Fraude de Cliques - Como Detectar e Prevenir

Tudo neste artigo:

• O que é Fraude de Cliques?
• Como a Fraude de Cliques é feita?
• Servidores Headless Chrome
• Botnets
• Mão de obra humana barata
• Detectando Fraude de Cliques
• Detectando Fraude de Cliques por endereço IP
• Nós de Saída Tor e Fraude de Cliques
• Prevenindo Fraude de Cliques com Captcha
• Prevenindo Fraude de Cliques com ReCaptcha
• Prevenindo Fraude de Cliques com Cloudflare
• Fraude de cliques no Google Ads
• A Palavra Final sobre Proteção e Mitigação de Fraude de Cliques

Fraude de cliques é o processo de clicar em anúncios com cliques que não são de clientes reais, inflando artificialmente o valor que um anunciante paga.

Há muita fraude de cliques na internet, mesmo em grandes plataformas como Google Ads e Facebook.

Historicamente, as plataformas de anúncios têm sido lentas para agir, pois infelizmente elas se beneficiam involuntariamente da fraude de cliques.

Um navegador headless é um navegador web que foi projetado para ser operado de forma automatizada, com robôs clicando em links e anúncios.

Geralmente são navegadores 'headless chrome' que rodam em servidores em data centers.

Estes tendem a ser fáceis de detectar, pois os data centers têm endereços IP bem conhecidos.

São computadores de pessoas normais que foram infectados com malware que executam navegadores headless em segundo plano.

Nessas circunstâncias, as pessoas normalmente não sabem que seu computador foi sequestrado.

Estes são mais difíceis de detectar, pois o endereço IP é de um computador que seria de um usuário legítimo.

No que equivale ao crime organizado online, vemos mão de obra humana barata sendo usada para navegar e clicar em anúncios.

Surpreendentemente, a fraude de cliques se tornou um grande negócio para o crime organizado, com alguns relatórios sugerindo que fica apenas atrás do tráfico de drogas.

O indicador óbvio de fraude de cliques é a baixa taxa de conversão, mas isso pode ser difícil de identificar quando múltiplos fluxos de tráfego são misturados em um website.

Um endereço IP é um número de 12 dígitos que referencia um computador específico na internet.

Endereços IP são fornecidos aos computadores pelo provedor de serviços de internet (ISP) do computador.

A fraude de cliques mais comum é realizada com robôs headless chrome rodando em servidores.

Estes são normalmente fáceis de detectar, pois comumente usam provedores de serviços de internet em nuvem, como Amazon Web Services, Azure ou Google Cloud.

Os endereços IP dos 'clicadores' podem ser consultados em diretórios públicos de endereços IP que indicam a qual provedor de serviços de internet o endereço IP pertence.

Tráfego vindo de um provedor de nuvem é quase sempre tráfego não-humano.

Tor, também conhecido como a internet anônima, é um serviço de anonimização global que torna difícil (senão impossível) determinar quem está solicitando uma página web.

As pessoas podem usar Tor por razões legítimas de privacidade, mas normalmente, estes não são clientes.

Convenientemente, o Projeto Tor publica uma lista de Nós de Saída Tor.

Esses nós são os endereços IP que pertencem ao Tor, e os visitantes parecerão ter um desses endereços IP.

É justo assumir que quaisquer cliques originados do Tor serão improváveis de converter e podem ser fraudulentos.

Outra forma é ver quão rapidamente as coisas estão sendo clicadas.

Normalmente há um atraso significativo entre o primeiro e segundo clique de um humano, enquanto a maioria dos robôs de fraude de cliques não são tão sofisticados.

Neste cenário, podemos ver um visitante clicar em um elemento da página logo após ela ter carregado, em vez de esperar os poucos segundos que um humano levaria para ler a página.

Captcha (Teste de Turing Público Completamente Automatizado para Distinguir Computadores e Humanos) são os desafios que todos já vimos online para ajudar a prevenir bots.

Em resumo, esses captchas antiquados não são mais eficazes, e também degradam a experiência do usuário.

Eles são normalmente facilmente vencidos por serviços de resolução de captcha, que utilizam trabalho gratuito ou barato para resolvê-los em tempo real em nome de spammers e fraudadores.

ReCaptcha é a implementação do Google do Captcha. Houve três versões, das quais v2 e v3 são atualmente suportadas.

O ReCaptcha v2 do Google é aquele que pede aos usuários para clicar em itens em uma fotografia:

O ReCaptcha v3 do Google, no entanto, é completamente invisível. Funciona perfilando o navegador, endereço IP e comportamento dos usuários.

É notavelmente eficaz e, por ser invisível, produz uma experiência de usuário perfeita.

O Google ReCaptcha v3 funciona bem graças ao enorme alcance do Google na internet.

Ele pode ver o comportamento de endereços IP individuais através de websites e, consequentemente, pode construir um perfil muito melhor da natureza da atividade daquele IP.

O Google ReCaptcha v3 retorna uma pontuação entre 0 e 1, com 1 sendo muito provavelmente humano, e 0 sendo quase certamente automatizado. A maioria das pontuações são 0.1 ou 0.9, com pouco no meio, sugerindo que o Google ReCaptcha v3 pode discernir tráfego com pouca incerteza:

O Google ReCaptcha v3 tem um painel Admin, que permite ver a distribuição do tráfego e sua pontuação. Números maiores que 0.5 indicam provavelmente humano, enquanto números mais próximos de 0 indicam provavelmente bots ou outro tráfego abusivo.

O Google ReCaptcha v3 realmente é o padrão ouro de proteção contra fraude de cliques online.

O Google Recaptcha v3 está integrado com o Linkly e forma o núcleo da proteção contra fraude de cliques do Linkly.

Cloudflare, o maior provedor de DNS e CDN do mundo, tem um produto empresarial para detecção de bots:

Diferentemente do ReCaptcha do Google, que roda no navegador do usuário, este funciona inserindo a Cloudflare como um proxy entre seu website e o usuário.

Cloudflare, graças a ser um dos maiores provedores de borda da internet, pode ver quais usuários exibem comportamento semelhante a bots, e sinalizá-los adequadamente.

Como o ReCaptcha, a proteção contra bots da Cloudflare fornece uma pontuação, que é fornecida junto com a solicitação de uma página do seu site.

Diferentemente do ReCaptcha, no entanto, o serviço de proteção e mitigação de bots da Cloudflare é atualmente um produto apenas empresarial.

**Fraude de cliques acontece com Google Ads. **

Anedoticamente, alguns dizem que até 20% do tráfego comprado do Google é fraudulento.

Pode ser um concorrente tentando desperdiçar seu orçamento, ou um editor clicando em anúncios no site para inflar suas receitas do Adsense.

Acontece tanto que uma indústria inteira foi criada em torno de tentar mitigar fraude de cliques especificamente do Google Ads.

Empresas como Clixtell, ClickCease, e ClickGuardian (entre talvez 20 mais) existem apenas para tentar sinalizar fraude de cliques do Google.

O Google define exatamente o que considera ser cliques inválidos, e tem um processo inteiro para solicitar um reembolso. Neste último caso, você precisará fornecer evidências claras de fraude de cliques.

O problema de usar esses serviços é que eles dependem de métodos excessivamente simplistas de detectar fraude de cliques.

De modo geral, usar a Proteção contra Fraude de Cliques ReCaptcha V3 do Linkly é uma solução eficaz aqui, e tem a vantagem adicional de ter um plano gratuito.

É incrivelmente difícil capturar todas as formas de fraude de cliques e outros comportamentos abusivos online.

Existem incentivos financeiros para fraudadores e redes de anúncios, com o anunciante sendo deixado para pagar a conta.

Usar ferramentas como Cloudflare ou ReCaptcha, ou a própria integração ReCaptcha do Linkly, pode ajudar a reduzir a fraude de cliques no geral.