Cliquez sur la fraude - Click fraud

La fraude au clic est un type de fraude qui se produit sur Internet dans le cadre de la publicité en ligne au paiement par clic (PPC) . Dans ce type de publicité , les propriétaires de sites Web qui publient les annonces sont payés en fonction du nombre de visiteurs du site qui cliquent sur les annonces. La fraude se produit lorsqu'une personne, un script automatisé , un programme informatique ou un sélecteur automatique imite un utilisateur légitime d'un navigateur Web , en cliquant sur une telle annonce sans avoir un intérêt réel pour la cible du lien de l'annonce. La fraude aux clics fait l'objet de controverses et de litiges croissants en raison du fait que les réseaux publicitaires sont l'un des principaux bénéficiaires de la fraude.

L'entrepreneur en médias et journaliste John Battelle décrit la fraude au clic comme la pratique intentionnellement malveillante et « résolument chapeau noir » des éditeurs jouant de la publicité de recherche payée en employant des robots ou des travailleurs à bas salaire pour cliquer à plusieurs reprises sur les publicités de leurs sites, générant ainsi de l'argent à payer par l'annonceur à l'éditeur et à tout agent que l'annonceur peut utiliser.

Publicité au paiement par clic

La publicité PPC est un arrangement dans lequel les webmasters (opérateurs de sites Web ), agissant en tant qu'éditeurs, affichent des liens cliquables provenant d'annonceurs en échange d'une redevance par clic. Au fur et à mesure de l'évolution de cette industrie, un certain nombre de réseaux publicitaires se sont développés, qui ont agi comme intermédiaires entre ces deux groupes (éditeurs et annonceurs). Chaque fois qu'un internaute (supposé être) valide clique sur une annonce, l'annonceur paie le réseau publicitaire, qui à son tour verse à l'éditeur une part de cet argent. Ce système de partage des revenus est perçu comme une incitation à la fraude au clic.

Le plus grand des réseaux de publicité, Google de AdWords / AdSense et Yahoo! Search Marketing , jouent un double rôle, puisqu'ils sont aussi éditeurs eux-mêmes (sur leurs moteurs de recherche). Selon les critiques, cette relation complexe peut créer un conflit d'intérêts. En effet, ces entreprises perdent de l'argent à cause de la fraude au clic non détectée lorsqu'elles paient à l'éditeur, mais gagnent plus d'argent lorsqu'elles perçoivent des frais auprès de l'annonceur. En raison de l'écart entre ce qu'elles collectent et ce qu'elles versent, la fraude au clic sans entrave créerait des bénéfices à court terme pour ces entreprises.

Parties non contractantes

Les parties non contractantes, qui ne font partie d'aucun accord de paiement au clic, constituent une source secondaire de fraude au clic. Ce type de fraude est encore plus difficile à contrôler, car les auteurs ne peuvent généralement pas être poursuivis pour rupture de contrat ou inculpés de fraude. Des exemples de parties non contractantes sont :

  • Concurrents des annonceurs : Ces parties peuvent souhaiter nuire à un concurrent qui fait de la publicité sur le même marché en cliquant sur ses annonces. Les auteurs ne profitent pas directement mais obligent l'annonceur à payer pour des clics non pertinents, affaiblissant ou éliminant ainsi une source de concurrence.
  • Concurrents d'éditeurs : Ces personnes peuvent souhaiter encadrer un éditeur. Il est conçu pour donner l'impression que l'éditeur clique sur ses propres annonces. Le réseau publicitaire peut alors mettre fin à la relation. De nombreux éditeurs dépendent exclusivement des revenus de la publicité et pourraient être mis en faillite par une telle attaque.
  • Autre intention malveillante : Comme pour le vandalisme , il existe de nombreux motifs de vouloir nuire soit à un annonceur, soit à un éditeur, même par des personnes qui n'ont rien à gagner financièrement. Les motifs incluent des vendettas politiques et personnelles. Ces cas sont souvent les plus difficiles à traiter, car il est difficile de retrouver le coupable, et s'il est trouvé, il y a peu de poursuites judiciaires qui peuvent être engagées contre eux.
  • Amis de l'éditeur : parfois, lorsqu'il apprend qu'un éditeur tire profit des clics sur les annonces, un partisan de l'éditeur (comme un fan, un membre de la famille, un partisan d'un parti politique, un mécène ou un ami personnel) cliquera sur les annonces pour aider. Cela peut être considéré comme du mécénat. Cependant, cela peut se retourner contre l'éditeur (pas l'ami) est accusé de fraude au clic.

Les réseaux publicitaires peuvent essayer d'arrêter la fraude par toutes les parties, mais ne savent souvent pas quels clics sont légitimes. Contrairement à la fraude commise par l'éditeur, il est difficile de savoir qui doit payer lorsqu'une fraude aux clics antérieurs est constatée. Les éditeurs n'apprécient pas de devoir rembourser quelque chose qui n'est pas de leur faute. Cependant, les annonceurs sont catégoriques sur le fait qu'ils ne devraient pas avoir à payer pour de faux clics.

Organisation

La fraude au clic peut être aussi simple qu'une personne démarrant un petit site Web, devenant un éditeur d'annonces et de cliquer sur ces annonces pour générer des revenus. Souvent, le nombre de clics et leur valeur sont si faibles que la fraude passe inaperçue. Les éditeurs peuvent prétendre que de petites quantités de tels clics sont un accident, ce qui est souvent le cas.

Des fraudes à beaucoup plus grande échelle se produisent également. Ceux qui se livrent à des fraudes à grande échelle exécutent souvent des scripts qui simulent un clic humain sur des publicités dans des pages Web. Cependant, un grand nombre de clics semblant provenir d'un seul ou d'un petit nombre d'ordinateurs, ou d'une seule zone géographique, semblent très suspects pour le réseau publicitaire et les annonceurs. Les clics provenant d'un ordinateur connu pour être celui d'un éditeur semblent également suspects pour ceux qui surveillent la fraude aux clics. Une personne tentant une fraude à grande échelle, à partir d'un ordinateur, a de bonnes chances d'être attrapée.

Un type de fraude qui contourne la détection basée sur les modèles IP utilise le trafic utilisateur existant, le transformant en clics ou en impressions. Une telle attaque peut être camouflée aux utilisateurs en utilisant des iframes de taille 0 pour afficher des publicités récupérées par programme à l'aide de JavaScript . Il pourrait également être camouflé vis-à-vis des annonceurs et des portails en veillant à ce que les soi-disant « araignées inversées » soient présentées avec une page légitime, tandis que les visiteurs humains se voient présenter une page qui commet une fraude au clic. L'utilisation d'iframes de taille 0 et d'autres techniques impliquant des visiteurs humains peut également être associée à l'utilisation d'un trafic incitatif, où les membres des sites « payés pour lire » (PTR) sont payés de petites sommes d'argent (souvent une fraction d'un cent) pour visiter un site Web et/ou cliquer sur des mots clés et des résultats de recherche, parfois des centaines ou des milliers de fois par jour Certains propriétaires de sites PTR sont membres de moteurs PPC et peuvent envoyer de nombreuses annonces par courrier électronique aux utilisateurs qui effectuent des recherches, tout en envoyant peu d'annonces à ceux-ci qui ne. Ils le font principalement parce que les frais par clic sur les résultats de recherche sont souvent la seule source de revenus pour le site. C'est ce qu'on appelle la recherche forcée, une pratique qui est mal vue dans l'industrie Get Paid To.

Le crime organisé peut gérer cela en ayant de nombreux ordinateurs avec leurs propres connexions Internet dans différents emplacements géographiques. Souvent, les scripts ne parviennent pas à imiter le vrai comportement humain, de sorte que les réseaux du crime organisé utilisent un code cheval de Troie pour transformer les machines de la personne moyenne en ordinateurs zombies et utilisent des redirections sporadiques ou un empoisonnement du cache DNS pour transformer les actions de l'utilisateur inconscient en actions générant des revenus pour l'escroc. Il peut être difficile pour les annonceurs, les réseaux publicitaires et les autorités d'engager des poursuites contre des réseaux de personnes répartis dans plusieurs pays.

La fraude aux impressions se produit lorsque des impressions publicitaires faussement générées affectent le compte d'un annonceur. Dans le cas des modèles d'enchères basés sur le taux de clics , l'annonceur peut être pénalisé pour avoir enregistré un taux de clics trop bas pour un mot clé donné . Cela implique de faire de nombreuses recherches pour un mot-clé sans cliquer sur l'annonce. Ces annonces sont automatiquement désactivées, ce qui permet à l'annonce la moins disante d'un concurrent pour le même mot clé de continuer, tandis que plusieurs enchérisseurs élevés (sur la première page des résultats de recherche) ont été éliminés.

Attaque contre l'inflation

Une attaque contre l'inflation est une sorte de méthode frauduleuse utilisée par certains éditeurs de publicité pour gagner des revenus injustifiés sur le trafic qu'ils génèrent vers les sites Web des annonceurs. Elle est plus sophistiquée et plus difficile à détecter qu'une simple attaque d'inflation.

Ce processus implique la collaboration de deux homologues, un éditeur malhonnête, P, et un site Web malhonnête, S. Les pages Web sur S contiennent un script qui redirige le client vers le site Web de P, et ce processus est caché au client. Ainsi, lorsque l'utilisateur U récupère une page sur S, il simule un clic ou une requête vers une page du site de P. Le site de P a deux types de pages Web : une version manipulée et une version originale. La version manipulée simule un clic ou une demande à la publicité, ce qui fait que P est crédité pour le clic. P détermine de manière sélective s'il faut charger le script manipulé (et donc frauduleux) dans le navigateur de U en vérifiant s'il provient de S. Cela peut être fait via le champ Référent , qui spécifie le site à partir duquel le lien vers P a été obtenu. Toutes les requêtes de S seront chargées avec le script manipulé, et donc la requête automatique et cachée sera envoyée.

Cette attaque convertira silencieusement chaque visite innocente à S en un clic sur la publicité sur la page de P. Pire encore, P peut être en collaboration avec plusieurs sites Web malhonnêtes, chacun pouvant être en collaboration avec plusieurs éditeurs malhonnêtes. Si le commissaire à la publicité visite le site Web de P, la page non frauduleuse sera affichée, et ainsi P ne pourra être accusé d'être frauduleux. Sans raison de soupçonner l'existence d'une telle collaboration, le commissaire à la publicité doit inspecter tous les sites Internet pour détecter de telles attaques, ce qui est infaisable.

Une autre méthode proposée pour la détection de ce type de fraude est l'utilisation de règles d'association .

Manipulation des résultats de recherche organiques

Un facteur majeur qui affecte le classement des sites Web dans les résultats de recherche organiques est le CTR (taux de clics). C'est le rapport des clics aux impressions, ou en d'autres termes combien de fois un résultat de recherche est cliqué, par rapport au nombre de fois que la liste apparaît dans les résultats de recherche.

Contrairement à la fraude PPC, où un concurrent tire parti des services d'un botnet, ou d'une main-d'œuvre à faible coût, pour générer de faux clics, dans ce cas, l'objectif est d'adopter une politique de « mendiant pour ton voisin » contre les concurrents en rendant leur taux de CTR aussi bas que possible, diminuant ainsi leur position dans les résultats de recherche.

Les mauvais acteurs vont donc générer de faux clics sur les résultats de recherche organiques qu'ils souhaitent promouvoir, tout en évitant les résultats de recherche qu'ils souhaitent rétrograder. Cette technique peut effectivement créer un cartel de services commerciaux contrôlés par le même mauvais acteur, ou être utilisée pour promouvoir une certaine opinion politique, etc. L'ampleur de ce problème est inconnue, mais est certainement évidente pour de nombreux développeurs de sites Web qui prêtent une attention particulière aux statistiques dans les outils pour les webmasters.

La recherche Google a été accusée d'utiliser ce qu'on appelle la recherche sans clic pour empêcher une grande partie du trafic de laisser sa page à des éditeurs tiers. En 2015, Google a introduit la fonctionnalité Knowledge Graph et Direct Answers qui consiste en une grande boîte sur la page de résultats principale, avec les informations clés obtenues à partir de sources tierces telles que Wikipedia, dictionnaires, sites Web météo, etc. En conséquence, 71% des recherches se terminent sur le page de recherche Google. Dans le cas d'une requête spécifique sur 890'000 recherches sur Google, seules 30'000 ont abouti à ce que l'utilisateur clique sur le site de résultats.

Affaires juridiques

Poursuites

  • Les différends sur la question ont donné lieu à un certain nombre de poursuites . Dans un cas, Google (agissant à la fois en tant qu'annonceur et en tant que réseau publicitaire) a remporté un procès contre une société texane appelée Auction Experts (agissant en tant qu'éditeur), que Google a accusé d'avoir payé des personnes pour qu'elles cliquent sur des publicités apparaissant sur le site d'Auction Experts, coûtant 50 000 $ aux annonceurs. Malgré les efforts des réseaux pour l'arrêter, les éditeurs se méfient des motivations des régies publicitaires, car la régie publicitaire reçoit de l'argent pour chaque clic, même s'il est frauduleux.
  • En juillet 2005, Yahoo a réglé un recours collectif contre lui par des plaignants alléguant qu'il n'avait pas fait assez pour empêcher la fraude aux clics. Yahoo a payé 4,5 millions de dollars en factures juridiques pour les plaignants et a accepté de régler les réclamations des annonceurs remontant à 2004 En juillet 2006, Google a réglé une poursuite similaire pour 90 millions de dollars.
  • Le 8 mars 2006, Google a accepté un fonds de règlement de 90 millions de dollars dans le cadre du recours collectif déposé par Lane's Gifts & Collectibles. Le recours collectif a été déposé dans le comté de Miller, Arkansas, par les avocats de Dallas Steve Malouf, Joel Fineberg et Dean Gresham. Le témoin expert des demandeurs dans cette affaire était Jessie Stricchiola, une experte en recherche sur Internet qui a identifié pour la première fois des cas de fraude au PPC en 2001.

Michael Anthony Bradley

En 2004, le résident californien Michael Anthony Bradley a créé Google Clique, un logiciel qui, selon lui, pourrait permettre aux spammeurs de frauder Google avec des millions de dollars en clics frauduleux, ce qui a finalement conduit à son arrestation et à son inculpation.

Bradley a pu démontrer que la fraude était possible et impossible à détecter pour Google. Le ministère de la Justice a allégué qu'il avait contacté Google en lui disant qu'à moins qu'il ne lui paie 100 000 $ pour les droits sur la technologie, il la vendrait à des spammeurs, ce qui coûterait des millions à Google. En conséquence, Bradley a été arrêté pour extorsion et fraude postale en 2006.

Les charges ont été abandonnées sans explication le 22 novembre 2006; le bureau du procureur américain et Google ont refusé de commenter. Business Week suggère que Google n'était pas disposé à coopérer avec l'accusation, car il serait contraint de divulguer publiquement ses techniques de détection de fraude aux clics.

Fabio Gasperini

Le 18 juin 2016, Fabio Gasperini, un citoyen italien, a été extradé vers les États-Unis pour fraude au clic. Un acte d' accusation accusait Gasperini de :

Selon le gouvernement américain, Gasperini a mis en place et exploité un botnet de plus de 140 000 ordinateurs dans le monde. Il s'agissait du premier essai de fraude au clic aux États-Unis. S'il est reconnu coupable de tous les chefs d'accusation, Gasperini risquait jusqu'à 70 ans de prison.

Simone Bertollini, une avocate italo-américaine, a représenté Gasperini au procès. Le 9 août 2017, un jury a acquitté Gasperini de toutes les accusations de crime de l'acte d'accusation. Gasperini a été reconnu coupable d'un délit d'avoir obtenu des informations sans gain financier. Gasperini a été condamné à la peine maximale légale d'un an d'emprisonnement, à une amende de 100 000 $ et à un an de liberté surveillée après son incarcération. Peu de temps après, il a été crédité d'une peine de prison et renvoyé en Italie. Un recours est actuellement en instance.

Solutions

Prouver la fraude au clic peut être très difficile car il est difficile de savoir qui se cache derrière un ordinateur et quelles sont ses intentions. Lorsqu'il s'agit de détecter la fraude publicitaire mobile, l'analyse des données peut donner des indications fiables. Des mesures anormales peuvent indiquer la présence de différents types de fraudes. Pour détecter la fraude au clic dans la campagne publicitaire, les annonceurs peuvent se concentrer sur les points d'attribution suivants

  • Adresse IP : comme les robots exécutent des scripts similaires à partir du même serveur, toute fraude au clic sur les publicités mobiles indiquera une forte densité de clics provenant de la même adresse IP ou d'une plage d'adresses IP similaires. Les annonceurs peuvent également vérifier les adresses IP pour vérifier leur historique avec une autre fraude.
  • Horodatage du clic : l'horodatage du clic conserve l'heure à laquelle le clic est effectué sur l'annonce. La fraude aux clics basée sur les robots s'exécute à plusieurs reprises pour tenter de cliquer sur les publicités, ce qui augmente la fréquence des clics pendant cette durée. Une gamme élevée de clics avec un horodatage presque similaire indique la possibilité d'une fraude au clic. Une faible durée et une fréquence élevée signifient une forte probabilité de fraude.
  • Horodatage de l'action : l'horodatage de l'action est l'heure à laquelle l'utilisateur agit sur (ou s'engage avec) l'application ou le site Web. Avec une attaque par clic basée sur un bot, il peut y avoir une similitude avec l'horodatage de l'action. Lorsque le bot clique sur la publicité puis exécute l'action sur l'application ou le site Web sans délai, l'annonceur peut remarquer un horodatage d'action faible ou presque inexistant.

Souvent, le mieux qu'un réseau publicitaire puisse faire est d'identifier les clics les plus susceptibles d'être frauduleux et de ne pas débiter le compte de l'annonceur. Des moyens de détection encore plus sophistiqués sont utilisés, mais aucun n'est infaillible.

Le rapport Tuzhilin produit dans le cadre d'un règlement d'un procès pour fraude au clic, contient une discussion détaillée et complète de ces questions. En particulier, il définit "le problème fondamental des clics invalides (frauduleux)":

  • "Il n'y a pas de définition conceptuelle des clics invalides qui puisse être opérationnalisée [sauf pour certains cas manifestement clairs]."
  • « Une définition opérationnelle ne peut pas être entièrement divulguée au grand public en raison des craintes que des utilisateurs contraires à l'éthique en profitent, ce qui peut conduire à une fraude massive aux clics. Cependant, si elle n'est pas divulguée, les annonceurs ne peuvent pas vérifier ni même contester pourquoi ils ont été facturés pour certains clics."

L'industrie du PPC fait pression pour des lois plus strictes sur la question. Beaucoup espèrent avoir des lois qui couvriront ceux qui ne sont pas liés par des contrats.

Un certain nombre d'entreprises développent des solutions viables pour l'identification des fraudes au clic et développent des relations intermédiaires avec les réseaux publicitaires. Ces solutions se répartissent en deux catégories :

  1. Analyse médico-légale des fichiers journaux du serveur Web des annonceurs.
    Cette analyse des données du serveur Web de l'annonceur nécessite un examen approfondi de la source et du comportement du trafic. Comme les fichiers journaux standard de l'industrie sont utilisés pour l'analyse, les données sont vérifiables par les réseaux publicitaires. Le problème avec cette approche est qu'elle repose sur l'honnêteté des intermédiaires pour identifier la fraude.
  2. Confirmation par un tiers.
    Des tiers proposent des solutions Web qui peuvent impliquer le placement d'images à un seul pixel ou Javascript sur les pages Web de l'annonceur et un étiquetage approprié des annonces. Le visiteur peut se voir présenter un cookie. Les informations sur les visiteurs sont ensuite collectées dans un magasin de données tiers et mises à disposition pour téléchargement. Les meilleures offres facilitent la mise en évidence des clics suspects et montrent les raisons d'une telle conclusion. Étant donné que les fichiers journaux d'un annonceur peuvent être falsifiés, leur accompagnement avec des données corroborantes provenant d'un tiers constitue un ensemble de preuves plus convaincant à présenter au réseau publicitaire. Cependant, le problème avec les solutions tierces est que ces solutions ne voient qu'une partie du trafic de l'ensemble du réseau. Par conséquent, ils peuvent être moins susceptibles d'identifier des modèles qui s'étendent sur plusieurs annonceurs. De plus, en raison de la quantité limitée de trafic qu'ils reçoivent par rapport aux intermédiaires, ils peuvent être trop ou moins agressifs lorsqu'ils jugent le trafic frauduleux.

Dans une interview en 2007 dans Forbes , le tsar de la fraude au clic de Google, Shuman Ghosemajumder, a déclaré que l'un des principaux défis de la détection de la fraude au clic par des tiers était l'accès aux données au-delà des clics, notamment les données d'impression publicitaire.

La fraude au clic est moins probable dans les modèles de coût par action .

Recherche

Le fait que les intermédiaires (moteurs de recherche) aient la haute main dans la définition opérationnelle des clics invalides est à l'origine du conflit d'intérêts entre les annonceurs et les intermédiaires, tel que décrit ci-dessus. Cela se manifeste dans le rapport Tuzhilin tel que décrit ci-dessus. Le rapport Tuzhilin n'a pas défini publiquement les clics invalides et n'a pas décrit les définitions opérationnelles en détail. Au contraire, il a donné une image de haut niveau du système de détection de fraude et a fait valoir que la définition opérationnelle du moteur de recherche faisant l'objet d'enquêtes est « raisonnable ». L'un des objectifs du rapport était de préserver la confidentialité du système de détection des fraudes afin de maintenir son efficacité. Cela a incité certains chercheurs à mener des recherches publiques sur la façon dont les intermédiaires peuvent lutter contre la fraude aux clics. Étant donné qu'une telle recherche n'est vraisemblablement pas entachée par les forces du marché, il y a de l'espoir que cette recherche puisse être adoptée pour évaluer la rigueur avec laquelle un intermédiaire est dans la détection de la fraude au clic dans les futures affaires juridiques. La crainte que cette recherche puisse exposer le système interne de détection de fraude des intermédiaires s'applique toujours. Un exemple d'une telle recherche est celui effectué par Metwally, Agrawal et El Abbadi à l' UCSB . D'autres travaux de Majumdar, Kulkarni et Ravishankar à UC Riverside proposent des protocoles pour l'identification des comportements frauduleux des courtiers et autres intermédiaires dans les réseaux de diffusion de contenu.

Voir également

Les références

Liens externes