Qu'est-ce que la fraude au trafic des robots mobiles et comment l'éliminer ?

Lorsqu'il investit dans une campagne d'acquisition d'utilisateurs, tout développeur d'applications ou toute agence veut s'assurer que 100 % de son investissement apportera des utilisateurs de grande valeur qui deviendront rapidement des clients engagés. Et si nous leur disions que plus de 30 % du trafic internet global était en fait repéré comme du trafic bot en 2019* ? Que peuvent-ils mieux faire maintenant pour s'assurer que l'impact de leurs dépenses publicitaires passe de 70 à 100 % de trafic généré par des humains ? Nous allons partager dans cet article les différents types de trafic bot qui existent sur le marché et des conseils pour le repérer et être en mesure de l'évincer complètement.

Qu'est-ce que le trafic de robots ?

La première chose à savoir, c'est que tout le trafic bot n'est pas mauvais. En fait, 35 % de ce trafic bot global est considéré comme "bon". Il se compose de robots d'alimentation, de robots de moteurs de recherche, de robots commerciaux et de robots de surveillance. Ils sont considérés comme bons car ils aident le propriétaire d'un site Web à obtenir un meilleur classement dans les moteurs de recherche, à protéger son contenu pour éviter toute duplication sur des sites concurrents et à s'assurer que les sites Web fonctionnent correctement. 

D'autre part, le "mauvais" trafic bot mobile peut être défini comme tout trafic qui n'est pas généré par un être humain réel, provenant d'un appareil mobile réel ou émulé, généralement dans une ferme d'appareils, un serveur, fonctionnant via des émulateurs, ou un programme malveillant. Cela se traduit par la génération de faux clics, de fausses installations et même d'événements post-installation tels que des enregistrements ou des achats. La célèbre plateforme de mesure mobile Appsflyer explique que "ces programmes rafraîchissent constamment leurs métadonnées, observent et apprennent les modèles de comportement des utilisateurs, les appliquant ensuite dans leur activité pour passer sous le radar des solutions de protection contre la fraude". Ces robots malveillants sont donc extrêmement difficiles à repérer, car dans la plupart des cas, ils sont suffisamment intelligents pour apprendre comment une personne réelle agirait et copier le même modèle comportemental pour rester indétectable.

Il existe deux types d'objectifs parmi ces fraudeurs : ceux qui visent délibérément à nuire à l'expérience in-app et qui sont le fait d'organisations cybercriminelles, et ceux qui recherchent un profit monétaire et qui sont le fait d'organisations commerciales ou de particuliers. Cette dernière catégorie, la plus répandue, génère de fausses installations ou de faux événements pour obtenir le paiement attribué, à partir d'une "ferme mobile" (des centaines d'appareils réels sur un mur exécutant des actions par le biais d'un script qu'ils ont développé) ou d'émulateurs. Ils ciblent les campagnes publicitaires mobiles offrant des gains élevés ou des possibilités d'échelle importantes, afin de maximiser leurs revenus. Ils ont été particulièrement avides de campagnes CPA (coût par action), car elles constituent une nouvelle tendance du marché, offrant des gains considérablement plus élevés qu'une campagne CPI (coût par installation) ordinaire. Alors que de nombreux développeurs d'applications ou agences continuent de croire que passer d'un modèle de tarification CPI à un modèle CPA est plus sûr pour prévenir la fraude et maximiser leurs revenus, notre expérience a démontré le contraire. en le mettant à jour en cours de route pour le rendre plus intelligent que les solutions anti-fraude. Ils ressemblent beaucoup au trafic humain et sont donc extrêmement difficiles à repérer, à moins de disposer d'une solution anti-fraude puissante, conçue pour être plus intelligente qu'eux.

Comment détecter le trafic de robots ?

En 2019, les dépenses publicitaires mobiles annuelles ont augmenté de 20 % pour atteindre 190 milliards de dollars**, ce qui signifie que les annonceurs mobiles ont été confrontés à une perte de 45 milliards de dollars. C'est considérable. Si la fraude par bot reste stable en 2022 (elle a en fait augmenté de 18 % l'année dernière), les dépenses publicitaires mobiles devant atteindre 280 milliards de dollars par an, la fraude par bot atteindrait un montant supérieur à 67 milliards de dollars. Toutes ces pertes d'argent peuvent être évitées ou du moins limitées en appliquant des contrôles plus stricts et en adoptant une approche plus intelligente que les fraudeurs pour les contrer de manière agile. Pour cela, la première étape est de pouvoir détecter correctement ce mauvais trafic de robots :

  • Détection de l'IP. Comme la plupart des opérateurs de bots s'appuyaient sur des proxys de centres de données, c'est un moyen facile de vérifier l'IP et de la comparer à une liste noire d'IP existante via un fournisseur. Mais les fraudeurs sont devenus plus intelligents et ont commencé à utiliser des nœuds de sortie Tor pour rester indétectables, de sorte que la détection de l'adresse IP ne peut plus repérer que le type de fraude le moins avancé.
  • Version du SDK. Le fait de remarquer que les installations proviennent d'une version antérieure du SDK peut être le signe de la présence de robots. 
  • Informations sur le dispositif. Dans le cas des émulateurs, il existe des moyens d'identifier les robots frauduleux en examinant toutes les informations relatives aux appareils et en voyant si quelque chose ne correspond pas (version du système d'exploitation, type d'appareil, navigateur, etc.)
  • Modèles d'événements. Par exemple, de fortes densités d'installations qui suivent des schémas comportementaux identiques ou programmés, non humains. Cela peut être repéré en regardant l'horodatage de ces événements (par exemple, des installations qui arrivent toutes dans un laps de temps très spécifique après le clic). Cela peut également être repéré sur la base des événements post-installation, lorsque des événements tels que des enregistrements ou des achats arrivent dans un laps de temps très similaire, ou à un moment inhabituel.
  • Comportement suspect de l'utilisateur. Cela peut être repéré en comparant les installations et les événements organiques, et la façon dont un utilisateur humain interagit habituellement dans l'application. En comparant ces données organiques de rétention et d'engagement avec les données provenant du trafic de robots, on obtient généralement des taux différents. Le trafic de robots affiche un faible taux de rétention des utilisateurs et un ratio d'événements suspects (trop faible ou parfois même trop élevé). Mais les fraudeurs deviennent de plus en plus intelligents. En connaissant les indicateurs clés de performance à atteindre pour une campagne spécifique, ils peuvent également adapter leur script pour qu'il ait l'air humain.
  • Données de paiement. Les fraudeurs peuvent utiliser de fausses cartes de crédit pour effectuer de faux achats dans l'application. Pour cette raison, il est extrêmement important pour tout annonceur de vérifier toutes les informations de paiement et la validité des cartes de crédit des utilisateurs.

L'examen de tous ces points de données différents afin de recouper les métriques est devenu la nouvelle normalité dans ce secteur, mais tous les annonceurs n'appliquent pas encore un contrôle automatisé et en temps réel pour éliminer complètement ce trafic de robots.

Comment expulser le trafic des robots ?

Il existe 3 freins principaux chez les annonceurs d'applications pour évincer efficacement la fraude par bot : 1) le manque de connaissance du trafic bot et de son impact négatif sur leurs campagnes d'acquisition d'utilisateurs, 2) la ressource et l'outil pour le repérer correctement en temps réel, 3) une approche statique de l'éviction de la fraude qui ne prend pas en compte l'évolution constante des moyens des fraudeurs. Si nous avons surmonté le premier frein dans cet article, abordons ensemble les deuxième et troisième problèmes. 

Les contrôles manuels ne constituent pas une barrière efficace contre le trafic de robots malveillants, car ils sont trop statiques et interviennent trop tard après que l'événement s'est produit. Ce qu'il faut, c'est l'activation d'un outil anti-fraude puissant, du côté du MMP, mais qui peut aussi être biaisé par un conflit d'intérêt, donc ajouter une couche supplémentaire de contrôle est toujours une chose bien nécessaire. Dreamin a construit sa propre solution anti-fraude, en déployant des algorithmes d'apprentissage automatique pour repérer les anomalies comportementales et statistiques en temps réel. Cette solution de détection fonctionne sur la base de plusieurs points de données collectés et analysés par le système d'IA en même temps. Une fois repéré, il est supprimé et mis sur liste noire, tout en devenant plus intelligent en cours de route, à mesure que de nouveaux types de bots apparaissent. 


...

*D'après l'étude d'Imperva sur "Rapport Bad Bot 2020 : Les mauvais robots contre-attaquent"

** Selon l'enquête de Statista.com. Source : https://www.statista.com/statistics/303817/mobile-internet-advertising-revenue-worldwide/ 

Regardez notre dernier webinaire sur la fraude mobile et l'impact de CoVid.
Obtenez votre lien ici
Articles connexes
Qu'est-ce que le SDK Spoofing Fraud et comment l'éliminer ?
Articles récents
TOP 5 raisons pour lesquelles vous devriez choisir une plateforme IAP pour votre application
Comment les développeurs d'applications et les spécialistes du marketing vont-ils survivre dans le monde d'iOS 14 ?
Dreamin a ouvert son tout nouvel espace de bureaux à Paris