Кликфрод в Google Ads

Салют, на связи Adspect — облачный «комбайн» из клоаки, фильтра ботов и CPA-трекера.

Этот пост, как и два предыдущих, будет о качестве трафика и о накрутке, но на этот раз речь пойдет только об одной рекламной сети — Google Ads, а именно о рекламе в поиске. Несмотря на всю технологическую и кадровую мощь Google, в их рекламном бизнесе водится фрод. В поисковой рекламе он представлен в виде целенаправленного скликивания рекламного бюджета конкурентов в борьбе за позиции в выдаче. Что, собственно, мы и обнаружили на одиозном примере одного из наших клиентов. Мы не можем сообщить ключевики и тематику объявлений из соображений конфиденциальности, но отметим, что речь идет о гео DE.

Итак, началось все с того, что клиент обнаружил повышенный процент фильтрации трафика в статистике Adspect по кампании на DE относительно кампаний на другие страны. Суммарную статистику за день можно увидеть на скриншоте ниже:

60% — это действительно аномально низкое качество для трафика Google. Еще больше удивил показатель GIVT («тупые» боты) — 26%. Первым делом мы предположили, что из-за специфики гео в трафике мог оказаться повышенный процент какого-либо редкого браузера или устройства, где по тем или иным техническим причинам ломается наш JavaScript-код для формирования машинного отпечатка браузера. Мы построили соответствующие срезы статистики и получили следующие картинки:

Обнаружилось, что высокий GIVT не сконцентрирован ни в конкретной ОС, ни в конкретном браузере, а размыт по большей их части. Еще более озадаченные, мы уже стали подозревать что-то дурное и решили проверить гео, с которых были переходы по таргетированной строго на DE кампании, как их распознала наша IP-геолокация:

Тут-то ситуация и начала проясняться — нецелевые гео в трафике в таком количестве явно говорят о том, что рекламная ссылка была взята из поисковой выдачи по целевому гео и отдана на склик ботам, ходящим через прокси в разных странах мира. AT и CH еще можно понять, так как они являются близкими к DE гео как географически, так и по немецкому языку, и на них наблюдается близкий к DE процент GIVT: 21% AT и 13% CH против 14% DE. Но все остальные гео явно сомнительные, особенно в свете высоких GIVT в диапазоне 45-100%%, природу которых мы и выясняем.

Ладно, берем CSV-отчет из Adspect, отбираем интересующие нас переходы, из них достаем gclid (Google click ID — уникальные идентификаторы переходов в Google Ads) и ищем их в access-логе веб-сервера. Вот несколько таких переходов по одному gclid:

2020-06-21T06:58:56+03:00 190.115.18.92 68.183.241.134 DE 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (iPhone; CPU iPhone OS 13_5 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1.1 Mobile/15E148 Safari/604.1»

2020-06-21T06:58:56+03:00 190.115.18.92 51.75.141.254 FR 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (Linux; U; Android 8.1.0; zh-CN; EML-AL00 Build/HUAWEIEML-AL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 baidu.sogo.uc.UCBrowser/11.9.4.974 UWS/2.13.1.48 Mobile Safari/537.36 AliApp(DingTalk/4.5.11) com.alibaba.android.rimet/10487439 Channel/227200 language/zh-CN»
2020-07-21T06:58:56+03:00 190.115.18.92 31.10.158.118 CH 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (iPhone; CPU iPhone OS 13_5 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1.1 Mobile/15E148 Safari/604.1»

2020-06-21T06:58:57+03:00 190.115.18.92 206.217.128.9 US 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0»

2020-06-21T06:58:57+03:00 190.115.18.92 128.90.105.92 PA 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36»

2020-06-21T10:58:43+03:00 190.115.18.92 159.65.210.36 GB 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «mozilla/5.0 (iphone; cpu iphone os 11_0 like mac os x) applewebkit/604.1.38 (khtml, like gecko) version/11.0 mobile/15a372 safari/604.1″ (khtml, like gecko) versionn/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b»

2020-06-21T10:58:43+03:00 190.115.18.92 81.170.91.209 GB 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (Linux; U; Android 8.1.0; zh-CN; EML-AL00 Build/HUAWEIEML-AL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 baidu.sogo.uc.UCBrowser/11.9.4.974 UWS/2.13.1.48 Mobile Safari/537.36 AliApp(DingTalk/4.5.11) com.alibaba.android.rimet/10487439 Channel/227200 language/zh-CN»

2020-06-21T10:58:44+03:00 190.115.18.92 195.206.105.216 CH 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b»

2020-06-21T10:58:47+03:00 190.115.18.92 206.217.129.233 US 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)»

2020-06-21T10:58:47+03:00 190.115.18.92 128.90.105.226 PA 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (Linux; Android 7.0; SAMSUNG SM-G950F Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/5.2 Chrome/51.0.2704.106 Mobile Safari/537.36»

2020-06-21T18:59:05+03:00 190.115.18.92 87.115.231.162 GB 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36»

2020-06-21T18:59:06+03:00 190.115.18.92 172.241.26.88 US 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko»

2020-06-21T18:59:06+03:00 190.115.18.92 128.90.105.29 PA 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «mozilla/5.0 (iphone; cpu iphone os 11_0 like mac os x) applewebkit/604.1.38 (khtml, like gecko) version/11.0 mobile/15a372 safari/604.1»

2020-06-21T18:59:06+03:00 190.115.18.92 197.242.156.53 ZA 202 «GET /v1/1eaac183-66ed-6fca-99e1-ac1f6b95a853?gclid=EAIaIQobChMIhPzTvtGH6gIVh6MYCh0XmgOkEAAYAiAAEgIQu_D_BwE HTTP/1.1» «Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b»

Р — разнообразие! Тут и пол-дюжины разных гео, и Windows, и Linux, и Android, и iPhone, и BingPreview с UC Browser, и даже user agent’ы в нижнем регистре и с опечатками: «(khtml, like gecko) versionn/7.0». Все переходы очень слабо разбросаны по времени. Это ни что иное, как наступательный кликфрод: не очень умелое скликивание чужой рекламы при помощи примитивных ботов и публичных прокси-списков, а в качестве рандомизации — горстка user agent’ов, которые повторяются в логах вместе с их опечатками и нижним регистром тех символов, которые всегда должны быть в верхнем в аутентичных браузерах.

В этом случае Adspect мало чем может помочь, помимо выявления факта скликивания и сбора доказательной базы, а масштабы и неповоротливость корпорации Google делает диалог с ними не самым тривиальным делом, однако в принципе прецеденты возврата денег за некачественный трафик или за скликивание существуют. Этот случай также является очередным фактом в пользу утверждения, что в онлайн-рекламе фрод можно найти везде.

Фиксируйте показатели ботовости и сравнивайте их друг с другом. Аномальные отклонения — признак того, что вас могут накручивать. Всем чистого трафика и профита!