Adjust|打擊作弊，從定義問(wèn)題開始：CTO 談移動(dòng)作弊理論 I

作弊手法不斷地推陳出新。

至少，人們可能有這樣的感覺(jué)。然而在我們看來(lái)，移動(dòng)廣告作弊所能做到的事情其實(shí)十分有限。雖然作弊者不斷發(fā)想新的手段來(lái)竊取應(yīng)用的營(yíng)銷預(yù)算（或是嘗試躲開我們防作弊套件的偵測(cè)），但這并不意味這些手段的基本系統(tǒng)有所不同。我們認(rèn)為上述的獨(dú)到見解，是發(fā)展健全反作弊解決方案的核心要素。

Adjust對(duì)于作弊有不同的看法。我們將作弊行為–例如SDK偽造（SDK Spoofing）-視為“方法”，即作弊者用來(lái)實(shí)施盜竊的手段。然而就根本而言，移動(dòng)廣告作弊只會(huì)發(fā)生于兩類現(xiàn)行結(jié)構(gòu)（或“類型”）中的一種。

這個(gè)理念對(duì)多數(shù)人來(lái)說(shuō)或許有些陌生，甚至有人認(rèn)為它毫無(wú)必要。但是我們相信，先行針對(duì)移動(dòng)廣告作弊進(jìn)行定義，可以大幅增加解決作弊問(wèn)題的效率。與其在語(yǔ)義上作爭(zhēng)辯，更重要的是整個(gè)行業(yè)共同努力，協(xié)作處理作弊問(wèn)題。

在本文中，我們以新創(chuàng)的詞匯為廣告作弊分類，以將此復(fù)雜的問(wèn)題簡(jiǎn)單化。

作弊唯分兩大類

在所有作弊類型中，作弊者可以偽造在歸因中使用的任ㄧ或兩類“信號(hào)”（Signal）。這兩類信號(hào)分別為：廣告交互（例如查看或點(diǎn)擊**）和應(yīng)用活動(dòng)**（例如安裝、會(huì)話或事件）。

在此基礎(chǔ)上，我們將作弊為分為以下兩種類型：偽造的廣告參與，以及偽造的用戶應(yīng)用內(nèi)活動(dòng)。

前者稱為偽造歸因（Spoofed Attribution），后者則稱之為偽造用戶（Spoofed Users）。

為何如此區(qū)分？

每當(dāng)我們發(fā)現(xiàn)新的作弊手法，我們首先會(huì)進(jìn)行研究調(diào)查，厘清究竟此作弊意圖利用哪一類的信號(hào)。

例如，“點(diǎn)擊欺詐”(Click Spamming)是啟動(dòng)偽造歸因的一種方式，但是隨著時(shí)間推移，我們發(fā)現(xiàn)了像是“點(diǎn)擊劫持”（Click Injection）這類進(jìn)階的手法。盡管這兩種方法都會(huì)竊取歸因，運(yùn)作方式卻截然不同。

事實(shí)上，一旦理解了這兩種作弊手段都是在相同的體系下運(yùn)作，那么我們便能輕松地采用得以同時(shí)對(duì)抗兩者的解決方案。通過(guò)將這兩種作弊方法統(tǒng)一定義為“偽造歸因”，我們防范作弊者竊取歸因的對(duì)策便明朗許多，并且不會(huì)與其他方案混淆。

作弊類型

結(jié)合前文提到的偽造信號(hào)，我們歸結(jié)出以下的矩陣模型：

我們視類型I中的一切流量為真實(shí)流量，即來(lái)源自真正用戶受到事實(shí)參與的廣告所驅(qū)使，與應(yīng)用所產(chǎn)生的互動(dòng)。

類型II指涉?zhèn)卧鞖w因，即作弊者偽造真實(shí)用戶的廣告交互，意圖竊取與應(yīng)用自然交互或受合法廣告驅(qū)動(dòng)之用戶的成果。這類型的偽造也被稱為“竊取歸因”或“流量盜取”(poaching)。

類型III和IV為偽造用戶下了定義：此作弊類型重點(diǎn)關(guān)注模擬用戶的應(yīng)用內(nèi)活動(dòng)行為。通過(guò)假借不存在的用戶偽造安裝和事件，作弊者可以竊取那些旨在獎(jiǎng)勵(lì)基于應(yīng)用轉(zhuǎn)化的廣告預(yù)算?！巴鈷臁薄ⅰ疤摂M機(jī)器人”以及任何與“虛假用戶”相關(guān)的途徑都能歸為此類型的作弊。

當(dāng)今的作弊者能夠輕易地偽造虛假用戶的廣告交互，這讓我們觀察到，作弊的交互數(shù)據(jù)總是伴隨著偽造的應(yīng)用活動(dòng)出現(xiàn)。為了簡(jiǎn)化理解，我們將類型III和IV劃分為一類。

在探討作弊時(shí)，思考它們隸屬“什么樣”的“類型”（例如偽造歸因），以及“怎么執(zhí)行”的“方法”（例如點(diǎn)擊欺詐），對(duì)我們理解與分析會(huì)很有幫助。

作弊方法

那么在實(shí)際情況中，我們?cè)撊绾伪孀R(shí)這些“方法”呢？我們將它們劃分成以下不同的類型，以便清楚地理解每種方法的作用。

偽造歸因的方法包括點(diǎn)擊欺詐和點(diǎn)擊劫持，而在偽造活動(dòng)里的偽造用戶作弊類型中，模擬器、設(shè)備農(nóng)場(chǎng)(Device Farms)和SDK偽造最為常見。當(dāng)我們采用以上模型時(shí)，作弊的結(jié)構(gòu)呈現(xiàn)如下：

現(xiàn)在我們讓更深入分析每一種類型。

偽造歸因

如前文所述，偽造的廣告交互最初是簡(jiǎn)單的欺詐點(diǎn)擊及其變形，如“點(diǎn)擊堆疊”（Click Stacking）、“查看即點(diǎn)擊”（Views as Clicks）或“預(yù)載”。這些方法的運(yùn)作方式是向歸因公司發(fā)送盡可能多的點(diǎn)擊，并通過(guò)隨機(jī)匹配設(shè)備標(biāo)識(shí)或指紋來(lái)獲取用戶歸因。

至于進(jìn)階方法（例如點(diǎn)擊劫持），則是通過(guò)在應(yīng)用下載期間創(chuàng)造虛假點(diǎn)擊，并以”無(wú)懈可擊”的的“最終點(diǎn)擊”來(lái)主張歸因。

在初期發(fā)現(xiàn)的偽造用戶中，我們偵測(cè)到他們利用云計(jì)算設(shè)備上的模擬器假裝真實(shí)用戶來(lái)運(yùn)行安卓應(yīng)用。同時(shí)，我們具體識(shí)別出位于東南亞國(guó)家的iOS設(shè)備農(nóng)場(chǎng)，他們通過(guò)真實(shí)的設(shè)備和人員創(chuàng)造虛假的應(yīng)用活動(dòng)。

最近，我們發(fā)現(xiàn)了一種更加狡詐的手法：SDK偽造。SDK偽造不會(huì)真正運(yùn)行應(yīng)用，而是通過(guò)應(yīng)用向歸因公司和應(yīng)用發(fā)布者的服務(wù)器發(fā)送虛假請(qǐng)求，進(jìn)而縮減創(chuàng)造虛假用戶互動(dòng)的成本。作弊者毀壞加密和哈希簽名，進(jìn)而引發(fā)了作弊者和研究人員之間的另類軍備競(jìng)賽。

我們發(fā)現(xiàn)，模擬器、廉價(jià)勞動(dòng)力和虛擬機(jī)器人都可以用于創(chuàng)建作弊的應(yīng)用活動(dòng)。這些看似不同的手段，其實(shí)都用來(lái)相同類型方法的作弊。

為何要定義作弊？

我們?cè)诒疚闹杏昧舜蠖纹x了廣告作弊，這是出于何種目的呢？

基本上，在我們嘗試杜絕上述的每項(xiàng)手法時(shí)，已經(jīng)觀察到它們的特定套路。如果我們能更深入地思考和定義這些模式，未來(lái)便能更輕松地防范作弊，并且可以更有把握地告訴每一個(gè)人：作弊到底是什么。

我們發(fā)現(xiàn)，提出“這種作弊的方法是什么？”、“他們?nèi)绾问勾祟愑脩艋顒?dòng)侵入我們的系統(tǒng)？”、“點(diǎn)擊欺詐究竟是怎樣運(yùn)作的？”這類問(wèn)題，與單純問(wèn)“這是不是作弊？”相比，能幫助我們做更進(jìn)一步的思考并加強(qiáng)對(duì)策的深度。

如果您在一開始便能正視此問(wèn)題的存在，然后查看并采用對(duì)應(yīng)的個(gè)別手段，那么您可建立更加堅(jiān)定且自信的理解。從定義“就是這種方法”開始，進(jìn)展到“這是對(duì)策”，最終實(shí)現(xiàn)“是/非過(guò)濾的判斷”，主動(dòng)采取行動(dòng)來(lái)打擊作弊。

如果您無(wú)法踐行這種方法，那么您永遠(yuǎn)只能針對(duì)單一問(wèn)題回答：“是的，這是個(gè)問(wèn)題”。然而在當(dāng)今的世界中，回應(yīng)單一問(wèn)題的能力是遠(yuǎn)遠(yuǎn)不夠的。

作弊手法不斷地推陳出新。但是，我們知道它們的局限性，通過(guò)研究根源、提出問(wèn)題并厘清作弊其實(shí)只能在特定的體系內(nèi)發(fā)生的原則，我們可以創(chuàng)建更強(qiáng)大的解決方案，造福每個(gè)生態(tài)系統(tǒng)中的參與者。