Existe-t-il une incitation à sévir contre la fraude publicitaire programmatique ?
Publié: 2022-05-05Pendant neuf mois l'année dernière, Gannett, éditeur de USA TODAY et d'autres organes de presse, a diffusé des milliards d'annonces dans des endroits qui n'étaient pas ce que les acheteurs voulaient. Gannett et les acheteurs ne l'ont découvert qu'après un rapport de mars dans le Wall Street Journal. Plus tôt cette semaine, The Journal a révélé que plus d'une douzaine d'entreprises de technologie publicitaire n'avaient pas réussi à le détecter, bien qu'elles disposaient de toutes les informations nécessaires pour le faire.
Nous en avons parlé à Augustine Fou, consultante en cybersécurité et anti-fraude publicitaire. Il dit que la première instance était le résultat d'une erreur. La seconde était intentionnelle.
Que s'est-il passé à Gannett et pourquoi pensez-vous que ce n'était pas intentionnel ?
Ce qui s'est passé, c'est que les noms de domaine USA TODAY ont été déclarés locaux. La raison pour laquelle je dis que c'était une erreur et non délibérée est que les domaines ont été mal déclarés dans les deux sens. Si c'était malveillant, où l'éditeur essaie de gagner plus d'argent, il déclarerait toujours que les sites d'information locaux sont les sites nationaux, et non l'inverse.
Le plus gros problème est qu'aucune des sociétés de détection de fraude ne l'a appelé. Aucun des échanges ne l'a attrapé et arrêté, et aucune agence publicitaire ne savait que cela s'était produit jusqu'à ce que l'article du Wall Street Journal soit publié.
Pourquoi est-ce plus important ?
Un vrai éditeur comme New York Times, Wall Street Journal, USA AUJOURD'HUI, ils ont des humains qui vont visiter le site. D'ACCORD? Si vous avez un faux site, comme fakesite123.com, aucun humain n'en aurait jamais entendu parler et aucun humain ne visite ce site. Alors, comment ce site a-t-il une tonne de trafic et peut-il donc vendre un tas d'impressions publicitaires ? Fondamentalement, le faux site utiliserait un faux trafic. Il utilise un bot qui est essentiellement un navigateur qui provoque le chargement de la page. Lorsque cela se produit, toutes les annonces sont appelées. C'est donc ce que les annonceurs paient. Mais les publicités ne sont pas vues par les humains. C'est pourquoi nous appelons cela de la fraude.
Mais ce n'est pas ce qui s'est passé ici.
D'accord, cela se produit sur de faux sites, pas nécessairement sur USA TODAY ou des revues de qualité. Mais le fait est que ces sociétés de détection de fraude, c'est leur travail de détecter les bots et de détecter d'autres problèmes, comme un faux site prétendant être un vrai.. Vous savez, si les méchants ont des faux comme 123.com, ils ne sont pas va mettre leur propre domaine dans la demande d'enchère. Ils vont dire qu'ils sont USA TODAY ou qui que ce soit. Ils diront qu'il s'agit de mon domaine et l'annonceur soumettra ses offres.
Mais le fait est qu'ils n'ont attrapé aucun des trucs de Gannett. C'est un éditeur légitime qui a fait une erreur. Donc, s'ils ne peuvent pas attraper cela, comment diable vont-ils attraper les cas où le méchant a délibérément mal déclaré le domaine ?.
Pourquoi n'attrapent-ils pas ça ?
Parce qu'ils ne regardent même pas aux bons endroits. Je vais vous dire mon hypothèse basée sur mon expérience. Ils auraient donc besoin d'exécuter leur JavaScript et de détecter la page USA TODAY, puis de la renvoyer au domaine qui a été transmis dans la demande d'enchère. Ils ne le font clairement pas correctement. C'est tellement banal. Il est si facile. Ils ont du code sur la page qui devrait faire cela. Tout ce qu'ils veulent, c'est qu'ils trouveraient ces erreurs ou ces fraudes délibérées et tout ce genre de choses, mais ils échouent même dans les choses les plus élémentaires. vous connaissez donc l'article de mars du Wall Street Journal. Était-ce OK ? Ils l'ont raté. L'article d'aujourd'hui dit qu'ils avaient du code sur la page. Ils n'auraient pas dû manquer ça.
Et ils ne l'ont pas détecté parce qu'ils ne cherchaient pas la bonne chose.
Corriger.
Pourquoi ne cherchent-ils pas la bonne chose ?
Je construis une technologie de détection de fraude. J'ai un développeur pour coder, je ne le code pas moi-même, mais je règle moi-même l'algorithme depuis dix ans. Donc je peux vous dire que ce qui s'est passé, ce n'est pas la faute de leurs ingénieurs. Ils vivent dans le code. Ils n'auraient pas pris en compte ces scénarios [comme la fraude à la page]. Peut-être que leur code est réglé pour rechercher du trafic de bot et non ce sont des choses qui se produisent sur la page elle-même. [Une situation] où ils auraient dû exécuter le code pour détecter la page, d'où elle venait, puis la comparer au domaine transmis dans la demande d'enchère. Donc, ils n'ont peut-être tout simplement pas su faire cela parce qu'ils sont des codeurs, ils ne sont pas des gens de la technologie publicitaire. Ils ne comprennent pas comment fonctionne la technologie publicitaire et ils ne comprennent pas ce qui constitue ou non une fraude. Il est donc difficile pour eux d'attraper de manière proactive l'un de ces éléments.
La plupart de leur travail est réactif, comme, oh, il y a eu cet énorme botnet, une énorme quantité de fraudes si évidentes. Par exemple, je vais vous dire quelque chose qui s'est passé hier. Vingt-huit millions de clics ont été livrés le même jour à un éditeur particulier. OK, comment est-ce possible. Il n'a même pas passé un contrôle intestinal. Une fois qu'ils voient ce genre de choses, ils reviennent en arrière et découvrent ce que leur détection a manqué, puis ils essaient de rattraper leur retard. C'est vraiment comme la course aux armements. Les méchants sont toujours en avance et parfois ils se trompent et nous voyons quelque chose que nous avons manqué, puis nous essayons de mettre à jour nos algorithmes. Donc, c'est pourquoi ils manquent beaucoup de ces choses. Ils ne savaient même pas qu'il fallait le chercher.
Recevez la newsletter quotidienne sur laquelle comptent les spécialistes du marketing numérique.
Voir conditions.
C'est comme avec les logiciels de sécurité informatique. Ils ne peuvent chercher que ce qu'ils savent. Rien de nouveau ne leur manquera.
Exactement. Vous savez donc qu'une fois qu'une entreprise voit une signature de logiciel malveillant, elle la partage avec tout le monde. Tout le monde peut rechercher la signature du logiciel malveillant.
Les logiciels malveillants jouent-ils un rôle là-dedans ?
Oui. Comment les logiciels malveillants gagnent-ils de l'argent ? Historiquement, ils se sont contentés de récolter les mots de passe des gens et d'autres informations privées. Parce qu'il se trouve sur votre téléphone portable, il peut tout écouter et la plupart des humains ne l'éteignent pas, et lorsque les gens sont à la maison, ils ont un accès Wi-Fi constant.
Désormais, le logiciel malveillant charge les impressions d'annonces en arrière-plan. Ils gagnent de l'argent grâce à la publicité numérique parce que les annonceurs ne savent pas qu'ils paient pour des impressions publicitaires qui finissent par être chargées par des logiciels malveillants. Les annonceurs veulent acheter 10 milliards d'impressions publicitaires. Il n'y a pas assez d'humains pour générer autant de trafic. Alors tous ces faux sites viendront et fabriqueront les quantités à partir de rien et vous les vendront.
S'agit-il d'un problème fondamental avec la vérification des annonces ou est-ce quelque chose qui peut être résolu ?
Du point de vue de la fraude, cela n'a pas été résolu parce que les gens ne veulent pas le résoudre. Permettez-moi d'être un peu plus précis. Les annonceurs qui paient l'argent veulent acheter des centaines de milliards d'impressions publicitaires. Vous ne pouvez pas acheter autant de quantité sans la fraude. La plupart des humains visitent une petite quantité de sites à plusieurs reprises. C'est là que vous obtenez les grandes quantités d'audiences humaines. Lorsque vous entrez dans la longue traîne, il n'y a tout simplement pas assez d'humains pour générer autant d'impressions publicitaires. La seule façon de le faire est d'utiliser l'activité du bot pour charger à plusieurs reprises les pages Web et provoquer le chargement des annonces.
Comment cela marche-t-il?
En conséquence, pratiquement chaque intermédiaire, chaque bourse d'annonces, chaque éditeur est incité à recourir davantage à la fraude. C'est pourquoi j'ai dit que la fraude publicitaire n'a pas été résolue parce que personne ne veut la résoudre. Même les annonceurs, même les intermédiaires. Tout le monde veut que ça continue parce qu'ils gagnent de l'argent. Les principales personnes lésées sont les éditeurs. Donc les grands éditeurs, les journaux, ils ne peuvent plus rivaliser avec les faux sites.
Je suis peut-être naïf, mais je pense qu'en tant qu'annonceur, je voudrais obtenir les vues réelles pour lesquelles je paie.
Ils ne savent pas. Ils pensent qu'ils l'obtiennent parce qu'ils reçoivent des feuilles de calcul Excel qui leur indiquent combien d'annonces ils ont achetées et combien de clics ils ont obtenus. Ils n'ont jamais posé la question de suivi. « Ces vraies publicités sont-elles vues par de vraies personnes ? Et ces clics sont-ils réels ? »
J'écris à ce sujet depuis 10 ans. Parmi les acheteurs d'annonces, ils savent que cela existe, mais en gros, ils diront : "Eh bien, je pense que cela arrive à quelqu'un d'autre parce que [notre société de vérification des annonces] nous dit que la fraude est inférieure à 1 %."
En fait, je vais vous montrer dans mon article d'hier : "Une façon de reconnaître les fausses demandes d'enchères est de voir s'il y a un deviceID présent - Identifier for Advertising (IDFA) ou Google Advertising ID (AAID). Alors que font les méchants ? Ils transmettent un deviceID dans la demande d'enchère. Si la détection de fraude ne vérifie pas si le deviceID est un vrai, tout ce qu'ils ont à faire est de générer un deviceID aléatoire qui a le même format que les vrais. La détection de fraude ne vérifiait que la présence de l'identifiant de l'appareil, pas s'il était réel ou non. Il est donc ridiculement simple de vaincre ce type de détection de fraude. »
Est-il utile de vous demander ce qui peut être fait ou ce qui devrait être fait ?
Nous ne pouvons pas résoudre ce problème progressivement. Nous devons faire planter tout le château de cartes pour que nous puissions réellement revenir à la vraie publicité numérique et tout ce que cela signifie, ce sont des annonceurs comme les sociétés CPG, les services financiers ou quiconque achète auprès de vrais éditeurs comme le New York Times, le Wall Street Journal, Hearst, Condé. C'est là que sont les humains.
Nous avons donc eu dix ans de faux sites et tous les échanges d'annonces au milieu, crachant essentiellement de fausses mesures pour dire que vous avez obtenu autant d'impressions d'annonces. Vous avez obtenu un taux de clics si élevé que tout le monde pensait que cela fonctionnait vraiment très bien lorsqu'il était fabriqué à 100 %. Pourtant, la façon de résoudre ce problème est que nous devons faire planter tout cela et le faire tomber afin que nous puissions revenir aux annonceurs qui achètent des publicités aux éditeurs.
Lisez ceci : L'incident de fraude publicitaire de Gannett met en lumière les inquiétudes concernant la publicité programmatique