Это сообщение в блоге представляет собой исследование типичного жизненного цикла ресурсов, которые обслуживают вредоносную медийную рекламу или, как мы их называем, вредоносную рекламу.

Вредоносная реклама - это медийная реклама, которая обслуживает Javascript с угрозами, обычно целенаправленно, с целью взлома браузера, обслуживания вредоносных программ или мошенничества с рекламой. По сути, любую медийную рекламу, которая представляет собой кодовую угрозу для сеанса просмотра посетителя, можно рассматривать как злонамеренную рекламу.

За последние несколько месяцев мы отслеживали в среднем от 10 до 15 миллиардов показов в месяц для нашего продукта блокировки в реальном времени. При уровне блокировки в масштабе всей сети, который колеблется в районе 0,5% для нарушений безопасности, это дает нам образец набора инцидентов размером ~ 75 млн, на которые можно взглянуть с высоты птичьего полета.

Вот некоторые мелочи, основанные на данных за последние 30 дней:

Чтобы выразить эту статистику словами: вредоносные кампании покидают ландшафт медийной рекламы так же быстро, как и входят в нее.

Вот полезная визуализация:

На линейном графике выше показан дневной объем, наблюдаемый в рамках типичной кампании по размещению вредоносной рекламы, которая наблюдалась на нашем радаре в течение февраля.

Кампания быстро достигает пика объема в течение двух дней после ее первого появления, прежде чем она превратится в тонкую струйку. Вполне вероятно, что в ближайшие 30–60 дней мы больше никогда не увидим эту кампанию.

Вот визуальное представление частоты, с которой появляются подобные кампании:

Этот график показывает, сколько новых кампаний вредоносной рекламы было обнаружено по дням в феврале. Большинство этих кампаний будут следовать аналогичной схеме быстрого пика в течение 48 часов после запуска, прежде чем они уйдут в относительно незначительные объемы.

Быстрый темп, с которым эти кампании появляются, исчезают и меняются, - вот что создает истинное чувство безотлагательности при немедленном смягчении последствий.

Подводные камни сканирования рекламы

На сегодняшний день наша отрасль объединилась вокруг сканирования рекламы, чтобы решить многие проблемы безопасности и качества, которые мешают медийной рекламе. Сканирование влечет за собой загрузку рекламных тегов в управляемое программное обеспечение, которое имитирует различные среды браузера, типы устройств, местоположения, критерии таргетинга и т. Д. Когда сканер запускает и обнаруживает инцидент, он предоставляет отчет с соответствующими деталями, относящимися к этому показу. Отчетность обычно включает в себя такие элементы, как снимок экрана с отображаемым креативом, цепочку вызовов объявлений и сводку вовлеченных поставщиков.

Обычно, когда заказчику сканирования отправляется отчет, связанный с инцидентом, разрешение проблемы представляет собой многогранный процесс, который выглядит примерно так:

  • Клиент должен определить, какой из тегов их вышестоящих партнеров связан с инцидентом в отчете, и отправить отчет с запросом на удаление креатива или покупателя из своего инвентаря.
  • Исходный источник спроса клиента должен проанализировать сторонний отчет, чтобы определить, какой покупатель отнести к рассматриваемому креативу.
  • Затем партнер по спросу должен внести соответствующие изменения в свою платформу показа рекламы и уведомить сканирующего клиента о том, что тег теперь очищен.
  • На этом этапе заказчик сканирования либо повторно отсканирует тег для правильной оценки, либо приступит к его установке в реальном времени.

Сканирование рекламы, безусловно, не лишено своих достоинств - оно в значительной степени помогает для обнаружения проблем, но обычно сроки исправления длинны и растянуты. Каждый новый инцидент - это гонка на время, поскольку средняя вредоносная кампания наиболее активна в течение первых 48 часов. К сожалению, описанный выше процесс часто затягивается намного дольше из-за того, что две, три или более сторон требуют туда и обратно. Другой серьезной проблемой при сканировании рекламы является растущая планка, которую задают злоумышленники, поскольку они продолжают экспериментировать с обнаружением и уклонение.

Введите Confiant

Описанный выше длительный цикл обратной связи был основным двигателем в нашей разработке продукта блокировки в реальном времени. Хотя вышеупомянутый процесс действительно помогает идентифицировать некоторых злоумышленников, он, к сожалению, на самом деле не решает проблему перенаправления. Блокировка в реальном времени работает.