3 fontes de fraude na SKAdNetwork para as quais os anunciantes precisam se preparar

Como se configura a fraude no iOS 14 com o SKAdNetwork ? É sequer possível, considerando que a Apple está criptografando as instalações de aplicativos?

mobile inteligentes estão aproveitando o período entre agora e o início de 2021, quando a Apple implementará completamente todos os recursos de privacidade do iOS 14 , para testar o SKAdNetwork. O objetivo: tornar sua capacidade de otimização de marketing sem IDFA tão boa ou melhor do que sua análise de atribuição padrão do iOS 13.

Mas e quanto à fraude?

Você precisa se preocupar com fraudes no iOS 14 quando o SKAdNetwork estiver totalmente operacional?

A resposta curta é… com certeza. A resposta mais longa é que existem pelo menos três maneiras diferentes pelas quais os fraudadores podem falsificar conversões, distorcer as atribuições, desperdiçar seu dinheiro e destruir seus dados. Nesta edição do Growth Masterminds, com prevenção de fraudes da Singular ,

John Koetsier: Resumidamente, quais são os três problemas potenciais?

Yonatan Komornik : Então, o SKAdNetwork 2.0 inclui a assinatura criptográfica que permite a validação dos dados e basicamente impede que agentes fraudulentos falsifiquem ou adulterem as notificações do SKAdNetwork, mas ainda existem alguns problemas.

Em primeiro lugar, os valores de conversão pós-instalação não estão incluídos nos dados assinados. Além disso, o país e a geolocalização não estão codificados. E, por fim, validar a assinatura não é tão simples quanto parece.

Koetsier : Vamos analisar cada um desses desafios, começando pelas conversões pós-instalação.

Estamos falando de alguém que instalou um aplicativo e talvez tenha comprado algo, interagido com ele, concluído um nível, etc. Qual é o desafio aqui?

Komornik : Vamos dar um passo atrás. O SKAdNetwork 2.0 inclui um valor de seis bits, chamado valor de conversão.

E esse valor pode ser atualizado pelo aplicativo do anunciante para refletir o valor do usuário proveniente da rede de anúncios ou da campanha específica. E isso está incorporado à notificação do SKAdNetwork. Assim, você pode receber uma notificação informando que uma instalação proveniente desta rede de anúncios nesta campanha, e até mesmo de um editor específico, atraiu um usuário com uma pontuação de 100, por exemplo.

E essas pontuações podem ser o que os anunciantes basicamente otimizam. Então, quanto maior a pontuação, melhor o usuário, por exemplo.

Agora, esse valor de conversão específico não é assinado na notificação do SKAdNetwork, o que significa que, mesmo que seja alterado, a autenticação do postback do SKAdNetwork ainda seria bem-sucedida. Continuaria sendo válido. E como as notificações do SKAdNetwork chegam primeiro à rede de anúncios e só depois são compartilhadas com anunciantes ou MMPs, um agente fraudulento poderia possivelmente alterar esses valores sem que ninguém percebesse.

Koetsier : A segunda coisa que você mencionou foram os códigos de país, certo? Talvez você esteja procurando usuários no Reino Unido e encontre o Uzbequistão ou algo parecido. Qual é o problema aqui?

Komornik : Então, as notificações do SKAdNetwork vêm do próprio dispositivo, o que significa que os metadados incorporam valores únicos e muito valiosos para os anunciantes. Como a geolocalização, por exemplo, que pode ser derivada do endereço IP.

Mas como as notificações do SKAdNetwork são enviadas primeiro para a rede, esta poderia basicamente reportar qualquer geolocalização que quisesse. Novamente, isso não faz parte dos dados que foram assinados e validados.

Koetsier : Então, esses são os valores de conversão pós-instalação e os códigos de país. Mas acho que, como estávamos conversando antes, você também mencionou que validar assinaturas não é suficiente, certo? Alguém poderia simplesmente reenviar a mesma resposta repetidamente.

Está correto?

Komornik : É sim.

Então, vamos tentar simplificar e talvez dar um exemplo. Digamos que você queira incentivar seu filho a se sair bem nas provas da escola. E você disse a ele que daria algum tipo de prêmio para cada prova em que ele tirasse um A. Agora, a escola não coloca nenhuma data nessas provas. Eles apenas carimbam com um A… e você sabe que seu filho pode falsificar esse carimbo específico. Então ele traria uma prova com nota A.

E você obviamente ficaria feliz. E você lhes daria qualquer prêmio que tivesse prometido.

Mas aí eles podem basicamente repetir o mesmo teste. E — sejamos honestos — você nem leu o primeiro teste direito. Além disso, ele não tem data, então você daria o prêmio de novo e eles poderiam repetir o teste quantas vezes você quisesse.

Então, obviamente sua memória não é tão curta assim, então talvez isso não funcionasse especificamente, mas talvez eles tenham trazido uma prova de seis meses atrás ou talvez de um ou dois anos atrás. E eles ainda poderiam usar a mesma prova porque o carimbo, o A ainda é um A, ainda é uma prova corrigida corretamente. Só que não tem data... você não tem como saber se é recente.

E o SKAdNetwork é exatamente igual.

Basicamente, a Apple envia à rede de anúncios — o estudante — uma notificação informando que recebeu uma instalação e fornece uma assinatura que permite validá-la.

E como anunciante, se você quisesse verificar sua rede de anúncios, você pediria as notificações... mas essa rede de anúncios poderia fornecer a mesma notificação repetidamente. Talvez não o fizessem de forma tão explícita... talvez essas notificações simplesmente substituíssem as antigas seis meses depois. Ou talvez usassem algumas antigas para complementar as novas.

Portanto, você precisa verificar cada nova notificação e assinatura recebida, comparando-as com tudo o que recebeu anteriormente.

Koetsier : E quanto ao tráfego falso, usuários falsos, fazendas de dispositivos ou até mesmo dispositivos falsos simulados por software? Esses ainda são problemas?

Komornik : Essa é uma ótima pergunta.

Acho que um ponto importante a considerar é que, mesmo quando começarmos a usar o SKAdNetwork, nem tudo será baseado nele. Alguns anunciantes podem tentar mensurar suas redes e canais de anúncios realizando testes de incremento ou simplesmente verificando o aumento de desempenho ao executar uma campanha específica.

E essas áreas ainda estariam sujeitas aos tipos mais tradicionais de fraude publicitária .

Por exemplo, bots e instalações falsas. Outro tipo de fraude que podemos encontrar são campanhas publicitárias incentivadas que se registram nos endpoints da SKAdNetwork da Apple, mas que na verdade não geram usuários... basicamente, estão tentando obter crédito por usuários orgânicos.

Koetsier : Então... qual é a solução? Você tem Singular SKAN e o que você chama de Secure-SKAN ... como eles funcionam?

Komornik : Então, Singular validará as assinaturas de todas as notificações da SKAdNetwork para seus clientes. Mas, como já dissemos, alguns desses dados podem ser alterados e não teríamos como saber se apenas recebêssemos os postbacks das redes. Isso significa que precisamos estar mais próximos da fonte... precisamos estar mais próximos do dispositivo que envia os postbacks, porque quanto mais próximos estivermos do dispositivo, menores serão as chances de as redes alterarem esses dados.

O problema é que as notificações do SKAdNetwork só podem ser enviadas para um destino, que é a rede.

Esse é o desafio que temos enfrentado, e acho que uma das soluções mais inovadoras que encontramos foi usar um redirecionamento HTTP 307 … uma forma de um endpoint, por exemplo, um endpoint de rede de anúncios, dizer a um dispositivo: envie esse postback para outro lugar também.

Agora, as redes que suportam essa integração podem redirecionar os postbacks que recebem do SKAdNetwork e solicitar que sejam enviados também para o Singular ? Isso significa que Singular receberia o postback diretamente do dispositivo, sem que as informações fossem alteradas durante o processo.

Existem alguns desafios também, e estamos trabalhando com redes de publicidade e parceiros para implementá-los. Mas acreditamos que essa solução proporcionará mais segurança e maior confiança na SKAdNetwork para os anunciantes.

Koetsier : Quando o iOS 14 estiver totalmente implementado e a Apple tiver completamente transformado o IDFA em um sistema opcional, você espera mais fraudes? Menos fraudes?

Komornik : Então... eu não sou um oráculo. Não consigo prever o futuro.

Esperaríamos uma redução nos índices de fraude em 2020. No entanto, sabemos que os fraudadores são muito habilidosos e continuarão buscando novas maneiras de abusar e manipular o sistema. Precisamos permanecer vigilantes e identificar esses casos.

Só para dar um exemplo, há cerca de um mês a Snyk.io, uma empresa de segurança, desvendou uma nova campanha de fraude na instalação de anúncios que supostamente era impossível no iOS. Portanto, eu não diria que a fraude é impossível agora. Eu diria que se tornará significativamente mais difícil e complicada de executar.

Koetsier : Então, o que os anunciantes precisam fazer para estarem o mais seguros possível?

Komornik : Singular está cuidando da maior parte disso, mas certifique-se de integrar nosso SDK mais recente e peça aos seus parceiros que ofereçam suporte ao Secure-SKAN.

Koetsier : E para não clientes?

Komornik : Fique à vontade para visitar nosso site e solicitar uma demonstração . Podemos apresentar os diferentes recursos e conversar detalhadamente sobre eles.

Koetsier : Muito obrigado pelo seu tempo.

Assine o Growth Masterminds na plataforma de podcasts de sua preferência aqui .