编者按:本文来自微信公众号腾讯研究院(ID:cyberlawrc),创业邦经授权转载。
“你有没有曾经尝试用鼠标点在这里过?你会的。”
1994年10月27日,Hotwired(即如今的Wired.com连线网站)网站上拉出了一条“横幅”。作为有史以来的第一支网络广告,其广告语简单、易懂且充满力量。如今回头看它,仍极具深刻的启示和寓意:
“你有没有曾经尝试用鼠标点在这里过?你会的。”
这句话仿若普罗米修斯盗取的火种,将网络营销的元素注入并点燃了整个互联网世界。我们也就拥有了这样一片暗流涌动,潮起潮落的比特海洋,海流汇聚及分散之处,便是资本刺刀见红,阴谋与梦想共舞的地方。
而海洋的上空,一片“海市蜃楼”正在形成。它虽是毫无价值的幻象,却无时无刻不在诈取财富,其形成的方式或简单粗暴,或机巧诡变,但最终的结果,无一例外是在破坏网络商业的底层逻辑,乃至网络环境的基本形态。
这就是本文所指涉的对象——流量造假。
流量造假的前身:网页端点击欺诈
流量造假又称“流量欺诈”、“点击欺诈”,顾名思义,其具体表现形式是以机器或人工的手段,伪造出毫无意义的虚假流量。起初,它只是单纯伪造虚假的鼠标点击,但随着互联网形态的不断迭代,开始紧盯当下最能体现商业活动价值的指标而作假,比如说社交媒体上的“评论”、“转发”,“点赞”,移动互联网中的“下载”及“安装”,电子商务中的“订单”和“评价”等。其影响范围几乎涵盖了在互联网上活动的一切角色与领域,从商家到消费者,盖莫幸免。
根据世界广告主联合会(World Federation of Advertisers)的预测,未来十年时间里,流量造假产业将成为犯罪组织的第二大市场,仅次于毒品贩卖。这并不是危言耸听,WhiteOps(著名互联网反作弊公司)发布的报告也显示,2016年,广告商和企业因为流量造假而损失72亿美元,而到了2017年,这一数字直接翻倍,达到了164亿美元。据WhiteOps的报道,一个名为“The Methbot Operation”的俄罗斯欺诈集团,每天通过流量造假可实现的收入是300万到500万美元。
同样是在2016年,百度公司也发布了《2015年的搜索推广作弊市场调研报告》,指出百度推广每天监测并过滤了千万量级的无效点击,其中5%为人工作弊,而49-65%为机器作弊。
流量造假给广告客户带来的打击无疑是致命的,他们会疑惑:为什么点击量这么高,但实际收入就是上不去?那么,加大预算?只会让自己的获客成本越来越贵;壮士断腕?其他竞争对手并不会给你喘息的机会。最为关键的是,统计后台那一套本来相互关联、逻辑紧密的数据逻辑就此打乱,数据的失真让这些公司彻底成为了想飞出去却无法挣脱玻璃窗的蛾子。
在漫长的历史时间轴中锁定“流量造假”出现的元年,并不是一件容易的事情,但PPC(Pay-Per-Click,按单次点击付费)商业模式的建立时间为我们提供了参考。2000年10月23日,基于按单次点击付费模式的Google Adword正式推出。根据全新的商业规则,广告主将为潜在客户的广告单次点击而付费。
有了PPC之后,广告投放主不仅可以将广告最终效果和网络营销投入实现直接挂钩,更能通过后台的数据(如覆盖人群年龄、性别、地区范围等等)来分析、调整每一次广告投放的策略。市场反馈证明,PPC是符合互联网生态,实现商业价值变现、多方共赢的一种模式。
但与此同时,另一股力量也在暗流涌动。网页端流量造假手段的逐渐成熟,就出现在2000后的几年时间。它通过人工或者软件的方式频繁点击展示型广告,骗取广告收入,由于方式多样且单次案例涉及金额较小,很难被广告投放主察觉。但是,一旦这种造假成组织、有效率的大规模运行起来,在乱麻一样相互交织运行的互联网流量体系中,亦如黑夜中的流星一样显眼了。
2009年,反数字欺诈组织Anchor Intelligence报道了一起来自中国的流量造假案件。短短两个星期的时间里,反欺诈技术人员发现此案牵扯了20万个独立的IP地址,2000个广告投放主成为受害者,涉案金额超过了300万美金。这个组织的名字是DormRing1,取名“Dorm“是因为欺诈者们都是一群住在宿舍里的大学生,而这些大学散布在中国的各个城市。
在察觉到自己被曝光后,DormRing1迅速解散,消失在人们的视野当中,暂时无一成员被捕。谁也不知道他们在此之前运行了多长时间,获取了多少非法收入。但整个组织运行的效率、组织层级划分的细致程度,却惊人的专业。
这个组织所划分的不同层级,对应着参与人员不同的权限。组织底层采取邀请制进行纳新,而最为敏感的一些运营数据和信息只掌握在最高层人员手里。同时,这些高层还可以去购买Rootkit(一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,一般与木马、后门等其他恶意程序结合使用)来执行一些特殊的欺诈活动,或者将某些欺诈项目的特殊环节外包给其他的组织。在分成方面,最底层的执行人员只能按工作量来计费,而高层人员是以欺诈组织所骗取的整体收入作为基数享受分成比例。
在这一系列的欺诈策划、执行过程中,组织成员需要跟“钱骡”( Money Mules,指通过互联网用诈骗等不正当手段将一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地)、“牧羊人”(Botnet Herder,僵尸网络控制者)进行合作,同时也需要大量的网页模板开发人员以及其他网络服务提供商。
流量造假的进阶形态:移动端数据欺诈
随着互联网的形态发生变化,内容分发在网络营销产业中的地位与日俱增。当数据从门户网站分流至社交平台,从网页端转移至移动端之后,流量造假的形态也发生了重重迭代。
垃圾点击
移动应用(或者是移动端网页)可以在后台自动执行各种广告点击,当然,用户是看不到这些广告的。更恐怖的是,无论你是否停留在页面上,它都能够在后台进行7*24小时不间断的点击。不仅如此,欺诈者还能生成虚假的“用户画像”,使这一切更加逼真。
由此导致的后果可想而知:假如你是移动应用的开发者,欺诈者会拿出数据,理直气壮的跟你说,这是一个有效的广告点击,同时还有很不错的转化率。你会因为这个点击和转化率而付钱,并加大对此方向的预算投入。于是,越来越多的资金被这个黑洞吞噬了。
点击注入
除了垃圾点击,“点击注入”同样是一种移动端的造假方式。其原理更为复杂,并且仅限于安卓系统。
安卓应用有一个独特的广播机制,当有新应用被安装在系统中,原本安装的应用会“获悉”这一动作。这一机制就被欺诈者所利用,当用户下载了一个新的应用并且还没有打开之前,欺诈者的应用就已经进行了数据上的关联,并执行了N次广告点击,从而使新应用的开发者相信,你的下载行为完全是因为点了广告而实现的。
点击农场
相比于前两种充满技术含量的造假方式,“点击农场”显得更加简单粗暴。但正因为门槛低,它更为普遍的存在于一些劳动力及电费、网费相对低廉的国家和地区,比如越南、柬埔寨、泰国以及中国西南等偏远地区。
“点击农场”这个词听上去感觉非常高大上,但事实上这种方式非常低端原始,用“农场”来形容着实形象。因为它就是一个非常大的仓库,里面放置了数千台的电脑和手机。工作人员无休止的在一排又一排的手机屏幕上点击,来赚取微薄的收入。这里不存在任何智力活动,只需要将自己想像成为一台机器即可。
2017年,泰国警方破获了一起特大型网络流量造假案件。一个对外看起来是呼叫中心的地方,原来是一个超大型的“点击农场”,涉案人员是三名中国人,共计运作了474部iPhone,多数机型为iPhone5S,5C和4S。这个农场通过在微信平台上大量伪造点赞及分享,帮助国内企业在网络上推销商品。根据嫌犯的口供,他们的客户每月花约$4,403美金(大概3万元人民币)的服务费来运营这个农场,而之所以会选址于泰国,则源于当地比较便宜的上网服务。
对于“流量造假”,我们该何去何从?
流量造假的受害者往往是中小微企业,他们每天设定的“关键词点击预算”,会因为欺诈手段而瞬间花光,却无法带来真实的品牌效应和转化收入。而对于大型跨国公司而言,他们往往不会设定一个额定的日预算值,所以受到的影响相对较小。
对于造假主体而言,他们的所图更为简单纯粹,那就是金钱。毕竟,通过流量造假的手段,来钱实在太快了。前文中提到的俄罗斯欺诈集团“The Methbot Operation”通过在其他公司租用大量独立IP地址,付出的成本是400万美金,但通过制造虚假点击和虚假流量,每天实现的收入是300万美金到500万美金。
在见证了“流量造假”的机制之后,我们不禁要问,是否有相关的法律来打击这些欺诈行为?答案可能让人们失望,因为虽然有规定牵涉到这一领域,但法律条文的更新永远追不上技术发展。再加上移动广告公司的运营数据缺乏透明度,流量造假经常横跨多个国家,动态变化的网络广告流量圈给针立案、侦破及诉讼带来重重困难。
在法律监管缺位的同时,诸如Google、Facebook和Twitter等以网络营销为重主要业务的社交媒体巨头,都作出各种各样的保证与承诺,声称可以向用户提供一套完整的反欺诈生态闭环。比如,Google采取了三层机制来打击流量造假,分别是“过滤器”(Filters)、“线下分析”(Offline analysis)以及“调查”(investigations)。“过滤器”属于自动化的算法机制,能够实时监测无效点击;“线下分析”是以自动化的算法为主,辅以人工分析来减少误判;最后一层是“调查”,但反欺诈流程往往不会进入到这一层,因为在理想状态下,大部分的流量造假都在前两层被识别、过滤掉了。
但是,这一切的效果却并不显著。谷歌在自己有关Google Ads政策里面也坦承:“尽管我们持续不断的监测可疑的点击,但是无效点击中还是有一部分是无法被我们的机制和流程识别出来。”也正因为如此,谷歌在2017年的8月对那些确认遭受流量造假侵害的数百名企业主们进行了退款。
而脸书(Facebook)则更被流量造假所困扰,自它上线的第一天开始,就有大量与之相关的麻烦与官司缠身。其中的逻辑很简单,每一个体都能创建不止一个的脸书账户,当某个账户被拉黑、屏蔽,用另外的名字重新开一个就好。对于个人来说都如此轻而易举,那么换成机构化的组织呢?
由此带来的是一场无止尽的猫鼠大战。一个账户被查封了,另外一个账户又出现了。庞大的用户数使脸书反欺诈团队头痛不已。根据美国媒体Vox的报道,2019年的一季度,脸书总共删除了22亿个虚假账号;2018年四季度,删了12亿个虚假账号;2018年三季度,这个数字是75万;而在2018年的第一季度,总共删了不到60万个虚假账号。换言之,虚假账号产生的速度是——60万到75万,75万到12亿,12亿到22亿。到如今,脸书在2019年一季度里删掉的假账号数量,已经等同于其平台一季度由真人注册的真实账号数量。
让情况变得更为复杂的是,脸书上还存在着数不清的“注入点击”应用。脸书还为此针对一批程序开发者发起过诉讼,控告他们的程序中所暗藏的恶意软件在未经用户知情或者允许的前提下点击广告。
由此可见,目前没有任何人能保证自己在网络平台上不遭受“流量造假”,也没有任何平台敢保证能够完全性地识别、打击所有“流量造假”行为。
值得一提的是,我国于2020年3月1日颁布实施的《网络信息内容生态治理规定》中,第24条明确规定了“网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。”因此我们有理由期待,针对流量造假会有一系列的执行细则出台,以加强对国内互联网广告内容的管理。
其实,在诉诸法律手段之前,互联网平台依然有很多方式能够保护自身的利益,免于沦为流量造假的受害者。
培养自身去筛查数据流的意识与能力
如果平台的数据量足够庞大,并且对于关键词动态的监测、观察足够仔细的话,也许会发现其中的异常。例如,可能发现同一个IP发出了很多次的点击,也有可能发现平台根本没在某个国家提供过服务,但是却从这个国家涌入了大量的点击量。总之,流量造假是无法完全隐匿自己的踪迹的。
与“流量警察”(即反欺诈安全公司及团队)进行深度合作
国内外反欺诈安全公司正在逐渐崛起,他们会对数据进行实时分析和离线分析,前者像是给千军万马做安检,包括针对重复IP建立黑名单、建立MTTI/CTI(点击发生到转化的时间)系统;后者则是针对过往已经产生的数据,从历史中寻找蛛丝马迹。反欺诈安全公司的业界标杆公司包括美国的AppsFlyer、TUNE、Kochava,德国的Adjust以及国内的Talkingdata等。
选择优秀的需求方平台(DSP)和广告交易平台(ADX)
优秀的需求方平台需要真正站在广告主的需求和利益角度,从技术、数据、算法和团队四个维度出发,对作弊流量、问题流量和可疑流量进行主动屏蔽和过滤。需要完善的技术机制包括实时防作弊系统(实时过滤作弊和无效流量)、全天防作弊系统(基于全天数据进行更复杂和全面的判断)和人工排查机制(拥有丰富反作弊经验的专业工程技术团队,及时发现、预警和分析新的作弊模式,更新反作弊算法和模型)。
同样,一个广告交易平台的优劣,也必然体现在如何筛查和屏蔽欺诈流量的方式上。特别是对于一些开放式的广告交易平台而言,如Google Double Click、百度BES(百度流量交易服务),由于拥有丰富的长尾媒体资源,必须提高媒体资源准入机制和甄别机制,建立黑白名单机制,对于可能存在虚假流量的媒体资源进行排查和治理,对于流量和效果真实可信的媒体则予以奖励,营造良好的激励机制。
可以想见,在未来相当一段长的时间,流量造假这一形态还会继续存在于网络营销空间中。这个灰色领域所带来的破坏力不容小觑,也正因如此,我们更应该从多维度梳理、优化网络广告的投放机制,让好的内容与真实用户紧紧相连;同时更应该健全完善互联网广告投放的法制机制,保障参与到网络营销的每一位主体的利益与诉求。