解密：看不见的广告

与效果广告不同，品牌广告是通过主动向潜在用户展示，进行品牌曝光和新客获取，很难通过转化率等数据评估其实际的广告效果，导致品牌广告成为广告暗刷的重灾区，部分逐渐演变为数字营销过程中“看不见的广告”。

广告暗刷是一种非常典型的广告作弊行为，例如在设备屏幕上并没有播放广告的情况下，暗地里偷偷触发广告进行追踪上报以伪造广告播放假象，早期的移动互联网广告刷量已发展为成熟的产业链，如今OTT广告市场规模持续向上增长，加上其广告暗刷难以被监测，OTT设备被盯上，成为品牌广告暗刷产业链的新宿主。

威胁猎人基于对OTT暗刷流量监测及分析，发现OTT广告暗刷的情况十分普遍。在暗刷上报的流量中，除涉及OTT设备，还存在涉及移动端和PC端的虚假广告流量，下文我们将为大家详细解读品牌广告欺诈整体态势及作弊流程。

OTT终端包括：智能电视、电视盒子、智慧屏、智能音箱（带屏）、唱歌机、投影仪等

1.1 遭受欺诈的品牌广告主类型

威胁猎人基于OTT暗刷流量监测捕获到大量广告欺诈数据，涉及到日用品、化妆品、食品饮料等多个行业，其中食品饮料类作为消费品行业的主力军，成为遭受欺诈占比最大的广告主。

注：生活日用品类主要包括洗发水、牙膏、肥皂、洗衣液等

家居用品类主要包括家具、家纺、厨具、卫浴用品等

遭到广告欺诈的消费品类广告主品牌排名如下：

1.2 品牌广告伪造的播放情况

从捕获数据中的欺诈广告形式来看，欺诈广告中以15秒的视频广告为主，这类广告占捕获欺诈广告总量的99%以上。

从欺诈广告的播放情况来看，OTT暗刷伪造并上报的广告中，大部分都是完整播放完毕的，100%播完的占比达到78%，这一数据明显不符合正常用户的行为，现实情况下有耐心将广告看完的用户并不多。

视频广告包括开始播放、播放中、完成播放等阶段，不同阶段都会进行广告追踪，并将流量上报至广告监测平台，实际上这些广告并未播放，仅仅是通过OTT暗刷伪造了虚假的广告播放情况，并将虚假追踪情况上报。

OTT广告欺诈的具体播放情况如下：

1.3 品牌广告伪造的终端情况

在广告欺诈刷量的作弊链路中，上报的作弊广告流量往往会包含动态变化的伪造设备参数信息，模拟真实的设备信息及其展现广告的数据情况，以欺骗广告主。

威胁猎人针对伪造的广告播放数据进行分析发现，尽管是通过OTT设备执行暗刷，但伪造并上报的虚假广告数据里，覆盖了三大类终端，分别是：移动端、OTT端、PC端。

广告伪造的移动端中包含了手机及平板，其中以手机为主，覆盖以下多个手机品牌：

广告伪造的OTT终端中，包含了智能电视、电视盒子、智慧屏、智能音箱（带屏）、唱歌机、投影仪等，覆盖以下多个OTT终端品牌：

2.1 刷量模块：动态加载并发起刷量请求

刷量模块通过设备内置的后门程序进行动态加载。在广告作弊的OTT设备上，通常内置了一个后门程序，这个程序本身没有明显恶意行为，仅仅是充当加载器使用。

当加载器启动之后，会从指定地址读取配置文件，配置文件中记录了作弊模块的下载地址。加载器会基于这些地址将刷量模块一一下载到设备指定的目录中，再通过DexClassLoader的方式将刷量模块动态加载起来。

这种方式使得作弊行为更加隐蔽，且具备可控性，一旦作弊行为被发现，可以通过让作弊模块的下载地址失效达到“毁尸灭迹”的效果。

2.2 刷量后台：云端控制刷量时间、频率等

刷量模块开始进行动态加载后，会向刷量后台发起刷量请求。刷量后台通过“云端控制”，可以指定刷量的时间段、频率、区域、刷量对象、数量媒体、伪造设备信息等，例如控制某些时间段、某些区域不执行刷量。云控的方式使得整个暗刷过程更加可控，随时可以通过后台云端对刷量进行精细化控制。

从威胁猎人捕获到的刷量数据频率来看，通常每10秒钟发起一次刷量请求，但实际刷量的频率会大于10s，主要是由于部分请求会返回“请求过于频繁”、“超出频率限制”等，这种情况下就不会执行刷量。

2.3 广告监测平台：虚假的广告展示

当刷量模块及后台进行广告暗刷后，会将虚假的广告播放情况上报至广告监测平台。具体流程体现在：刷量模块从后台获取刷量信息并对内容进行解析，而后针对解析出来的广告内容，调用一个名为showAd的函数，让其从代码上看起来是有在设备上进行广告展示的，如下：

通过对捕获刷量数据代码的深入研究发现，实际并没有任何广告展示相关的代码，仅仅是触发了广告追踪上报，也就是执行了广告暗刷：

如今，越来越多的企业开始关注广告投放的效果，期望品牌广告为数字营销发展带来更多的确定性。

如果仅仅关注广告覆盖、用户浏览等单一指标，很难真正了解品牌广告的实际效果，需要在广告流量监测及欺诈行为识别上，保持更加主动的姿态，通过有效的广告欺诈监测，应对品牌广告所面临的长期效果差、效果难度量等难点。

威胁猎人长期在黑灰产对抗一线，基于威胁情报构建针对广告欺诈领域的情报监测方案。通过规模化搭建流量监测的蜜罐集群，对主流的OTT和移动终端设备进行全面监测，并基于“广告欺诈情报分析引擎”进行流量解析及分析，为快消、日化等各大品牌企业实现从欺诈风险感知、欺诈流量定位到虚假刷量存证的反欺诈闭环。

3.1 及时感知欺诈风险

随着移动互联网广告市场高速发展，从早期的移动广告演变为智能电视广告、智能手机广告等多种形式，广告作弊来源终端及作弊手法更加多元，大规模广告欺诈行为在快消、日化等各行业愈演愈烈，各大广告主迫切希望减少无效的广告投入，却很难及时感知广告欺诈风险。

2023年，威胁猎人成立广告反欺诈实验室，通过部署大量的终端设备作为蜜罐，监测其广告播放的真实性，包含应用投放广告、手机投放广告、电视投放广告等，基于程序化机制实现对设备集群的批量操控、流量解析等，同时通过欺诈分析引擎实现对虚假流量的有效监测，帮助广告主及时感知欺诈风险，对最新欺诈动态进行预警，例如某品牌设备/视频媒体平台存在虚假播放量上报、虚假播放量规模波动变化、行业内欺诈排名变化等。

3.2 准确定位欺诈流量

为了对广告投放策略进行进一步优化，广告主需要准确定位欺诈流量，清晰了解广告欺诈流量具体信息、作弊规模/量级等。在广告欺诈刷量的作弊链路中，上报流量通常包含了动态变化的伪造设备参数信息等，模拟真实设备展现广告的数据以欺骗广告主。

针对广告欺诈流量，威胁猎人能够从截取的欺诈流量中，通过“广告欺诈情报分析引擎”提取设备参数信息，用于欺诈流量的精准定位，目前“欺诈设备画像库”中OAID特征总量达到7000w+、CAID目前总量达到61w，为广告主提供可快速定位虚假流量的判断依据，针对性优化品牌广告投放策略，帮助广告主在投放决策阶段规避无效经费投入。

3.3 虚假刷量存证

及时获取欺诈流量的有力存证也是实现广告反欺诈的重要一环，威胁猎人从线上及线下不同维度进行广告欺诈流量的取证。

线上通过“广告欺诈情报分析引擎”完成欺诈流量解析及鉴别后，将虚假的刷量流量留作存证，线下通过在广告反欺诈实验室部署大量的终端设备，实现全天候的设备界面监控，实时还原真实播放情况。

通过在时间维度的对上报流量与录屏存证（是否真实播放了广告内容）关联分析，进一步证实虚假刷量的存在，以便回溯取证，帮助企业在欺诈问题定性上具备有力的解释说明依据。最终，从感知、定位、存证等不同维度实现广告反欺诈流程的闭环。

如果您也存在大规模广告欺诈的困扰

欢迎扫码提交申请

我们将与您进一步沟通