Ранее мы писали про скрипты «ретаргетинга» и фрод, который идет через CPA-сети и рекламные агентства. Мы решили проверить изменилось что-то или нет и были удивлены новым подходом к фроду, который удалось найти.

Проверка скриптов ретаргетинга

Коротко: большинство сайтов из нашей первой статьи не удалили фродящие коды, но сами коды поменялись (например, домен retag.pw — распался на десятки одноразовых доменов). Думаем, это наша заслуга и фродеры стали осторожней, больше нам не выложить красивый скриншот с similarweb как доказательство фрода. Придется разбираться с каждым из одноразовых доменов, которые часто меняются.

Фродовая CPA-сеть

Теперь к главному: в этой статье разберем целую CPA-сеть, в которой мы не нашли чистых вебмастеров.

Для крупных фродеров создание свой CPA-сети выглядит как логичный шаг. Ведь действительно, зачем регистрировать вебмастера в общеизвестной CPA-сети когда можно создать свою CPA-сеть используя affise.com и придти с этой CPA-сетью напрямую в агентство.

Агентства обычно мотивированы увеличить CPA-канал и с радостью подключают новые источники и вставляют неизвестные коды ретаргетинга с анонимных одноразовых доменов (как избежать этого с помощью правильных KPI мы рассказывали в предыдущей статье).

Помог найти эту сеть контейнер скриптов Adv.Cake на сайте 220-volt. Напомним, в прошлый раз они вставляли такой код:

Этот код создавал iframe по CPA-ссылке (Кукистаффинг, подробнее в нашем первом расследовании).

И надо признать, что после нашей статьи они его убрали. Также этот код убрали и некоторые CPA-сети, например, GdeSlon и глобально фрода стало меньше на какое-то время.

Сейчас на том же месте в контейнере Adv.Cake находится такой код:

Текущий код, который вставляется через контейнер

Давайте разберем как он работает: открываем dev tool и видим пустой файл.
Но это не проблема – мы привыкли, что от нас прячут скрипт, проверили другие страницы сайта и кода также не нашли. 
Мы начали искать что отдает rockcnt.com на самом деле и нашли такой код:

Скрипт, который отдает код rockcnt

Этот код найден не на сайте 220-volt, но не исключено, что он также иногда появляется и там – по выходным, на распродажу и так далее. Например, мы видели активность по данному источнику примерно 13-14 октября.
Код rockcnt.com на некоторых сайтах возвращает и более знакомые нам скрипты по прошлым статьям.

Далее через серию вставок кода с домена ubscript.com мы находим боевой участок кода:

Код кукистаффинга

По коду видно, что создается iframe по CPA-ссылке в невидимой области экрана – это обычный Кукистаффинг.
По CPA ссылке происходит переход на тот же сайт, но с CPA-метками с источником Rocket10 в utm_source.

Не только Adv.Cake подключает rockcnt.com, например, в контейнере TrackAd мы нашли такой код:

Содержимое контейнера TrackAd

По UTM метками, коду подключения из тракад, алиасу track.r10web.com на affise.com можно сделать вывод, что Rocket10 приходит в агентство как CPA-сеть с несколькими вебмастерами и полноценной интеграцией.

Результат расследования

Мы проверили вебмастеров Rocket10 по доступному нам трафику и обнаружили: равномерное распределение трафика по вебмастерам, одинаковый фрод через iframe в каждом вебмастере (примерно по 20%). Чистый трафик там так же есть, но возможно он нужен, чтобы скрыть фрод по статистике.

Отметим, что Adv.Cake и TrackAd позиционируют себя как Антифрод-решение, однако подключают клиентам неизвестный код с анонимных доменов, который довольно часто оказывается фродом.

Сайты, на которых мы нашли вставку rockcnt.com:

123.ru, 220-volt.ru, alpindustria.ru, aromacode.ru, atlasformen.ch, atlasformen.de, atlasformen.fr, atlasformen.nl, atlasformen.pl, avtocod.ru, beautydiscount.ru, bethowen.ru, bonprix.ru, book24.ru, chitai-gorod.ru, condom-shop.ru, delivery-club.ru, dinomama.ru, evropharm.ru, gracy.ru, just.ru, lampart.ru, laredoute.ru, mi-shop.com, mytoys.ru, nebo.ru, niyama.ru, nozhikov.ru, ogo1.ru, ostin.com, pharmacosmetica.ru, pichshop.ru, ps-box.ru, pudra.ru, rukodelov.ru, sendflowers.ru, shop.laroche-posay.ru, shop.misslo.com, sportmaster.ru, store77.net, topradar.ru, tutu.ru, vamsvet.ru, vassatrend.ru, zdravzona.ru.

Также домен usercomebacker.com, похожий по поведению на ubscript.com, был обнаружен на этих сайтах:

lacywear.ru, lwr.kz, toy.ru, yves-rocher.ru, ezakaz.ru, holyskin.ru.

Что в итоге

Технологии мошенников развиваются ежедневно. Чтобы не переплачивать за бесплатный трафик (или вдвойне не переплачивать за свой платный), мы рекомендуем очень внимательно проверять скрипты, которые ставятся на ваш сайт, особенно через подрядчиков.

А также для контроля привлекать независимые компании, которые специализируются на поиске и мониторинге фрода, например AdMon.

Впереди высокий сезон, Black Friday, День холостяка и Новый год — большие рекламные бюджеты, дефицит чистого трафика и повышенный соблазн для мошенников “срубить бабла” везде, где не следят, на год вперед.

Будем рады помочь проверить работу сторонних кодов на сайте, а также трафик СРА и медийных подрядчиков.

Первыми узнать правду о рекламном фроде можно в блоге или на странице FaceBook.