白鲸出海—让中国互联网服务世界
{{user_info.user_name}}
您当前是白鲸会员
开通VIP,享受更多服务
会员到期时间:{{user_info.expire_date*1000 | formatDatebyDay}}
合作查看次数: {{users_vip_equities.view_cooperation || 0}}次
合作发布次数: {{users_vip_equities.release_cooperation || 0}}次
公司查看次数: {{users_vip_equities.view_company || 0}}次
榜单下载次数: {{users_vip_equities.download_rank || 0}}次
报告下载次数: {{users_vip_equities.download_book || 0}}次
鲸币数量:{{user_info.jingbi}}
发布
当前位置:白鲸出海 > 资讯 > 正文

防范SDK伪造 这几招让作弊者无处循形

Adjust  • 

作者:Michael Paxman (Adjust 产品研发经理)  

白鲸出海注:本文是 Adjust 发布在白鲸出海的专栏文章,转载须保留本段文字,并注明作者和来源。商业转载/使用请前往 Adjust 主页,联系寻求作者授权。

据统计,2019 年用户花在移动设备上的时间会远超其他媒介。我们可以预见,广告主的投放支出也将随之激增。另一方面,移动欺诈的规模迅速扩增,手法日益复杂,如果不对此加以控制,将对整个行业造成严重威胁。

通过操纵广告交互(展示和点击)、安装或应用内购买等活动,作弊者不断寻找新的漏洞来窃取高达数十亿美元的应用营销预算。目前,Adjust 每天拦截大约 100 万次的归因欺诈行为。

在众多广告作弊类型中,SDK 伪造(SDK Spoofing)是增长最快的一种。Adjust 全球应用营销数据基准工具显示:SDK 伪造在所有被拒归因中占了 24%。此种欺诈手法不仅最具破坏性,同时也是最易被忽略的一种。

何谓 SDK 伪造?

SDK 伪造,是一种通过攻击移动广告固有弱点,即所有广告数据统计都依赖于移动设备所发送的数据这项事实,来窃取归因的作弊方法。简单来说,SDK 伪造让第三方归因平台误以为自己所接收到的数据来自真实设备上的真实应用,然而这些数据都是伪造的,而且所有 SDK 都有可能受到此类型的攻击。

作弊者在实施 SDK 伪造时,会观察应用在执行安装或购买等事件发生时发送的数据。由此,作弊者会逐次更改单个变量,然后解析出归因所需的形式,从而让第三方跟踪归因平台相信在此过程中确实发生了安装或购买等操作。

一旦确定了数据伪造的格式,作弊者会编写脚本,以自动生成大量虚假安装。作弊者首先会通过各种手段生成虚假点击,随即生成那些看似合法的虚假安装,来确保成功“诱骗”归因。

那么,营销人员该如何察觉出问题呢?一个应用平均与 18 个 SDK 集成,而每个 SDK 都有机会提供欺诈者诱骗的经济性诱因,使广告主时时深陷于 SDK 伪造的风险之中。此外,SDK 收集的数据是执行精准移动营销的关键,然而作弊者往往能破解并复制广告主发送数据的手法。

尽管如此,我们也不需心灰意冷。以下的方法可以帮助您有效地预防因此造成的广告预算损失,并避免数据遭到破坏。

不要妄信炒作

“防伪造 SDK”这种一劳永逸的机制并不存在。每个 SDK 所依赖的数据源(设备)都可以被作弊者控制。同样地,数据传输方法(比如,代理服务器)也可以被作弊者操控。

营销人员需要知道,每次增加新的 SDK 都可能让他们面临更多的广告欺诈行为风险。所以,如果应用需要集成多个 SDK,营销人员应对每个 SDK 进行安全检查。

与营销商就 SDK 伪造和安全协议做好沟通非常重要,这能有助于营销商了解问题所在,以便制定解决方案。同时,营销人员应将 SDK 伪造经济诱因纳入考量,那么他们应该在部署前便准备好相应的解决方案。

创建 SDK 加密签名

目前唯一的解决办法是创建加密签名来验证 SDK 传输包。我们使用签名来处理极度复杂的数学问题,它的原理是在操作过程的开始(用户设备上)以及结束(服务器接收端),传送加密签名。

接收服务器将通过签名验证来自 SDK 的流量,并确保该操作请求来自真实的设备。从本质上讲,这是第三方归因平台为了验证数据的真实合法性所设下的挑战。

如果营销人员在未使用 SDK 签名的情况下获取用户活动,他们就已经将营销预算置于风险之中了。因此,营销人员需要立即联系第三方归因平台咨询防范 SDK 伪造的解决方案。

SDK 签名如何使作弊者无处循形

广告欺诈蔓延迅速,防不胜防。一旦有了新的对策推出,作弊者便会另辟蹊径寻找新的漏洞。作弊者同样关心投资回报率,并对能给他们带来可观收入的新作弊方式趋之若鹜。

解决问题的关键在于,第三方归因平台或防欺诈解决方案供应商消除激励因素,并让签名变得很难破解。通过加密签名的方式来保障 UA 预算,将增加作弊者额外的处理费用,因此降低其作弊意愿,一旦作弊者窃取的预算少于他们所需进行的投资,那么这对他们来说就是白费功夫。

诚然,欺诈也是当今移动生态系统的一部分。在涉及 SDK 伪造的情况下,我们首先需要解决的是,如何帮助营销商将广告预算损失降到最低,而不是在发生欺诈行为之后与作弊者进行争论结算。虽然我们无法完全制止广告欺诈行为,但是整体移动广告行业应当朝此目标共同努力,而当务之急便是提高整个行业对  SDK 伪造的认知,使作弊者在进行欺诈时无处遁形。


文章信息来自于Adjust ,不代表白鲸出海官方立场,内容仅供网友参考学习。对于因本网站内容所引起的纠纷、损失等,白鲸出海均不承担侵权行为的连带责任。如若转载请联系原出处

友情提醒:白鲸出海目前仅有微信群与QQ群,并无在Telegram等其他社交软件创建群,请白鲸的广大用户、合作伙伴警惕他人冒充我们,向您索要费用、骗取钱财!


分享文章

扫一扫 在手机阅读、分享本文

130564
{{votes}}
分享文章

扫一扫 在手机阅读、分享本文

130564
{{votes}}

要回复文章请先登录注册

与CEO聊合作

(备注姓名、公司及职位)