Gibt es einen Anreiz, gegen programmatischen Anzeigenbetrug vorzugehen?
Veröffentlicht: 2022-05-05Neun Monate lang hat Gannett, Herausgeber von USA TODAY und anderen Nachrichtenagenturen, im vergangenen Jahr Milliarden von Anzeigen an Orten geschaltet, die nicht das waren, was die Käufer wollten. Davon erfuhren Gannett und die Käufer erst nach einem Bericht im März im Wall Street Journal. Anfang dieser Woche enthüllte The Journal, dass mehr als ein Dutzend Ad-Tech-Unternehmen dies nicht erkannt haben, obwohl sie über alle dafür erforderlichen Informationen verfügten.
Wir haben darüber mit der Cybersicherheits- und Anti-Werbebetrugs-Beraterin Augustine Fou gesprochen. Er sagt, die erste Instanz sei das Ergebnis eines Fehlers gewesen. Das zweite war Absicht.
Was ist bei Gannett passiert und warum war es Ihrer Meinung nach keine Absicht?
Was geschah, war, dass die Domainnamen von USA TODAY als lokal deklariert wurden. Der Grund, warum ich sage, dass es ein Fehler und nicht absichtlich war, ist, dass die Domänen in beiden Richtungen falsch deklariert wurden. Wenn dies böswillig wäre und der Herausgeber versucht, mehr Geld zu verdienen, würden sie immer die lokalen Nachrichtenseiten zu den nationalen erklären, nicht umgekehrt.
Das größere Problem ist, dass keines der Betrugserkennungsunternehmen es genannt hat. Keine der Börsen hat es bemerkt und gestoppt, und keine Werbeagentur wusste, dass es passiert ist, bis der Artikel im Wall Street Journal veröffentlicht wurde.
Warum ist das wichtiger?
Ein echter Verlag wie die New York Times, das Wall Street Journal, USA TODAY, sie haben Menschen, die die Website besuchen. OK? Wenn Sie eine gefälschte Website wie fakesite123.com haben, hätte kein Mensch jemals davon gehört, und es gibt keine Menschen, die diese Website besuchen. Wie kommt es also, dass diese Website eine Menge Verkehr hat und daher eine Menge Anzeigenimpressionen verkaufen kann? Grundsätzlich würde die gefälschte Website gefälschten Datenverkehr verwenden. Sie verwendet einen Bot, der im Grunde ein Browser ist, der das Laden der Seite verursacht. Wenn das passiert, werden alle Anzeigen aufgerufen. Dafür zahlen also die Werbetreibenden. Aber die Anzeigen werden nicht von Menschen gesehen. Deshalb nennen wir es Betrug.
Aber das ist hier nicht passiert.
Richtig, das passiert auf gefälschten Websites, nicht unbedingt auf USA TODAY oder Qualitätszeitschriften. Aber der Punkt ist, dass diese Betrugserkennungsfirmen ihre Aufgabe sind, die Bots zu erkennen und andere Probleme zu erkennen, wie eine gefälschte Website, die behauptet, eine echte zu sein. Wissen Sie, wenn die Bösewichte Fälschungen wie 123.com haben, sind sie es nicht ihre eigene Domain in die Gebotsanfrage stellen. Sie werden sagen, dass sie USA HEUTE oder wer auch immer sind. Sie werden sagen, dass dies meine Domain ist, und der Werbetreibende wird seine Gebote abgeben.
Aber der Punkt ist, dass sie nichts von dem Gannett-Zeug mitbekommen haben. Dies ist ein legitimer Publisher, der einen Fehler gemacht hat. Wenn sie das also nicht fangen können, wie zum Teufel sollen sie dann die Fälle fangen, in denen der Bösewicht die Domain absichtlich falsch deklariert hat?
Warum fangen sie das nicht?
Weil sie nicht einmal an den richtigen Stellen suchen. Ich werde Ihnen meine Hypothese auf der Grundlage meiner Erfahrung sagen. Sie müssten also ihr JavaScript ausführen und die Seite USA TODAY erkennen und sie dann auf die Domain verweisen, die in der Gebotsanfrage übergeben wurde. Das machen sie offensichtlich nicht richtig. Es ist so banal. Es ist so einfach. Sie haben Code auf der Seite, der das tun sollte. Ihr springender Punkt ist, dass sie diese Fehler oder vorsätzlichen Betrug und all diese Dinge finden würden, aber sie versagen selbst bei den grundlegendsten Dingen. Sie kennen also den März-Artikel aus dem Wall Street Journal. War das in Ordnung? Sie haben es verpasst. Der heutige Artikel sagt, dass sie Code auf der Seite hatten. Das hätten sie sich nicht entgehen lassen sollen.
Und sie haben es nicht entdeckt, weil sie nicht nach dem Richtigen gesucht haben.
Richtig.
Warum suchen sie nicht nach dem Richtigen?
Ich baue Betrugserkennungstechnologie. Ich habe einen Entwickler, der tatsächlich kodiert, ich kodiere es nicht selbst, aber ich habe den Algorithmus in den letzten zehn Jahren selbst optimiert. Ich kann Ihnen also sagen, dass das, was passiert ist, keine Schuld ihrer Ingenieure ist. Sie leben im Code. Sie hätten diese Szenarien [wie Seitenbetrug] nicht berücksichtigt. Vielleicht ist ihr Code darauf abgestimmt, nach Bot-Traffic zu suchen, und das sind keine Dinge, die auf der Seite selbst auftreten. [Eine Situation], in der sie den Code hätten ausführen sollen, um die Seite zu erkennen, woher sie kam, und sie dann mit der Domain vergleichen sollten, die in der Gebotsanfrage übergeben wurde. Vielleicht haben sie das einfach nicht gewusst, weil sie Programmierer sind, keine Ad-Tech-Leute. Sie verstehen nicht, wie Werbetechnologie funktioniert, und sie verstehen nicht, was Betrug ist oder nicht. Daher ist es für sie schwierig, proaktiv etwas von diesem Zeug zu fangen.
Der größte Teil ihrer Arbeit ist reaktiv, wie, oh, es gab dieses riesige Botnet, eine riesige Menge an Betrug, die so offensichtlich ist. Zum Beispiel erzähle ich Ihnen etwas, das gestern auftauchte. 28 Millionen Klicks wurden am selben Tag an einen bestimmten Publisher geliefert. Okay, wie ist das möglich. Es hat nicht einmal einen Darmcheck bestanden. Sobald sie solche Dinge sehen, gehen sie zurück und finden heraus, was ihre Erkennung übersehen hat, und dann versuchen sie, aufzuholen. Es ist wirklich wie beim Wettrüsten. Bösewichte sind immer voraus und gelegentlich vermasseln sie es und wir sehen etwas, das wir übersehen haben, und dann versuchen wir, unsere Algorithmen zu aktualisieren. Deshalb vermissen sie eine Menge von diesem Zeug. Sie wussten einfach nicht einmal danach zu suchen.
Holen Sie sich den täglichen Newsletter, auf den sich digitale Vermarkter verlassen.
Siehe Bedingungen.
Es ist also wie bei Computer-Sicherheitssoftware. Sie können nur nach dem suchen, was sie kennen. Sie werden alles Neue vermissen.
Genau. Sie wissen also, sobald ein Unternehmen eine Malware-Signatur sieht, teilt es sie mit allen anderen. Alle anderen können nach der Malware-Signatur suchen.
Spielt Malware dabei eine Rolle?
Ja. Wie verdient Malware Geld? In der Vergangenheit haben sie nur die Passwörter und andere private Informationen von Personen gesammelt. Da es auf Ihrem Mobiltelefon sitzt, kann es alles hören und die meisten Menschen schalten es nicht aus, und wenn die Leute zu Hause sind, haben sie ständigen Wi-Fi-Zugang.
Jetzt lädt die Malware im Hintergrund Anzeigenimpressionen. Sie verdienen Geld mit digitaler Werbung, weil die Werbetreibenden nicht wissen, dass sie für Anzeigenimpressionen bezahlen, die am Ende von Malware geladen werden. Die Werbetreibenden wollen 10 Milliarden Anzeigenimpressionen kaufen. Es gibt nicht genug Menschen, um so viel Verkehr zu generieren. Dann kommen also all diese gefälschten Seiten herein und stellen die Mengen aus dem Nichts her und verkaufen sie an Sie.
Ist dies ein grundlegendes Problem bei der Anzeigenüberprüfung oder kann es behoben werden?
Aus der Betrugsperspektive wurde es nicht gelöst, weil die Leute es nicht lösen wollen. Lassen Sie mich etwas konkreter werden. Die Werbetreibenden, die das Geld bezahlen, wollen Hunderte von Milliarden Ad Impressions kaufen. Sie können nicht so viel Menge ohne den Betrug kaufen. Die meisten Menschen besuchen wiederholt eine kleine Anzahl von Websites. Dort bekommt man die großen Mengen an menschlichem Publikum. Wenn Sie in den Long Tail einsteigen, gibt es einfach nicht genug Menschen, um so viele Anzeigenimpressionen zu generieren. Die einzige Möglichkeit, dies zu tun, besteht darin, die Bot-Aktivität zu verwenden, um die Webseiten wiederholt zu laden und das Laden von Anzeigen zu veranlassen.
Wie funktioniert das?
Infolgedessen hat im Grunde jeder Zwischenhändler, jede Ad Exchange, jeder Publisher Anreize, mehr Betrug einzusetzen. Deshalb habe ich gesagt, dass Werbebetrug nicht gelöst wurde, weil niemand ihn lösen will. Sogar die Werbetreibenden, sogar die Mittelsmänner. Alle wollen, dass es weitergeht, weil sie Geld verdienen. Die Hauptgeschädigten sind die Verleger. Also können die großen Verlage, Zeitungen, jetzt nicht mehr gegen gefälschte Seiten antreten.
Vielleicht bin ich naiv, aber ich würde denken, dass ich als Werbetreibender die tatsächlichen Aufrufe erhalten möchte, für die ich bezahle.
Sie wissen es nicht. Sie denken, dass sie es verstehen, weil sie Excel-Tabellen erhalten, die ihnen sagen, wie viele Anzeigen sie gekauft und wie viele Klicks sie erhalten haben. Sie haben nie die Folgefrage gestellt. „Werden diese echten Anzeigen von echten Menschen gesehen? Und sind diese Klicks echt?“
Ich schreibe seit 10 Jahren darüber. Unter den Anzeigenkäufern wissen sie, dass es existiert, aber im Grunde sagen sie: „Nun gut, ich denke, es passiert jemand anderem, weil [unser Anzeigenverifizierungsunternehmen] uns sagt, dass der Betrug weniger als 1 % beträgt.“
Tatsächlich zeige ich es Ihnen in meinem Artikel von gestern: „Eine Möglichkeit, offensichtlich gefälschte Gebotsanfragen zu erkennen, besteht darin, nachzusehen, ob eine Geräte-ID vorhanden ist – Identifier for Advertising (IDFA) oder die Google Advertising ID (AAID). Also, was machen Bösewichte? Sie übergeben eine Geräte-ID in der Gebotsanfrage. Wenn die Betrugserkennung nicht überprüft, ob die Geräte-ID echt ist, müssen sie nur eine zufällige Geräte-ID generieren, die das gleiche Format wie echte hat. Die Betrugserkennung prüfte nur auf das Vorhandensein der DeviceID, nicht ob diese echt war oder nicht. Es ist also lächerlich einfach, diese Art der Betrugserkennung zu besiegen.“
Hat es einen Sinn, Sie zu fragen, was getan werden kann oder was getan werden sollte?
Wir können das nicht schrittweise lösen. Wir müssen das gesamte Kartenhaus zusammenbrechen lassen, damit wir tatsächlich wieder zu echter digitaler Werbung zurückkehren können, und alles, was das bedeutet, sind Werbetreibende wie CPG-Unternehmen, Finanzdienstleister oder alle, die von echten Verlagen wie der New York Times, dem Wall Street Journal, Hearst, Conde. Dort sind die Menschen.
Wir hatten also zehn Jahre lang gefälschte Websites und all die Werbebörsen in der Mitte, die im Grunde genommen falsche Metriken ausspuckten, um zu sagen, dass Sie so viele Anzeigenimpressionen erhalten haben. Du hattest eine so hohe Klickrate, dass alle dachten, es würde wirklich, wirklich gut funktionieren, obwohl es zu 100 % erfunden war. Der Weg, dies zu lösen, besteht jedoch darin, dass wir das Ganze zum Absturz bringen und herunterfahren müssen, damit wir zu den Werbetreibenden zurückkehren können, die Anzeigen von Publishern kaufen.
Lesen Sie dies: Gannett-Werbebetrugs-Missgeschick unterstreicht Bedenken hinsichtlich programmatischer Werbung