Расчищаем путь к профиту!
DISCLAIMER: данный пост написан исключительно в целях повышения уровня информированности коммьюнити. Автор не занимается фродом, топит за честную конкуренцию и осуждает неэтичные действия по отношению к коллегам в любых проявлениях.
Сегодня мы с вами познакомимся с дырами в безопасности, с помощью которых можно уничтожить наших конкурентов на корню. Для иллюстраций будем искать примеры в топовом спае по нутре и крипте MTWSpy (рекомендую!), но я накину примерные варианты фрода и для других вертикалей.
Как соло-арбитражники так и команды весьма не любят, когда их креативы и прочие промоматериалы берут в работу конкуренты. Но они даже не подозревают, что есть вещи гораздо страшнее украденных крео. И одной из таких вещей является ФРОД😱
Обычно фрод все воспринимают, как способ мошенничества, позволяющий нажиться на партнёрских сетях или реклах. Казалось бы, ничего интересного с точки зрения льющей братии? Но на самом деле с помощью грамотно подмешанного в трафик конкурента фрода можно добиться следующих вещей:
- перелив кап
- снижение качества трафика
- паралич колл-центра
- снятие гарантов/бампов
- отключение от оффера
- бан в ПП
Как фродят арбитражников?
Находят ссылки потоков из партнёрок, куда льётся траф, после чего засылают туда фрод. Есть пара вариантов:
- Сразу же закинуть 100500 лидов, засчёт чего перелить все возможные капы и, если говорить о нутре, наглухо перегрузить КЦ.
- Лить фрод по чуть-чуть, постепенно наращивая объёмы, до тех пор пока рекл/ПП конкурентов не скажут, что их траф говно, порежут ставки, а то и просто забанят.
Всё зависит от вертикали, но общее правило таково: чем проще воронка — тем проще/дешевле фродить:
- SOI-свипы? Окееей, нам нужно купить кучу почт.
- DOI? Ладно, напишем софт, который будет читать письма и кликать по ссылке через proxy.
- PIN-submit? Юзаем API сервисов приёма SMS на номер.
- COD-нутра? Иногда не нужны даже proxy, покажу чуть ниже ;-)
- CC-submit? Тут в дело вступают краденые карты (крайне осуждаю).
- iGaming через прилы? Proxy, сервисы приёма СМС + виртуалки, чтобы внести миндеп.
Почему такой вид фрода вообще возможен?
Во-первых, точно также, как нельзя полностью защититься от спаинга, нельзя и быть полностью защищённым от фрода. А во-вторых, на текущий момент в рынке ситуация такова, что никто даже и не думает особо защищаться. Гром не грянет — мужик не перекрестится.
В большинстве случаев фрод не будет виден в tracker, а пойдёт напрямую в ПП. И, поскольку у фродовых кликов нету clickid/subid, то и лиды, оставленные фрод-машиной, не отобразятся в tracker. Соответственно, если вы не проверяете ежедневно лог постбэков на предмет подозрительных дёрганий (а вы не проверяете), то и обнаружен фрод будет, скорее всего, на довольно позднем этапе, когда ПП/рекл взвоют белугой.
Основная «защита», которую арбитражники ставят — это фильтры потока у них в tracker, а дальше хоть трава не расти 🤷♂️ Давайте посмотрим пару самых вопиющих примеров, которые прямо-таки просят, чтобы их зафродили.
Передача IP-адреса в форме
Перед нами COD-нутра на Чили. Всё, что в данном случае требуется фродеру — написать через ChatGPT простейший скрипт, который будет слать на action этой формы чилийские ip-адреса, номера телефонов и похожие на местные ФИО. Собрать рабочую версию скрипта, чтобы слегка зачистить от конкурентов чилийский рынок, дело МАКСИМУМ пары часов.
Вывод: ни в коем случае НЕ ДЕЛАЙТЕ ТАК! IP-адрес НЕ должен получаться снаружи, а должен браться ВНУТРИ скрипта отправки лидов из $_SERVER['REMOTE_ADDR']
or $_SERVER['HTTP_CF_CONNECTING_IP']
если используется клауд.
Подделка заголовков
Перед нами код определения IP-адреса юзера, находящийся внутри стандартного скрипта отправки лидов, творение одной из ПП. Если вы немного разбираетесь в коде, то поймёте, что в случае отсутствия клауда (что совсем не редкость) предпочтение при определении IP адреса посетителя будет отдано двум заголовкам: CLIENT-IP и X-FORWARDED-FOR
. Оба они могут быть спокойно подделаны. Кстати, в партнёрках встречается похожий код, но без проверки клауда, ахаха.
Атакующему достаточно знать, куда вы льёте оффер (а если это ваш конкурент, то он, скорее всего в курсе), после чего изучить стандартный скрипт отправки лидов на предмет подобных косяков. Полчаса разбирательств — и вот уже не нужно тратиться на proxy, чтобы накинуть кучу говна на вентилятор.
Вывод точно такой же, как и первом примере. Полагайтесь ТОЛЬКО на те данные, которые невозможно подделать.
Из чего состоит фрод-машина?
Здесь краткий список того, что используют в своей «работе» создатели боевых фрод-систем.
Профессионалы обычно работают по какой-то одной вертикали и делают универсальные системы на HTTP-запросах, в которые достаточно воткнуть ссылку и настроить набор передаваемых данных. Новички, а также желающие побыстрее приступить к делу, юзают ZennoPoster/BAS либо Selenium/Puppeteer/Playwright.
При работе с мобильным трафиком дело может доходить до целых ферм из смартфонов — с них гораздо проще проходить под радарами антифрода каких-нибудь букмекеров, например. Самое крутое в этом то, что зачастую не нужно даже собирать свою ферму — сейчас можно брать в аренду готовые решения и платить за время. Fraud as a Service, так сказать :-)
Под занавес кратко глянем на данные, которые потребуются для качественного фрода.
Списки имён и фамилий
Находятся гуглом по запросам типа: «самые популярные мужские имена/фамилии в ГЕО«. Сохраняем отдельно имена, отдельно фамилии и дальше рандомно их объединяем — готово!
Списки номеров телефонов
Вытаскиваются из любой js-библиотеки, проверяющей валидность номера. Собрали маски и написали генератор — PROFIT!
Списки IP-адресов нужной страны
Берём бесплатные базы MaxMind в формате CSV: GeoLite2-Country-Blocks-IPv4 и GeoLite2-Country-Blocks-IPv6. Вытаскиваем оттуда диапазоны и маски, генерируем подходящие адреса.
Proxy
Подойдут любые, поддерживающие смену адреса по ссылке или по времени. Оплата — за трафик. Чем больше IP-адресов тем лучше. Другой вариант — быстро развернуть пул своих IPv6 proxy — дёшево и доступно.
SMS-сервисы
Тут без комментариев, все всё знают и без моих рефок на SMS Activate.
ЗАКЛЮЧЕНИЕ
Точно также как и со скамом, взломом и сливом данных — если вас ещё не фродили, значит ваш хлеб не представляет большого интереса для средних/крупных игроков, либо вам просто пока ещё везёт.
Помните, задача не обрести или купить за 100500 тыщ долларов какую-то уникальнейшую вундервафлю, которая якобы защитит вас от всего на свете. НЕТ. Задача — убрать явные дыры и максимально усложнить задачу нечистым на руку конкурентам. Как именно? Будет зависеть от вашей воронки: наймите хорошего технаря и озадачьте его этим вопросом.
А с вами был Жёлтый Веб, гайз, лейте в плюс🙃