На прошлой неделе мы рассказали как мошенники используют скрипты сторонних источников, установленные на сайте рекламодателей. Подробнее читайте здесь

Статья имела хороший отклик — «фродеры» притаились и выключили отдачу скриптов с домена retag.pw для популярных доменов. Компании, с кодов которых проходил фрод, переписали часть своих скриптов и отключили часть кода, но об этом позже.

В этой статье мы покажем, как можно найти подозрительный трафик с помощью SimilarWeb. Думаю, никто не будет спорить с тем что в SimilarWeb достаточно независим и точен.

В своей работе мы используем несколько иной подход — включая анализ стека переходов, определение источников фрода и команду аналитиков, собирающих нужные доказательства. Но для верхнеуровневого анализа фрода можно использовать данный метод.

Приведем 2 примера:

Пример №1 (pult.ru)

Шаг первый: ищем источники трафика. 
Для этого открываем SimilarWeb и видим такую картинку:

Обращаем внимание на домен: retag.pw

Шаг второй: просматриваем источники и смотрим статистику по retag.pw

Мы видим для retag.pw входящий трафик с pult.ru, а в исходящем — реферальные ссылки.

apyecom.com – домен редиректа Actionpay

pwieu.com – CityAds

f.gdeslon.ru – GdeSlon

Вывод: скорее всего трафик ушел с pult.ru на домен retag.pw и вернулся через CPA ссылки.

Это, конечно, не железные доказательства кукистафинга — такое поведение может быть вызвано разными причинами. Но в данном случае вероятность такого события небольшая, и на это стоило обратить внимание еще в конце апреля, когда данный источник фрода только проявился. Как итог – источник фрода работает почти месяц.

Источник фрода использует несколько CPA сетей и скорее всего несколько id вебмастеров. По опыту можем сказать, что иногда создание уникальных ID происходит со скоростью — 1 id вебмастера в день. Создать новый аккаунт почти в любой CPA сети — не проблема. Хотя, например, в admitad система проверки вебмастеров более тщательная.

Как найти источник вставки retag.pw в ваш сайт.

Скорее всего, сами вы его не найдете, он хорошо прячется. Пример такой вставки вы также можете найти в предыдущей статье.

Рекомендуем, в первую очередь, обратить внимание на скрипты с этих доменов:

qtstat.com, aprtx.com, aprtn.com, statab.com, code.acstat.com (Adv.Cake)
— для pult.ru

Вы также можете обратится к нам – мы найдем код, который фродит, покажем и расскажем, как он работает, и проконсультируем как его воспроизводить.

Пример 2 (delivery-club.ru)

Шаг 1: проверяем источники трафика

Находим подозрительный источник — xretag.ru

IP этого домена, кстати, совпадает с IP домена statab.com из предыдущего примера и домена pdstrack.com из статьи.

И даже отдаёт такой же код:

https://xretag.ru/r/s/t?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F 
https://statab.com/r/s/t?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F
https://pdstrack.com/r/s/t/?t=0.24044288384151757&ur=https%3A%2F%2Fwww.pult.ru%2F

Шаг 2: проверяем xretag.ru

Видим на входе одноразовые домены, а на выходе — тот же delivery-club.ru и CPA ссылки.

Далее — смотрим данные о рекламе этого домена —

Очевидно, это — кликандер и возможно с точным «ретаргетингом».

Если поискать скрипты на delivery-club.ru опять же можно найти code.acstat.com (Adv.Cake) который подключает, например, код ретаргетинга от GdeSlon.
update: По словам представителя GdeSlon, на момент написания статьи фродящий вебмастер уже был отключен от DeliveryClub.

Вывод:

Судя по приведенным данным, можно сделать вывод что delivery-club.ru или сам закупает трафик с кликандеров или, что более вероятно, кто-то показывает кликандеры по CPA, что запрещено условиями delivery-club.ru. Причем, скорее всего, кликандер закупается по ретаргетингу.

Заключение

Мы специально не стали предоставлять данные нашей системы мониторинга фрода и делали выводы только по данным SimilarWeb, хотя в распоряжении есть и более точные данные.

Надеемся, что в результате данной статьи смогут сами проанализировать свой трафик и задать нужные вопросы себе и своим партнерам по CPA.

Мы готовы к сотрудничеству со всеми заинтересованными компаниями и готовы предоставить по возможности логи и треки переходов, подтверждающие фрод.