چگونه با تقلب موبایلی (Mobile Fraud) مقابله کنیم؟

" ٪۲۲ از اپلیکیشن‌ها بیش از ۱۰٪ تقلب موبایلی دارند."

در سال ۲۰۱۸ نرخ جهانی تقلب موبایلی ۱۱.۵٪ ثبت شده است. این آمار به این معنی است که از هر ۱۰۰۰ نصب غیر ارگانیکی که برای آن هزینه می‌کنید، ۱۱۵تا غیر واقعی است. شاید فکر کنید که این اتفاق فقط برای اپلیکیشن‌های خیلی بزرگ (از لحاظ تعداد کاربر) می‌افتد و متقلبان فقط آن‌ها را هدف قرار می‌دهند. اما این چنین نیست. آماری که اوایل سال ۲۰۱۸ منتشر شده است، نشان می‌دهد که ۲۲٪ از اپلیکیشن‌ها بیش از ۱۰٪ تقلب موبایلی دارند.

تقلب موبایلی (Mobile Fraud) چیست؟

افزایش بودجه‌های تبلیغات و تزریق حجم بسیار بالایی از سرمایه به حوزه مارکتینگ، انگیزه‌ی سودجویی در این حوزه را بالاتر برده است. از این رو، افراد سودجو موفق به پیدا کردن راه‌هایی شده‌اند تا نتیجه‌های جعلی و غیر واقعی برای تبلیغات درست کنند. در تبلیغات موبایل این تقلب‌ها را با جعل مواردی مثل: نصب، کلیک، نمایش (Impression) و سایر رخدادهای کلیدی مربوط به اهداف تبلیغات، انجام می‌دهند. به مجموع این فعالیت‌ها که داده‌های غیر واقعی را وارد سیستم شما می‌کنند، تقلب موبایلی‌ (Mobile Fraud) می‌گویند.

در ادامه با بلاگ چابک همراه باشید تا با انواع تقلب‌های موبایلی ونحوه شناسایی و مقابله با آن‌ها در SDK‌چابک آشنا شوید.

انواع تقلب‌های موبایل

در طول سال‌های گذشته روش‌ها و تکنیک‌های زیادی برای تقلب موبایلی ابداع شده است. به همین علت برای درک بهتر لازم است آن‌ها را دسته‌بندی کرد. سرویس اتریبیوشن ادجاست به طور کلی تقلب موبایلی را به ۲ نوع کلی تقسیم می‌کند. به این ترتیب که تقلب یا در تعامل با تبلیغ رخ می‌دهد (مانند نمایش و کلیک) یا در تعامل با اپلیکیشن (مانند نصب، بازدید، رویدادهای درون اپلیکیشنی).

## روش‌های معمول تقلب در تعامل با تبلیغ

اسپم کلیک (Click Spam)

یکی از راه‌های شکار نصب، اسپم کلیک است که متقلب کلیک‌ را به کاربرانی نسبت می‌دهد که هرگز عمل کلیک را انجام نداده‌اند. این فرایند زمانی شروع می‌شود که کاربر وارد یک وب‌سایت یا اپلیکیشن که متقلب در حال کنترل آن است؛ می‌شود. از این مرحله به بعد ممکن است هر کدام از حالت‌های زیر اتفاق بیفتد:

• بدون اینکه تبلیغی به کاربر نشان داده شود، وب‌سایت در پشت زمینه کلیک‌های تقلبی را برای او می‌شمارد. این حالت ممکن است در اپلیکیشن نیز اتفاق بیفتد و بدون اینکه کلیکی روی تبلیغات موبایلی انجام شده باشد، کلیک شمارش شود.
• متقلبان همچنین می‌توانند در اپلیکیشن‌هایی که همیشه باز هستند (مانند launchers, memory cleaners, battery saver و ...) کلیک به وجود بیاورند.
• متقلبان قادر خواهند بود نمایش یک تبلیغ را به عنوان کلیک ثبت کنند تا نرخ تبدیل را به صورت جعلی بالا ببرند.
• متقلبان می‌توانند کلیک‌هایی را از شناسه دستگاه‌های ساختگی به ترکر‌ها ارسال کنند.

تزریق کلیک (CLick Injection)

این روش یک حالت پیچیده‌ از اسپم کلیک است. این کار معمولا از طریق انتشار یک اپلیکیشن ساده با استفاده از گیرنده‌ای به نام گیرنده‌های نصب (install broadcasts) انجام می‌شود. به کمک گیرنده‌های نصب، متقلبان قادر خواهند بود، اطلاعات مربوط به اپلیکیشن‌هایی که در حال نصب روی گوشی کاربر هستند را پیدا کنند و کاری کنند تا قبل از اتمام فرایند نصب اپلیکیشن، کلیک جعلی ثبت شود. با انجام این روش، متقلبان می‌توانند روی آمار نصب‌های ارگانیک یک اپلیکیشن تغییر ایجاد کنند.

جالب است بدانید که تزریق کلیک فقط در نصب‌هایی که در گوگل پلی اتفاق می‌افتند، رخ می‌دهد. به همین علت در سال ۲۰۱۷گوگل پلی یک API تحت عنوان Google play install referrer API‌ را منتشر کرد تا جلوی نصب‌ از طریق تزریق کلیک را بگیرد. سرویس‌هایی مثل:‌چابکTune، Appsflyer و Adjust از این API‌در ترکر خود استفاده می‌کنند.

راهکار چابک برای جلوگیری از کلیک‌های تقلبی

• Spam Detection:

توزیع‌های غیر نرمالی از ترافیک که توسط بات‌ها اقدام به ارسال کلیک‌های تقلبی می‌کنند؛ از این روش قابل تشخیص هستند.

• Rate Limiting:

این روش برای جلوگیری از افزایش ناگهانی ترافیکی که به سمت یک سرور ارسال می‌شود کاربرد دارد. این روش اجازه نصب‌هایی متعدد از یک IP ‌را نمی‌دهد. از این راه می‌توان برای محدود کردن تعداد IP‌هایی که می‌توانند در هر دقیقه درخواست کلیک ارسال کنند؛ استفاده کرد تا بتوان تعداد قابل قبولی از کلیک ‌های تقلبی را شناسایی کرد.

روش‌های معمول تقلب در تعامل با اپلیکیشن

ایجاد مزرعه دستگاه (device farm )

مزرعه دستگاه، جایی است که متقلبان در حال انجام کارهایی مانند: کلیک، ثبت دستگاه و نصب اپلیکیشن هستند. از آنجاییکه این اعمال به طور مداوم تکرار می‌شوند، کلیک‌ها یا ثبت‌‌های تقلبی به طور طبیعی جلوه می‌کنند ولی هزینه تبلیغات تا حد بسیار زیادی افزایش پیدا می‌کند. در این حالت، برای جلوگیری از نصب تقلبی، از تکنیک‌های مختلفی مانند استفاده از آی‌پی‌های جدید، دستگاه‌های متنوع، ریست دستگاه‌ها پس از نصب و .. استفاده می‌شود.

استفاده از Simulator

تعداد زیادی از متقلبان با این روش کار می‌کنند و از شبیه‌سازهایی که به یک سرور مرکزی وصل هستند، نمایش، کلیک، نصب و تعامل با اپ را جعل می‌کنند.

جعل اس‌د‌ی‌کی (SDK spoofing)

در این روش متقلبان به کمک بدافزارها و با استفاده از گوش دادن به نصب‌هایی که در یک تلفن همراه در حال اتفاق افتادن است، برای یک کمپین تبلیغاتی، نصب غیر واقعی می‌شمارند.

راهکار چابک برای جلوگیری از نصب‌های تقلبی

منشا کلیک‌های تقلبی فضای وب است. در این فضا اطلاعات کافی برای تکمیل شدن پروسه احراز هویت ( Fingerprinting) برای ترکرها ارسال نمی‌شود. به همین علت است که در هیچ یک از سرویس‌های ضد تقلب هرگز راه حل غیر قابل نفوذی برای جلوگیری از کلیک‌های تقلبی وجود ندارد.

از طرف دیگر از آنجایی‌که تبلیغ دهنده نباید صرفا به ازای کلیک کاربران روی تبلیغ، هزینه پرداخت کند و ترجیح تبلیغ‌دهنده‌هابه پرداخت هزینه بر اساس نصب اپلیکیشن (CPI‌) است؛ چابک بیشترین تمرکز خود را بر روی پیاده سازی روش‌های مقابله با نصب‌های تقلبی گذاشته است. روش‌های زیر مطمئن‌ترین روش‌هایی هستند که می‌توانند جلوی تمام روش‌های نصب‌های تقلبی که در بالا به آن‌ها اشاره کردیم را بگیرند و کسب و کارها را از پرداخت هزینه‌های زیاد پرداخت به ازای کلیک (CPC) بی نیاز کنند.

• IP Blacklisting:

IP های مشکوکی که به نظر می‌رسند به کاربران معمولی اینترنت یا به ISP‌ها متعلق نیستند؛ توسط این روش شناسایی می‌شوند. نصب‌هایی که از IPهای ناشناس(Anonymous) یا بی‌نام و مشکوک که از شبکه‌های تور یا لیست‌های Spam IP‌شناسایی شوند؛به عنوان نصب‌های غیرقابل قبول و تقلبی شمارش می‌شوند.

• SDK Signature:

این روش به طور مشخص برای جلوگیری از نصب از طریق SDK Spoofing پیاد‌سازی شده است. با قرار دادن یک امضای مشخص روی SDK‌توافقی بین Client‌و server‌صورت می‌گیرد که جلوی هرگونه دستکاری یا اعمال تقلب بر روی ارسال درخواست نصب تقلبی را می‌گیرد.

• TTI:

زمان قابل قبول بین کلیک و نصب است. چابک به طور خودکار فاصله زمانی بسیار کوتاه را رد می‌کند و همینطور در صورتی که فاصله بین کلیک و نصب از محدوده‌ای که شما تعیین کرده‌اید بیشتر شود (محدوده اتریبیوشن)، نصب شمرده نخواهد شد.

از آنجایی که در یک Device Farm ‌تعداد زیادی دستگاه قصد دارند به صورت خیلی سریع نصب تقلبی ثبت کنند، پیدا کردن نصب‌هایی که از روش TTI‌به صورت تقلب شناخته می‌شوند می‌توانند از ایجاد تقلب به روش Device Farm‌جلوگیری کند .

• Server to Server Verification:

اطلاعات کاربر را هنگام کلیک جمع‌آوری می‌کند و با اطلاعاتی که Server شما در هنگام نصب دریافت می‌کند اعتبارسنجی می‌نماید؛ در صورت عدم تطابق اطلاعات بین Server‌های چابک و شرکت تبلیغ‌دهنده، نصب را رد می‌کند.از این روش حتی می‌توان در خصوص اعتبارسنجی رویدادهای درون‌برنامه‌ای نیز استفاده کرد.

از این متد می‌توان برای شناسایی نصب‌های تقلبی که جزو دسته Device Farm‌ یا Simulator‌هستند، استفاده کرد.

• UserID Verification:

احراز هویت برای تشخیص واقعی بودن کاربر در هنگام نصب است. در چابک این کار از طریق ارسال پیام کوتاه انجام می‌شود. این روش یکی ازراه‌های مطمئن تشخیص نصب تقلبی در اپلیکیشن‌هایی است که بعد از نصب نیاز به ورود ( Login‌) کاربر دارند.

استفاده از این راه نیز می‌تواند نصب‌های تقلبی حاصل از Device Farm‌ و Simulator‌ را شناسایی کند.

آیا راه‌حل دائمی‌ای برای مقابله با تقلب در موبایل وجود دارد؟

متاسفانه جواب این سوال خیر است؛ هیچ سرویس‌دهنده اتریبیوشنی نمی‌تواند ادعا کند که راه حل همیشگی و بی نقصی برای مقابله با کلیک یا نصب تقلبی دارد. زیرا متقلبان همواره دنبال راه‌های جدید و پیچیده‌تری برای مبارزه و شناسایی با روش‌های جلوگیری از تقلب هستند. اما خبر خوب این است که با گسترش آگاهی از تقلب‌ها و هدر رفتن‌ هزینه‌‌های تبلیغات، سرویس‌های زیادی به وجود آمده‌اند که تمام یا بخش اعظم تمرکز خود را به پیاده‌سازی روش‌هایی برای شناسایی و جلوگیری از نصب‌های تقلبی اختصاص می‌دهند.

در انتخاب این سرویس‌ها باید در مقام اول اطمینان پیدا کنید که سرویس انتخابی شما مستقل بوده و هیچ‌گونه ارتباط مستقیمی بین سرویس و بخش‌های تبلیغاتی وجود نداشته باشد. همچنین لازم است از تعهد و مسئولیت‌پذیری آن‌ها در پیاده‌سازی سرویس‌های ضد تقلب مطمئن شوید. پشتیبانی سرویس‌دهنده و همچنین امکان ارائه گزارش‌های خام از اطلاعات دقیقی مثل User Id، Device Type، Device Model و زمان دقیق نصب‌های ثبت شده یکی دیگر از معیارهایی است که باید در هنگام انتخاب سرویس‌دهنده به آن توجه ویژه داشته باشید

تقلب موبایلی همیشه در حال تغییر است.

با توجه به وجود روش‌های زیاد تقلب که هر روز پیچیده‌تر می‌شوند، می‌توان این روش‌ها را به ویروس‌ تشبیه کرد. همانطور که برای مقابله با ویروس‌ها، ابتدا پزشک به دنبال تشخیص نوع ویروس است، و بعد از تشخیص در مورد آن تحقیق می‌کند تا بتواند راه‌حل منطقی برای درمان توصیه کند؛ ساز و کار مقابله با تقلب نیز به همین شکل است. ابتدا لازم است؛‌ متوجه شویم از طریق چه روشی مورد حمله نصب تقلبی شده‌ایم، سپس در مورد روش‌های آن تحقیق کنیم تا بتوانیم از نفوذ آن جلوگیری کنیم.

مطابق مثال بالا، سرویسی که از آن برای مقابله با تقلب استفاده می‌کنید نقش یک پزشک را دارد.برای همین لازم است سرویس آمادگی این را داشته باشد تا به صورت دائمی با صبر و حوصله زیاد در مورد روش‌های جدید تقلب تحقیق کند، با آن‌ها آشنا شود و مکانیزم‌های جدیدی را برای پیشگیری طراحی نماید.