Adjust产品研发经理Michael Paxman
据统计,2019年用户花在移动设备上的时间会远超其他媒介,我们可以预见广告主的投放支出也将随之激增。另一方面,移动欺诈的规模迅速扩增,手法日益复杂,如果不对此加以控制,将对整个行业造成严重威胁。
通过操纵广告交互(展示和点击)、安装或应用内购买等活动,作弊者不断寻找新的漏洞来窃取高达数十亿美元的应用营销预算。目前,Adjust每天拦截大约100万次的归因欺诈行为。
在众多广告作弊类型中,SDK伪造(SDK Spoofing)是增长最快的一种。Adjust全球应用营销数据基准工具显示:SDK伪造在所有被拒归因中占了24%。此种欺诈手法不仅最具破坏性,同时也是最易被忽略的一种。
何谓SDK伪造?
SDK伪造是一种通过攻击移动广告固有弱点-即所有广告数据统计都依赖于移动设备所发送的数据这项事实-来窃取归因的作弊方法。简单来说,SDK伪造让第三方归因平台误以为自己所接收到的数据来自真实设备上的真实应用,然而这些数据都是伪造的,而且所有 SDK 都有可能受到此类型的攻击。
作弊者在实施SDK伪造时,会观察应用在执行安装或购买等事件发生时发送的数据。由此,作弊者会逐次更改单个变量,然后解析出归因所需的形式,从而让第三方跟踪归因平台相信在此过程中确实发生了安装或购买等操作。
一旦确定了数据伪造的格式,作弊者会编写脚本,以自动生成大量虚假安装。作弊者首先会通过各种手段生成虚假点击,随即生成那些看似合法的虚假安装,来确保成功“诱骗”归因。
那么,营销人员该如何察觉出问题呢?一个应用平均与18个SDK集成,而每个SDK都有机会提供欺诈者诱骗的经济性诱因,使广告主时时深陷于SDK伪造的风险之中。此外,SDK收集的数据是执行精准移动营销的关键,然而作弊者往往能破解并复制广告主发送数据的手法。
尽管如此,我们也不需心灰意冷。以下的方法可以帮助您有效地预防因此造成的广告预算损失,并避免数据遭到破坏。
第一:不要妄信炒作
“防伪造SDK”这种一劳永逸的机制并不存在。每个SDK所依赖的数据源(设备)都可以被作弊者控制。同样地,数据传输方法(比如,代理服务器)也可以被作弊者操控。
营销人员需要知道,每次增加新的SDK都可能让他们面临更多的广告欺诈行为风险。所以,如果应用需要集成多个SDK,营销人员应对每个SDK进行安全检查。
与营销商就SDK伪造和安全协议做好沟通非常重要,这能有助于营销商了解问题所在,以便制定解决方案。同时,营销人员应将SDK伪造经济诱因纳入考量,那么他们应该在部署前便准备好相应的解决方案。
第二:创建SDK加密签名
目前唯一的解决办法是创建加密签名来验证SDK传输包。我们使用签名来处理极度复杂的数学问题,它的原理是在操作过程的开始(用户设备上)以及结束(服务器接收端),传送加密签名。
接收服务器将通过签名验证来自SDK的流量,并确保该操作请求来自真实的设备。从本质上讲,这是第三方归因平台为了验证数据的真实合法性所设下的挑战。
如果营销人员在未使用SDK签名的情况下获取用户活动,他们就已经将营销预算置于风险之中了。因此,营销人员需要立即联系第三方归因平台咨询防范SDK伪造的解决方案。
SDK签名如何使作弊者无处循形
广告欺诈蔓延迅速,防不胜防。一旦有了新的对策推出,作弊者便会另辟蹊径寻找新的漏洞。作弊者同样关心投资回报率,并对能给他们带来可观收入的新作弊方式趋之若鹜。
解决问题的关键在于,第三方归因平台或防欺诈解决方案供应商消除激励因素,并让签名变得很难破解。通过加密签名的方式来保障UA预算,将增加作弊者额外的处理费用,因此降低其作弊意愿,一旦作弊者窃取的预算少于他们所需进行的投资,那么这对他们来说就是白费功夫。
诚然,欺诈也是当今移动生态系统的一部分。在涉及SDK伪造的情况下,我们首先需要解决的是如何帮助营销商将广告预算损失降到最低,而不是在发生欺诈行为之后与作弊者进行争论结算。虽然我们无法完全制止广告欺诈行为,但是整体移动广告行业应当朝此目标共同努力,而当务之急便是提高整个行业对SDK伪造的认知,使作弊者在进行欺诈时无处遁形。
关于作者
Michael Paxman, 产品研发经理
MichaelPaxman负责Adjust欧洲办公室的产品研发团队。通过访谈和调研小组活动,Paxman 对移动营销人员的需求及其面临的挑战进行深入了解,帮助他们如何更好地在动荡的市场中做出合理的战略决策。
关注微信公众号:游戏陀螺(shouyoushouce),定时推送,游戏行业干货分享、爆料揭秘、互动精彩多。
元宇宙数字产业服务平台
下载「陀螺科技」APP,获取前沿深度元宇宙讯息
110777025(手游交流群)
108587679(求职招聘群)
228523944(手游运营群)
128609517(手游发行群)