Перейти к содержанию

Extended Fraud Reasons

Общая информация

FraudScore оценивает трафик по более чем 150 параметрам. Все параметры объединены в 34 группы. В некоторых группах анализ может осуществляться одновременно несколькими алгоритмами, выявляющими разные аномалии.

Такие группы называются Extended Fraud Reasons - более подробные (расширенные) причины фрода.

Существует еще более высокоуровневое деление на Fraud Reasons. Но при анализе в основном используются именно Extended Fraud Reasons, они перечислены ниже.

  1. os - подозрительное распределение устройств в трафике (модели устройств, версии браузеров, операционная система, и т.д.).
  2. duplicate IP - множественные конверсии с одного и того же IP, или подсети IP.
  3. duplicate device - встречаются множественные конверсии с одинакового или очень похожего устройства.
  4. ip distribution - замечено аномальное распределение ip адресов.
  5. emulator - эмуляторы устройств (например Bluestacks).
  6. fake device - ненастоящие параметры устройств и их комбинации - идентификаторы (user agent, IDFA/Android ID, MAC address, и т.д.).
  7. clickspam - установка приложения, атрибуцированная кликом, которая на самом деле является органической установкой, захваченной рекламной сетью через алгоритмы спама пользовательских отпечатков.
  8. refer host - клик сделан с подозрительного сайта.
  9. low tti - аномально низкое время между кликом и конверсией, в случае Android конверсий - признак Click injection.
  10. flat tti - аномальное распределение времени между кликом и конверсией, признак Клик спамминга.
  11. overall flat tti - важный параметр для обнаружения отклонений по TTI. Этот параметр обрабатывает трафик через более общие слайсы и может использоваться вместе с «Flat TTI» или отдельно.
  12. low variance tti - когда параметр TTI вызывает подозрения из-за низкой дисперсии фактического времени установки для многих конверсий.
  13. tor - IP является выходной точкой (exit point) TOR сети.
  14. datacenter - трафик, идущий от серверов в центрах обработки данных, или от известных поставщиков облачных платформ, а не от домашних или корпоративных сетей (очень низкая вероятность реального пользователя-человека).
  15. geo mismatch - есть следы подделки местоположения пользователя.
  16. proxy context - слишком большое количество IP в текущем сегменте помеченных ризоном proxy.
  17. dynamic proxy - обозначает динамические IP мобильных операторов, которые действуют как прокси, напрямую могут быть не связаны с мошенничеством.
  18. proxy - для IP-адресов, которые действуют как прокси, но не связаны напрямую с мошенничеством.
  19. duplicate proxy - множественные конверсии с адресов, которые были помечены ризоном proxy.
  20. blacklist - IP адреса, к которым в течении недавнего времени подключалось устройство, замеченное в мошеннических действиях, могло быть уязвимо, либо была замечена подозрительная активность.
  21. dynamic blacklist - для IP, которые связаны с фрод активностью, аналогичной Blacklist, но помечаются конверсии совершённые с IP мобильных операторов.
  22. old browser version - используется старая версия веб браузера. Версия должна быть более новая, обновленная.
  23. outdated browser version - очень старая версия веб браузера.
  24. crawler - симптом, который показывает, что используется краулер-приложение (например, поисковик).
  25. duplicate build - большое количество конверсий поступает с одной и той же версии Android build.
  26. regional specific device - аномальное расположение устройства, выпущенного для определенного региона (рынка).
  27. no events - большая доля конверсии не имеет in-app активности.
  28. ISP anomaly - преобладающее количество конверсий с одного провайдера.
  29. bad events - подозрительная in-app активность, аномальные показатели в большей части событий.
  30. lowcr - аномально низкий показатель переходов от клика к установке, как правило, является признаком Клик-спамминга.
  31. highcr - симптом, который указывает на аномально высокий показатель переходов от клика к конверсии (установка или регистрация). Данный признак характерен для источников с ботовыми устройствами, может свидетельствовать о наличии мотивированных пользователей.
  32. multiple attribution - множественные конверсии у которых встречается аномальное распределение параметров атрибуции.
  33. CTR anomaly - аномальный показатель переходов от показов к кликам в воронке показ-клик-установка, как правило, является признаком Клик-спамминга при атрибуции как по показу, так и по клику.
  34. obsolete system params abuse - это уязвимость, при которой злоумышленники намеренно используют устаревшие параметры конфигурации системы или устройства.

Каждый обнаруженный признак присваивает конверсии очки фрода (Fraudscore) - от 1 до 100 баллов в зависимости от тяжести нарушения. Если у конверсии было обнаружено несколько аномалий, то очки фрода суммируются. В зависимости от количества очков фрода конверсия попадает в определённую зону риска (ok, low, mid, high).

Совет

Система очков (Fraudscore) применяется не только к конверсиям, но и в целом по различным разрезам, например, по Offer, Affiliate и т.д. Тем самым можно посмотреть среднюю оценку риска в целом по Offer, Affiliate и т.д. В такой оценке мы рекомендуем обращать внимание на среднюю оценку по разрезу - начиная с 25 Fraudscore.

Совет

По общему правилу мы рекомендуем к реджекту только 🟧 mid и 🟥 high зоны (исключения могут быть, только если мы рекомендуем иное в экспертном заключении). Однако финальное решение по реджекту остается за клиентом - насколько он готов быть требовательным к качеству трафика.

Группировка

FraudScore предлагает уникальную возможность более глубокого понимания причин обнаружения фрода в анализируемом трафике. Для этого используются группировки по Fraud Reasons и Extended Fraud Reasons.

Включите группировку по Fraud Reasons, чтобы посмотреть высокоуровневые категории фрода.

Либо активируйте группировку Extended Fraud Reasons, чтобы увидеть более детальные причины.

Группировки можно комбинировать как друг с другом, так и с другими параметрами. Например, сгруппировать по Offers и Extended Fraud Reasons, чтобы оценить причины фрода для того или иного Offer.

Информация

Одна и та же конверсия может быть помечена сразу несколькими причинами и, соответственно, при группировке по Fraud Reasons или Extended Fraud Reasons попадет сразу в несколько групп.