скомпрометированных устройств сторонних пользователей. Чтобы подменять свое местоположение, они подделывают GPS-координаты.

Какие технологии используют мошенники для геомаскировки

Прокси, фальшивые IP, VPN — злоумышленники используют эти и другие уловки для подмены или маскировки своего местоположения при проведении атак на рекламу и сайты. Выбор методов и тактик зависит от конечной цели, которой они хотят достичь.

Мобильные приложения для подмены GPS

Один из наиболее распространенных методов — использование мобильных приложений, которые специально созданы для подмены GPS. С помощью таких приложений мошенники манипулируют встроенным GPS-навигатором устройства, посылая ложные сигналы, которые перекрывают реальные, поступающие со спутников. Таким образом они сменяют регион, например, с Китая на США.

Пример. В 2020 году произошел скандал, когда в агрегаторе Uber была раскрыта мошенническая схема, используемая мошенниками. «Таксисты» создавали фальшивые аккаунты для себя и якобы пассажиров. Затем они использовали подмену GPS, автокликеры и другие программы, чтобы манипулировать своим статусом для заказа, искусственно увеличивать количество обслуженных пассажиров и рейтинг. Это, в свою очередь, приводило к завышению стоимости поездки.

VPN и прокси

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 12747 тендеров
проведено за восемь лет работы нашего сайта.

Пользователи, не только мошенники, широко используют изменение локации трафика с помощью VPN. Таким образом они маскируют фактический IP-адрес и обманывают системы блокировок или алгоритмов показа рекламы. Например, для смены России на Нидерланды.

Прокси — это посредник, который использует для перенаправления промежуточную точку в регионе, отличном от местоположения пользователя. В качестве такого сервера может выступать как отдельная связка устройств, принадлежащих мошенникам, так и зараженные вредоносом смартфоны, умные розетки и роутеры сторонних пользователей.

Пример. Киберпреступная группировка, которая стояла за ботнетом NGIOWEB, взламывала умные роботы-пылесосы Neato. Поскольку у каждого пылесоса свой IP, то злоумышленники создавали из зараженных устройств прокси и продавали через него трафик. Таким образом другие мошенники могли использовать эти точки доступа для атак на рекламу и сайты, а также для совершения других вредоносных действий в сети.

ПО для удаленного доступа

Некоторым мошенникам даже не нужно манипулировать своим местоположением — они просто используют специальную программу для удаленного рабочего стола. Например, TeamViewer или AnyDesk. Таким образом они получают контроль над устройством, которое физически находится в другой геолокации

Фальшивые IP-адреса

Существуют программы, которые могут подделывать IP-адреса. Таким образом мошенники обманывают рекламные платформы — те считают, что устройство пользователя соответствует геотрагетингу и показывают ему объявления.

Как это происходит. Данные, передаваемые через Интернет, сначала разбиваются на несколько пакетов, которые отправляются независимо друг от друга и в конце собираются заново. У каждого пакета есть свой IP-заголовок, в котором содержится информация о пакете, включая IP-адрес источника и назначения.

При подмене злоумышленники используют инструменты для изменения адреса источника в заголовке пакета. Так они обманывают систему, которая думает, что пакет передается от надежного источника.

Например. В 2019 году была обнаружена мошенническая схема со спуфингом IP-адресов для атак на рекламу и целой сетью сайтов под монетизацию. Злоумышленники размещали на рекламной платформе свои сайты, а затем фальсифицировали трафик, подменяя IP-адреса визитов, чтобы выдавать себя за пользователей из регионов с более высокой стоимостью клика (США, Западная Европа).

С помощью такого скликивания они завышали вознаграждение от монетизации. Из-за этой мошеннической схемы рекламодатели стремительно теряли бюджет, оплачивая фальшивые клики.

Манипуляция мобильными приложениями

Это процесс изменения скомпилированного кода мобильного приложения. Мошенники вставляют в него свой код, который будет подменять местоположение устройства.

Признаки подмены геолокации с мобильного трафика

У подмены геолокации есть свои характерные признаки, которые могут указывать на мошенническую активность в рекламных кампаниях.

• Несоответствие геолокации. Если местоположение пользователя резко меняется без логичного объяснения, это может указывать на подмену местоположения. Например, если пользователь перемещается (“скачет”) с одной части города в другую за считанные секунды.
• Аномальные данные координат. Координаты не соответствуют реальным географическим местам. Например, если пользователь находится в одном месте, а его GPS-данные показывают другую страну или континент.
• Частота обновления местоположения. Если обновления местоположения происходят слишком часто или слишком редко, это может быть признаком использования программы для спуфинга геолокации. Например, если обновления происходят каждые несколько секунд, когда пользователь фактически не перемещается.

• Паттерны вовлеченности. Обращайте внимание на показатели вовлеченности пользователей: продолжительность визита, показатель отказов и частота взаимодействия. Трафик, генерируемый ботами, обычно характеризуется короткой продолжительностью сеанса, высоким показателем отказов.
• Аномальные всплески трафика. Обращайте внимание на нерегулярные всплески трафика, которые не соответствуют обычному поведению пользователей. Например, если пик визитов приходится на ночное время (не связанное с геотаргетингом). Бот-фермы склонны генерировать генерируют большие объемы трафика короткими очередями.
• Фальшивые заявки и признаки автоматического создания аккаунтов. Внезапный всплеск регистрации новых учетных записей, особенно с общими именами пользователей или подозрительными адресами электронной почты, может указывать на активность бот-ферм. Бот-фермы обычно создают сразу несколько учетных записей, чтобы усилить свое влияние и распространять свои сообщения.

Также можно проверять репутацию IP-адреса с помощью специальных онлайн-сервисов, например 2ip.ru, APIVOID и другие. Это поможет идентифицировать вредоносные IP-адреса с проверкой их истории и связанными с ними атаками.

Как бороться с подменой гео и защитить рекламный бюджет

Мошенники с мобильными фермами, ботнетами из розеток и TV, а также автоматизированными скриптами с подменой IP не дремлют и идут на всё ради наживы. Их задача — израсходовать бюджет рекламодателя в свою пользу. Поэтому бизнес должен знать, как защитить себя от мошеннических атак на рекламу.

Вот несколько стратегий, которые можно использовать:

• Подключите к сайту или отдельной форме (кнопке) капчу. Современные боты умеют совершать не только клики по рекламе, но и отправлять фальшивые заявки и заказы с сайта. Даже если они смогут обмануть алгоритм геотаргетинга, пройти дальше у них не получится. Желательно использовать современные форматы, вроде Умной капчи, или альтернативные варианты (honeypot и ИИ-лабиринты)
• Анализируйте трафик с площадок. Обращайте внимание на те, которые генерируют много кликов по низкой стоимости без какой-либо конверсии. 

• Смело добавляйте в стоп-лист те площадки, в качестве которых сомневаетесь. Например, каждое мобильное приложение, с которого идет трафик, можно отследить и прочитать о них отзывы. Если пользователи жалуются на обилие рекламы, отключайте такие источники трафика.
• Вносите самые вредоносные IP в бан через htaccess. Например, если один и тот же IP-адрес за несколько минут спамит десятками заказов или кликов по рекламе.
• Используйте антифрод-системы. Современные инструменты обнаружения и блокировки ботов — телохранители ваших рекламных кампаний. Они используют алгоритмы на базе машинного обучения и ИИ для своевременного обнаружения фрода, недействительного трафика и мошеннических паттернов.

Желательно сосредоточиться не на обнаружении уже совершенных мошеннических действий, а на их предотвращении. Так вы сможете больше сэкономить на размещении рекламы и вложить эти средства в дополнительные каналы продвижения или разработку других маркетинговых стратегий.