Apakah ada insentif untuk menindak penipuan iklan terprogram?
Diterbitkan: 2022-05-05Selama sembilan bulan tahun lalu Gannett, penerbit USA TODAY dan outlet berita lainnya, menjalankan miliaran iklan di tempat-tempat yang tidak diinginkan pembeli. Gannett dan pembeli baru mengetahui hal ini setelah laporan bulan Maret di Wall Street Journal. Awal pekan ini The Journal mengungkapkan bahwa lebih dari selusin perusahaan teknologi iklan gagal mendeteksi ini, meskipun memiliki semua informasi yang diperlukan untuk melakukannya.
Kami berbicara dengan konsultan keamanan siber dan anti-penipuan iklan Augustine Fou tentang hal ini. Dia mengatakan contoh pertama adalah hasil dari kesalahan. Yang kedua disengaja.
Apa yang terjadi di Gannett dan mengapa menurut Anda itu tidak disengaja?
Apa yang terjadi adalah bahwa nama domain USA TODAY dinyatakan lokal. Alasan saya mengatakan itu adalah kesalahan dan tidak disengaja adalah karena domain salah dideklarasikan di kedua arah. Jika ini berbahaya, di mana penerbit berusaha menghasilkan lebih banyak uang, mereka akan selalu menyatakan situs berita lokal sebagai situs nasional, bukan sebaliknya.
Masalah yang lebih besar adalah tidak ada perusahaan pendeteksi penipuan yang menyebutnya. Tidak ada bursa yang menangkapnya dan menghentikannya, dan tidak ada agen pengiklan yang tahu itu terjadi sampai artikel Wall Street Journal muncul.
Mengapa itu lebih penting?
Penerbit nyata seperti New York Times, Wall Street Journal, USA TODAY, mereka memiliki manusia yang mengunjungi situs tersebut. OKE? Jika Anda memiliki situs palsu, seperti fakesite123.com, tidak akan ada manusia yang pernah mendengarnya dan tidak ada manusia yang mengunjungi situs tersebut. Jadi bagaimana situs itu memiliki banyak lalu lintas dan karena itu dapat menjual banyak tayangan iklan? Pada dasarnya situs palsu akan menggunakan lalu lintas palsu, Ini menggunakan bot yang pada dasarnya adalah browser yang menyebabkan halaman dimuat. Ketika itu terjadi maka semua iklan dipanggil. Jadi itulah yang dibayar pengiklan. Namun iklan tersebut tidak dilihat oleh manusia. Itu sebabnya kami menyebutnya penipuan.
Tapi bukan itu yang terjadi di sini.
Benar, ini terjadi di situs palsu, tidak harus di USA TODAY atau jurnal berkualitas. Tapi intinya adalah perusahaan pendeteksi penipuan ini, tugas mereka untuk mendeteksi bot dan mendeteksi masalah lain, seperti situs palsu yang mengaku asli.. Anda tahu jika orang jahat memiliki palsu seperti 123.com, mereka tidak akan menempatkan domain mereka sendiri dalam permintaan tawaran. Mereka akan mengatakan bahwa mereka adalah USA TODAY atau siapa pun. Mereka akan mengatakan ini adalah domain saya dan pengiklan akan mengirimkan tawaran mereka.
Tapi intinya adalah mereka tidak menangkap barang-barang Gannett. Ini adalah penerbit sah yang melakukan kesalahan. Jadi jika mereka tidak bisa menangkap itu, bagaimana mereka akan menangkap kasus-kasus di mana orang jahat itu dengan sengaja salah mendeklarasikan domain?.
Mengapa mereka tidak menangkap itu?
Karena mereka bahkan tidak melihat tempat yang tepat. Saya akan memberi tahu Anda hipotesis saya berdasarkan pengalaman saya. Jadi mereka perlu menjalankan JavaScript mereka dan mendeteksi halaman USA TODAY dan kemudian melakukan referensi silang ke domain yang diteruskan dalam permintaan tawaran. Mereka jelas tidak melakukannya dengan benar. Ini sangat sepele. Ini sangat mudah. Mereka memiliki kode pada halaman yang seharusnya melakukan itu. Inti mereka adalah bahwa mereka akan menemukan kesalahan ini atau penipuan yang disengaja dan semua hal semacam itu, tetapi mereka gagal bahkan pada hal-hal yang paling mendasar. jadi Anda tahu artikel Maret dari Wall Street Journal. Apakah itu baik-baik saja? Mereka melewatkannya. Artikel hari ini mengatakan mereka memiliki kode di halaman. Mereka seharusnya tidak melewatkannya.
Dan mereka tidak mendeteksinya karena mereka tidak mencari hal yang benar.
Benar.
Mengapa mereka tidak mencari hal yang benar?
Saya membangun teknologi pendeteksi penipuan. Saya memiliki pengembang untuk benar-benar membuat kode, saya tidak mengkodekannya sendiri, tetapi saya sendiri telah menyetel algoritme selama sepuluh tahun terakhir. Jadi saya dapat memberitahu Anda bahwa apa yang terjadi, itu bukan kesalahan insinyur mereka. Mereka hidup dalam kode. Mereka tidak akan memperhitungkan skenario ini [seperti penipuan halaman]. Mungkin kode mereka disetel untuk mencari lalu lintas bot dan bukan ini yang terjadi pada halaman itu sendiri. [Situasi] di mana mereka seharusnya menjalankan kode untuk mendeteksi halaman, dari mana asalnya dan kemudian membandingkannya dengan domain yang diteruskan dalam permintaan tawaran. Jadi mereka mungkin tidak tahu melakukan itu karena mereka pembuat kode, mereka bukan orang teknologi iklan. Mereka tidak mengerti bagaimana teknologi iklan bekerja dan mereka tidak mengerti apa itu penipuan atau bukan. Jadi sulit bagi mereka untuk secara proaktif menangkap semua hal ini.
Sebagian besar pekerjaan mereka bersifat reaktif, seperti, oh, ada botnet besar ini, sejumlah besar penipuan yang sangat jelas. Misalnya, saya akan memberi tahu Anda sesuatu yang muncul kemarin. Dua puluh delapan juta klik dikirimkan pada hari yang sama ke penerbit tertentu. Oke, bagaimana mungkin. Itu bahkan tidak lulus pemeriksaan usus. Begitu mereka melihat hal semacam itu, lalu mereka kembali dan mencari tahu apa yang luput dari deteksi mereka, dan kemudian mereka mencoba untuk mengejar. Ini benar-benar seperti perlombaan senjata. Orang jahat selalu di depan dan kadang-kadang mereka mengacaukan dan kami melihat sesuatu yang kami lewatkan dan kemudian kami mencoba memperbarui algoritme kami. Jadi, itu sebabnya mereka kehilangan banyak hal ini. Mereka bahkan tidak tahu untuk mencarinya.
Dapatkan buletin harian yang diandalkan oleh pemasar digital.
Lihat istilah.
Jadi seperti dengan perangkat lunak keamanan komputer. Mereka hanya bisa mencari apa yang mereka ketahui. Mereka akan kehilangan sesuatu yang baru.
Tepat. Jadi, Anda tahu begitu satu perusahaan melihat tanda tangan malware, lalu mereka membagikannya dengan orang lain. Semua orang dapat mencari tanda tangan malware.
Apakah malware berperan dalam hal ini?
Ya. Bagaimana malware menghasilkan uang? Secara historis, mereka baru saja mengambil kata sandi orang dan informasi pribadi lainnya. Karena ada di ponsel Anda, ia dapat mendengarkan semuanya dan kebanyakan manusia tidak mematikannya, dan ketika orang berada di rumah, mereka memiliki akses Wi-Fi yang konstan.
Sekarang, malware memuat tayangan iklan di latar belakang. Mereka menghasilkan uang melalui iklan digital karena pengiklan tidak tahu bahwa mereka membayar untuk tayangan iklan yang akhirnya dimuat oleh malware. Pengiklan ingin membeli 10 miliar tayangan iklan,. Tidak ada cukup manusia untuk menghasilkan lalu lintas sebanyak itu. Jadi kemudian semua situs palsu ini akan masuk dan akan memproduksi jumlah dari udara tipis dan menjualnya kepada Anda.
Apakah ini masalah mendasar dengan verifikasi iklan atau apakah ini sesuatu yang dapat ditangani?
Dari perspektif penipuan itu belum diselesaikan karena orang tidak mau menyelesaikannya. Biarkan saya menjadi sedikit lebih spesifik. Pengiklan yang membayar uang, mereka ingin membeli ratusan miliar tayangan iklan. Anda tidak dapat membeli sebanyak itu tanpa penipuan. Kebanyakan manusia mengunjungi sejumlah kecil situs berulang kali. Di situlah Anda mendapatkan sejumlah besar audiens manusia. Ketika Anda masuk ke ekor panjang, tidak ada cukup manusia untuk menghasilkan banyak tayangan iklan. Satu-satunya cara untuk melakukannya adalah dengan menggunakan aktivitas bot untuk memuat halaman web berulang kali dan menyebabkan iklan dimuat.
Bagaimana cara kerjanya?
Akibatnya, pada dasarnya setiap perantara, setiap pertukaran iklan, setiap penerbit memiliki insentif untuk menggunakan lebih banyak penipuan. Jadi itu sebabnya saya mengatakan penipuan iklan belum diselesaikan karena tidak ada yang mau menyelesaikannya. Bahkan para pengiklan, bahkan para perantara. Semua orang ingin itu berlanjut karena mereka menghasilkan uang. Pihak utama yang dirugikan adalah penerbit. Jadi penerbit besar, surat kabar, mereka sekarang tidak bisa bersaing dengan situs palsu.
Mungkin saya naif, tetapi saya akan berpikir bahwa sebagai pengiklan, saya ingin mendapatkan tampilan yang sebenarnya saya bayar.
Mereka tidak tahu. Mereka pikir mereka mendapatkannya karena mereka mendapatkan spreadsheet Excel yang memberi tahu mereka berapa banyak iklan yang mereka beli dan berapa banyak klik yang mereka dapatkan. Mereka tidak pernah menanyakan pertanyaan lanjutan. “Apakah iklan nyata itu dilihat oleh orang sungguhan? Dan apakah klik itu nyata?”
Saya telah menulis tentang itu selama 10 tahun. Di antara pembeli iklan, mereka tahu itu ada, tetapi pada dasarnya mereka akan berkata, "Oh, saya pikir itu terjadi pada orang lain karena [perusahaan verifikasi iklan kami] memberi tahu kami bahwa penipuannya kurang dari 1%."
Sebenarnya, saya akan menunjukkan kepada Anda di artikel saya kemarin: “Salah satu cara untuk mengetahui permintaan tawaran yang jelas palsu adalah dengan melihat apakah ada deviceID yang ada — Identifier for Advertising (IDFA) atau Google Advertising ID (AAID). Jadi apa yang orang jahat lakukan? Mereka memberikan ID perangkat dalam permintaan tawaran. Jika deteksi penipuan tidak memeriksa apakah ID perangkat itu asli, yang harus mereka lakukan hanyalah membuat ID perangkat acak yang memiliki format yang sama dengan ID perangkat asli. Deteksi penipuan hanya memeriksa keberadaan deviceID, bukan apakah itu nyata atau tidak. Jadi mengalahkan deteksi penipuan semacam itu sangat sederhana. ”
Apakah ada gunanya bertanya kepada Anda apa yang bisa dilakukan atau apa yang harus dilakukan?
Kami tidak dapat menyelesaikan ini secara bertahap. Kita harus memiliki seluruh rumah kartu agar kita benar-benar dapat kembali ke periklanan digital nyata dan semua itu berarti pengiklan seperti perusahaan CPG, layanan keuangan atau siapa pun yang membeli dari penerbit nyata seperti New York Times, Wall Street Journal, Hearst, konde. Di situlah manusia berada.
Jadi kami memiliki situs palsu selama sepuluh tahun dan semua pertukaran iklan di tengahnya, pada dasarnya memuntahkan metrik palsu untuk mengatakan Anda mendapatkan banyak tayangan iklan. Anda mendapatkan rasio klik-tayang yang begitu tinggi, jadi semua orang mengira itu bekerja dengan sangat, sangat baik ketika itu dibuat 100%. Namun, cara untuk menyelesaikannya adalah kita harus membuat semua ini macet dan turun sehingga kita dapat kembali ke pengiklan yang membeli iklan dari penerbit.
Baca ini: Kecelakaan penipuan iklan Gannett menyoroti kekhawatiran tentang iklan terprogram