3 fontes de fraude na SKAdNetwork para as quais os anunciantes precisam se preparar

Como se configura a fraude no iOS 14 com o SKAdNetwork? É sequer possível, considerando que a Apple está criptografando as instalações de aplicativos?

Inteligentes mobile profissionais de marketing estão usando o tempo entre agora e o início de 2021, quando a Apple implementará totalmente tudo de Recursos de privacidade do iOS 14, para testar o SKAdNetwork. O objetivo: obter sua capacidade de otimização de marketing sem IDFA tão boa quanto ou melhor que sua análise de atribuição padrão estilo iOS 13.

Mas e quanto à fraude?

Você precisa se preocupar com fraudes no iOS 14 quando o SKAdNetwork estiver totalmente operacional?

A resposta curta é … absolutamente. A resposta longa é que existem pelo menos três maneiras diferentes que fraudadores podem falsificar conversões, bagunçar atribuições, desperdiçar seu dinheiro e corromper seus dados. Exploramos os três nesta edição do Growth Masterminds, com Singular’s head of prevenção de fraude esforços, Yonatan Komornik.

John Koetsier: Resumidamente, quais são os três problemas potenciais?

Yonatan Komornik: Então, o SKAdNetwork 2.0 inclui a assinatura criptográfica que permite a validação dos dados e basicamente impede que agentes fraudulentos falsifiquem ou adulterem as notificações do SKAdNetwork, mas ainda existem alguns problemas.

Em primeiro lugar, os valores de conversão pós-instalação não estão incluídos nos dados assinados. Além disso, o país e a geolocalização não estão codificados. E, por fim, validar a assinatura não é tão simples quanto parece.

Koetsier: Vamos analisar cada um desses desafios, começando com as conversões pós-instalação.

Estamos falando de alguém que instalou um aplicativo e talvez tenha comprado algo, interagido com ele, concluído um nível, etc. Qual é o desafio aqui?

Komornik: Vamos recuar. O SKAdNetwork 2.0 tem um valor de seis bits, chamado valor de conversão

Esse valor pode ser atualizado pelo app do anunciante para refletir o valor do usuário vindo do específico rede de anúncios ou campanha específica. E isso’ está incorporado na notificação do SKAdNetwork. Assim, você recebe uma notificação dizendo que uma instalação veio dessa rede de anúncios nesta campanha, e até de um editor específico, com um usuário pontuado em 100, por exemplo.

E essas pontuações podem ser o que os anunciantes basicamente otimizam. Então, quanto maior a pontuação, melhor o usuário, por exemplo.

Agora, esse valor de conversão específico não é assinado na notificação do SKAdNetwork, o que significa que, mesmo que seja alterado, a autenticação do postback do SKAdNetwork ainda seria bem-sucedida. Continuaria sendo válido. E como as notificações do SKAdNetwork chegam primeiro à rede de anúncios e só depois são compartilhadas com anunciantes ou MMPs, um agente fraudulento poderia possivelmente alterar esses valores sem que ninguém percebesse.

Koetsier: O segundo ponto que você mencionou foram os códigos de país, certo? Talvez você’re procurando usuários no Reino Unido e recebe o Uzbequistão ou algo assim. Qual’s o problema aqui?

Komornik: Então, as notificações do SKAdNetwork vêm do próprio dispositivo, o que significa que os metadados incorporam valores únicos e muito valiosos para os anunciantes. Como a geolocalização, por exemplo, que pode ser derivada do endereço IP.

Mas como as notificações do SKAdNetwork são enviadas primeiro para a rede, esta poderia basicamente reportar qualquer geolocalização que quisesse. Novamente, isso não faz parte dos dados que foram assinados e validados.

Koetsier: Então isso’s os valores de conversão pós-instalação e os códigos de país. Mas, como estávamos conversando antes, você também mencionou que validar assinaturas não’t é suficiente, certo? Alguém pode simplesmente reproduzir o mesmo postback repetidamente.

Está correto?

Komornik: É sim.

Então, vamos tentar simplificar e talvez dar um exemplo. Digamos que você queira incentivar seu filho a se sair bem nas provas da escola. E você disse a ele que daria algum tipo de prêmio para cada prova em que ele tirasse um A. Agora, a escola não coloca nenhuma data nessas provas. Eles apenas carimbam com um A… e você sabe que seu filho pode falsificar esse carimbo específico. Então ele traria uma prova com nota A.

E você obviamente ficaria feliz. E você lhes daria qualquer prêmio que tivesse prometido.

Mas aí eles podem basicamente repetir o mesmo teste. E — sejamos honestos — você nem leu o primeiro teste direito. Além disso, ele não tem data, então você daria o prêmio de novo e eles poderiam repetir o teste quantas vezes você quisesse.

Então, obviamente sua memória não é tão curta assim, então talvez isso não funcionasse especificamente, mas talvez eles tenham trazido uma prova de seis meses atrás ou talvez de um ou dois anos atrás. E eles ainda poderiam usar a mesma prova porque o carimbo, o A ainda é um A, ainda é uma prova corrigida corretamente. Só que não tem data... você não tem como saber se é recente.

E o SKAdNetwork é exatamente igual.

Basicamente, a Apple envia à rede de anúncios — o estudante — uma notificação informando que recebeu uma instalação e fornece uma assinatura que permite validá-la.

E como anunciante, se você quisesse verificar sua rede de anúncios, você pediria as notificações... mas essa rede de anúncios poderia fornecer a mesma notificação repetidamente. Talvez não o fizessem de forma tão explícita... talvez essas notificações simplesmente substituíssem as antigas seis meses depois. Ou talvez usassem algumas antigas para complementar as novas.

Portanto, você precisa verificar cada nova notificação e assinatura recebida, comparando-as com tudo o que recebeu anteriormente.

Koetsier: E quanto ao tráfego falso, usuários falsos, fazendas de dispositivos ou até mesmo dispositivos falsos simulados por software? Esses ainda são problemas?

Komornik: Essa é uma ótima pergunta.

Acho que vale considerar que, mesmo iniciando com o SKAdNetwork, não será tudo baseado nele. Alguns anunciantes podem medir suas redes e canais fazendo testes de incrementalidade ou talvez apenas verificando o lift ao rodar uma campanha específica.

E essas áreas ainda estariam sujeitas aos tipos mais tradicionais de fraude publicitária.

Por exemplo, bots e instalações falsas. Outro tipo de fraude que podemos encontrar são campanhas publicitárias incentivadas que se registram nos endpoints da SKAdNetwork da Apple, mas que na verdade não geram usuários... basicamente, estão tentando obter crédito por usuários orgânicos.

Koopsier: Então … qual é a solução? Você tem Singular SKAN e o que chamam de Secure‑SKAN … como eles funcionam?

Komornik: So Singular vai validar as assinaturas de todas as notificações do SKAdNetwork para seus clientes. Mas, como dissemos, alguns desses dados podem ser alterados e não teríamos uma boa forma de saber se recebemos apenas os postbacks das redes. Isso significa que queremos estar mais próximos da fonte … queremos estar mais próximos do dispositivo que envia os postbacks, porque quanto mais próximo do dispositivo, menos oportunidades as redes têm de mudar isso

O problema é que as notificações do SKAdNetwork só podem ser enviadas para um destino, que é a rede.

Esse é o desafio que temos enfrentado, e acho que uma das soluções mais inovadoras que criamos é realmente usar um redirecionamento HTTP 307 … uma forma de um endpoint, por exemplo um endpoint de rede de anúncios, dizer a um dispositivo: realmente enviar esse postback para outro lugar também.

Agora, as redes que suportam essa integração podem redirecionar os postbacks que recebem do SKAdNetwork e solicitar que sejam enviados também para o Singular ? Isso significa que Singular receberia o postback diretamente do dispositivo, sem que as informações fossem alteradas durante o processo.

Existem alguns desafios também, e estamos trabalhando com redes de publicidade e parceiros para implementá-los. Mas acreditamos que essa solução proporcionará mais segurança e maior confiança na SKAdNetwork para os anunciantes.

Koetsier: Quando o iOS 14 estiver totalmente implementado e a Apple tiver completamente transformado o IDFA em um sistema opcional, você espera mais fraudes? Menos fraudes?

Komornik: Então … não sou um oráculo. Não posso prever o futuro.

Esperaríamos uma redução nos índices de fraude em 2020. No entanto, sabemos que os fraudadores são muito habilidosos e continuarão buscando novas maneiras de abusar e manipular o sistema. Precisamos permanecer vigilantes e identificar esses casos.

Como exemplo, há cerca de um mês a Snyk.io, empresa de segurança, desvendou um novo esquema de fraude de instalação de anúncios que se supunha impossível no iOS. Não diria que a fraude é impossível agora. Digo que ficará muito mais difícil e custoso de executar.

Koetsier: Então, o que os anunciantes precisam fazer para estarem o mais seguros possível?

Komornik: Singular está cuidando da maior parte disso, mas certifique-se de integrar nosso SDK mais recente e peça aos seus parceiros que ofereçam suporte ao Secure-SKAN.

Koetsier: E para não clientes?

Komornik: Fique à vontade para visitar nosso site e solicitar uma demonstração. Podemos apresentar os diferentes recursos e conversar detalhadamente sobre eles.

Koetsier: Muito obrigado pelo seu tempo.

Assine o Growth Masterminds na plataforma de podcasts de sua preferência aqui.