Siklus Berbahaya Click Spam

Penipuan dalam Dunia Mobile Adtech

Traffic palsu selalu menjadi masalah besar dalam industri adtech. Produk data non-fisik memang memberikan banyak celah untuk manipulasi karena skalanya besar dan Anda tidak mungkin memverifikasi setiap pengguna.

Industri adtech telah mengupayakan banyak hal untuk mengatasi penipuan, tetapi metode penipuan senantiasa berkembang dan menjadi lebih rumit demi menghadapi solusi pencegahan penipuan yang baru saja dikembangkan.

Kerugian industri adtech akibat traffic palsu diperkirakan mencapai $100 miliar pada tahun 2023 berdasarkan Juniper Research—dan masih akan bertambah. Para pakar industri memperkirakan bahwa 31% jumlah instal aplikasi iOS dan 25% jumlah instal aplikasi Android merupakan instalasi palsu.

Jenis-jenis utama dari penipuan iklan dalam industri mobile adalah:

• Click spam atau click flooding (penipu menggunakan link MMP untuk membuka beberapa halaman toko aplikasi di perangkat pengguna tanpa diketahui pengguna, dan jika pengguna menginstal salah satu aplikasi itu (secara organik), maka penipu tetap dianggap mendatangkan instal);

• Click hijacking (jenis penipuan yang lebih canggih, di mana penipu memprediksi instal yang didatangkan oleh provider lain dan merebut klik itu tepat sebelum pengguna menginstal aplikasi);
• SDK spoofing (penipu memalsukan instal aplikasi, meniru aktivitas pengguna sungguhan, dan menggunakan perangkat mobile sungguhan, padahal pengguna sebenarnya tidak pernah menginstal aplikasi).

Sebagai perusahaan produk adtech veteran dengan pengalaman lebih dari 10 tahun, tujuan kami adalah memberikan nilai dan menjadi mitra bagi klien kami, bukan sekadar provider layanan biasa. Itulah mengapa kami mendengarkan para pelanggan kami dan mengatasi masalah mereka secara proaktif.

Beberapa klien di wilayah APAC mengkhawatirkan masalah kepercayaan terhadap biaya UA realistis yang mereka peroleh dari beberapa mitra. Meskipun angka-angka ini bagus dan membuat para pemangku kepentingan perusahaan senang, kami merasa ada yang salah karena sepertinya jauh dari kata realistis.

Penyelidikan yang dilakukan oleh tim analisis dan produk kami menemukan jumlah click spam yang tak terduga dari beberapa mitra user acquisition utama.

Meskipun jumlah click spam telah berkurang di negara-negara Barat¹, jenis penipuan ini masih banyak terjadi di beberapa wilayah, termasuk APAC. Masalah ini masih terjadi di pasar-pasar baru, dan industri harus memprioritaskan masalah ini karena dapat berdampak pada banyak pemangku kepentingan.

Apa itu Click Spam?

Click spam, kadang disebut sebagai click flooding, adalah aktivitas traffic palsu yang menyalahgunakan celah dalam model atribusi “last touch”. Penipu membuka beberapa toko aplikasi² di perangkat pengguna sungguhan tanpa diketahui pengguna (atau tanpa melihat iklan atau halaman toko aplikasi) dan dianggap mendatangkan instal, padahal secara teori instal dapat terjadi secara organik dalam 7 hari berikutnya. Selama jendela atribusi ini, asalkan “klik” dari sumber penipu merupakan titik sentuh terakhir, MMP akan menganggap penipu mendatangkan instal.

Dengan kata lain, jika pengguna (yang perangkatnya disalahgunakan) mengunduh aplikasi secara organik selama jendela atribusi, maka penipu masih dianggap mendatangkan instal.

Bagaimana Cara Kerja Click Spam?

Ada beberapa cara mudah yang bisa dilakukan penipu untuk melakukan click spam dalam skala besar:

1. Menggunakan salah satu dari banyak DSP (demand-side platform) mandiri (atau kadang disebut platform milik sendiri) yang biasanya rentan disalahgunakan karena kurangnya moderasi. Penipu membeli inventory termurah yang ditawarkan.
2. Aset creative yang diunggah berisi kode berbahaya yang memerintahkan perangkat untuk membuka beberapa halaman toko aplikasi (kadang 20-30 sekaligus) di latar belakang, tanpa diketahui oleh pengguna. Proses ini disebut ad stacking.
3. Semua klik dari perangkat pengguna sungguhan selama 7 hari berikutnya kini dianggap sebagai usaha penipu.
4. Jika pengguna menginstal aplikasi secara organik selama jendela atribusi, maka penipu tetap dianggap mendatangkan instal.

Click spam bekerja berdasarkan asumsi dan menarget aplikasi-aplikasi yang paling mungkin diinstal secara organik oleh banyak kelompok pengguna. Biasanya aplikasi-aplikasi ini memiliki peringkat tinggi, banyak diinstal, menawarkan layanan baru, populer di kalangan pemilik perangkat baru, dan lainnya.

Skala Click Spam

Click spam cenderung menawarkan CPI (cost per install) yang jauh lebih rendah daripada sumber berbayar resmi, dan kadang memberikan tingkat engagement yang lebih tinggi (dengan berpura-pura mendatangkan traffic organik, padahal pengguna memang kemungkinan besar akan menggunakan aplikasi itu). Oleh karena itu, perusahaan yang memberikan traffic palsu seperti ini lebih mungkin menjadi mitra user acquisition utama.

Penyelidikan pertama kami menemukan CVR (tingkat konversi) click-to-install yang tidak normal sebesar 0,025% (dengan standar industri sekitar 1-2% tergantung jenis dan vertikal aplikasi). CVR tidak normal ini memberikan pertanda yang perlu diwaspadai dan mendorong kami untuk menyelidikinya lebih lanjut.

Kami menemukan bahwa upaya reverse engineering pada angka-angka ini membuat performa mereka terlihat tidak wajar:

• Untuk memperoleh 100.000.000 (100 juta) klik, bahkan dengan CTR (click-through rate) yang sangat tinggi sebesar 5% (untuk video full-screen), seharusnya ada total 2.000.000.000 (2 miliar) impression setiap hari.
• Untuk menghasilkan jumlah impression ini, bahkan dengan CPM (cost per mille) sangat rendah sebesar $0,1, advertiser harus mengeluarkan $200.000 per hari.
• Terakhir, dengan perkiraan tingkat konversi normal sebesar 1%, jumlah instal yang dihasilkan oleh sumber seharusnya mendekati 1.000.000 per hari.

Aspek penting dari industri programmatic mobile adtech adalah bahwa SSP (supply-side platform) Tier 1 yang memberikan traffic berkualitas tinggi bekerja secara eksklusif pada model CPM.

Perjanjian CPI (cost-per-install) atau CPA (cost-per-action) antara provider layanan dan advertiser adalah hal yang lumrah (bahkan sering terjadi). Advertiser, yang berpikir bahwa mereka hanya akan membayar untuk instal atau tindakan, merasa anggaran lain perusahaan bisa digunakan untuk pertumbuhan.

Dalam kasus di atas, dengan CPI $0,1 per instal dan 25.000 instal per hari, anggaran campaign harian adalah $2.500, padahal anggaran campaign harian sesungguhnya dalam skala ini seharusnya adalah $200.000.

Yang terasa seperti penghematan besar sebenarnya adalah kerugian anggaran.

Contoh di atas menunjukkan skala sesungguhnya dari click spam untuk satu aplikasi mobile di salah satu pasar terbesar. Tentunya, tidak semua perusahaan traffic palsu meninggalkan jejak yang jelas seperti ini. Dalam beberapa kasus, skalanya mungkin lebih kecil³. Namun, manajer UA sebaiknya selalu memperhatikan jumlah klik yang membuka peluang atribusi dan CVR click-to-install.

Siklus Berbahaya?

Masalah click spam dalam skala ini jauh lebih besar daripada masalah anggaran bocor. Anggaran performa marketing tahunan (beserta rencana bisnis dan laporan investor) disusun berdasarkan hasil dari “sumber UA yang kelihatannya terbaik”. Hal ini menciptakan siklus ketergantungan yang berbahaya pada sumber traffic itu.

Mari lihat bagaimana click spam berdampak pada banyak pemangku kepentingan.

1. Saat peluang muncul, mitra UA palsu mulai memberikan traffic dan instal dengan biaya lebih rendah daripada mitra lainnya, serta menyaingi (atau bahkan melampaui) KPI engagement mitra lainnya. Dalam skala kecil, penurunan traffic organik dapat dengan mudah terabaikan.
2. Manajer UA melaporkan hasil ke manajer departemen performa. Dalam banyak kasus, departemen UA terpisah dengan departemen traffic organik/ASO, yang akan memeriksa penurunan traffic organik (dan pasti memperoleh hasil tes A/B yang tidak wajar). Karena departemen marketing yang berbeda dalam satu perusahaan mungkin tidak berkomunikasi langsung secara rutin, penurunan traffic organik mungkin tidak akan ketahuan oleh departemen performa. Akibatnya, sulit mengaitkan penurunan itu dengan sumber traffic berbayar baru.
3. Manajer departemen performa menyusun anggaran tahunan berdasarkan angka-angka yang diberikan oleh sumber UA palsu.
4. Angka-angka ini, termasuk biaya user acquisition, pada akhirnya akan berkontribusi dalam rencana bisnis tahunan yang dipresentasikan oleh manajemen atas kepada para investor.
5. Setelah rencana bisnis disetujui, para investor akan memiliki ekspektasi berdasarkan angka-angka yang salah.

Karena beberapa sumber traffic lain kesulitan untuk bersaing dengan sumber traffic UA palsu dalam hal biaya UA dan engagement, ketergantungan perusahaan terhadap penipu itu pun bertambah.

Dalam level makro, keberhasilan click spammer (dan fakta bahwa klien dan MMP membiarkannya terjadi) berdampak pada keseluruhan industri mobile. Tindakan click spammer terus berlanjut karena mereka memiliki kesempatan lebih besar untuk ditampilkan dalam indeks performa MMP berkat metodologi yang mereka gunakan (dan terbebas dari radar perlindungan terhadap penipuan):

• Peringkat volume – jumlah instal: Taktik peluang yang digunakan oleh click spammer bergantung pada peluang terjadinya instal. Jadi, mereka harus mendatangkan volume traffic dalam jumlah besar untuk meningkatkan peluang instal.
• Peringkat IAP/retensi: Karena instal yang didatangkan oleh click spammer sepenuhnya organik, wajar saja jika perusahaan-perusahaan ini berhasil mencapai standar organik.

Efek Negatif dari Click Spam

1. Biaya CAC. Jika manajer UA bergantung pada angka-angka itu, artinya investasi mereka didasarkan pada prediksi semata.
2. Traffic organik. Umumnya, click spam berpura-pura mendatangkan traffic organik agar menguntungkan mitra penipu.
3. Biaya MMP. Karena instal ini dianggap berbayar, biaya MMP pun meningkat.
4. Ekspektasi engagement yang tidak realistis dari mitra berbayar lainnya. Ada perbedaan utama antara traffic organik dan berbayar. Untuk traffic organik, pengguna biasanya memang ingin mengunduh dan menggunakan aplikasi, sehingga sesuai dengan strategi pull marketing. Sementara itu, pengguna yang diperoleh melalui sumber berbayar mungkin kurang ingin menggunakan aplikasi tanpa dorongan.
5. Peringkat toko aplikasi. Konversi rendah antara jumlah tayangan halaman toko aplikasi dengan jumlah instal memberikan informasi kepada toko aplikasi bahwa pengguna tidak terlalu tertarik dengan aplikasi yang dipromosikan, sehingga menurunkan peringkat aplikasi.
6. Kurang menghargai sumber traffic yang sah. Ad exchange Tier 1 bekerja secara eksklusif pada model CPM karena transparansi maksimum. Meskipun model CPI/CPA terlihat mendatangkan hasil yang lebih “jelas” dan dapat diprediksi, penipu menjadi lebih mudah melakukan click spam dan penipuan lain dalam skala besar.
7. Biaya kuota bagi pengguna. Di negara-negara yang kuotanya terbatas dan mahal, seperti India, mayoritas pengguna membeli paket kuota terbatas dari operator seluler dan menggunakan internet dengan bijak. Ketika penipu membuka beberapa halaman toko aplikasi di latar belakang, proses memuat halaman bisa menghabiskan banyak paket kuota pengguna.

Mendeteksi dan Mencegah Click Spam

1. Mintalah jumlah impression. Click spammer biasanya tidak membagikan jumlah impression. Mereka malah membagikan jumlah klik dan instal—karena suatu alasan. Karena impression tidak ditampilkan ke pengguna sungguhan, click spammer harus melakukan hardcode dulu.⁴
2. Periksa tingkat konversi. Tingkat konversi click-to-install akan menunjukkan ketidakseimbangan dan sangat jauh dari standar industri berdasarkan vertikal.
3. Hitung kelayakan biaya. Menghitung biaya yang dikeluarkan mitra untuk mendatangkan pengguna dan membandingkannya dengan jumlah tagihan dapat membantu Anda menyadari aktivitas yang mencurigakan.
4. Lakukan pengujian. Jika Anda mencurigai mitra UA melakukan click spam, cara paling andal untuk memeriksanya adalah dengan menjeda layanan mereka selama 10 hari (karena jendela atribusi standar adalah 7 hari). Lalu, periksa apakah ada pertumbuhan jumlah instal organik atau tidak.
5. Pantau traffic Anda.

• Organik: Penurunan traffic organik secara tiba-tiba mungkin menunjukkan bahwa sudah waktunya Anda melakukan audit pada mitra-mitra baru. 
• Assisted install dalam traffic berbayar; Meskipun assisted install dan sumber ganda mungkin terjadi, assisted install yang tidak proporsional seharusnya menjadi pertanda dan membutuhkan penyelidikan lebih lanjut.

6. Terapkan proses uji tuntas yang tepat. Kami menyarankan untuk melakukan penyelidikan mendalam terhadap perusahaan. Ini berarti memeriksa jumlah karyawan, meninjau referensi dari klien-klien mereka, dan mempelajari studi kasus mereka untuk memastikan Anda bekerja sama dengan mitra yang dapat dipercaya.

Aspek penting lain dari proses uji tuntas adalah mengajukan pertanyaan-pertanyaan yang tepat. Mengetahui sumber traffic mitra dan cara mereka mengakses traffic ini dapat menjadi kunci yang penting. “Bumbu rahasia” dalam adtech adalah teknologi di baliknya. Jadi, kerahasiaan dalam aspek-aspek ini haruslah dicurigai.

Sayangnya, uji tuntas saja tidak cukup untuk mencegah penipu menghabiskan anggaran Anda. Seperti yang disebutkan sebelumnya, beberapa penipu dalam studi kasus kami ditampilkan dalam rating performa industri.

7. Berikan insentif yang tepat untuk tim UA. Saat ini, performa manajer UA diukur berdasarkan ROAS. Sudut pandang ini harus diarahkan untuk mendatangkan traffic yang bebas penipuan.
8. Jangan abai. Jika ada hal yang sepertinya terlalu baik, mungkin saja itu pertanda.

Catatan:

_¹ Meskipun jumlahnya lebih rendah di negara-negara Barat, click spam masih ada akibat kelalaian dan ketidakpedulian pembeli yang membiarkannya terjadi. Namun, kebijakan perusahaan Barat biasanya lebih ketat dan mencakup proses-proses yang memastikan uji tuntas dilakukan dengan baik.  Back ⤴️

² Kami sengaja tidak mencantumkan jenis perangkat atau toko aplikasi karena click spam sama-sama terjadi di aplikasi Android dan iOS. Back ⤴️

³ Namun, click spammer biasanya tidak melakukan tindakan sederhana. Karena penipu harus meningkatkan peluang instal, mereka akan menarget lebih banyak perangkat untuk memperbanyak jendela atribusi. Back ⤴️

⁴ Salah satu MMP terbesar—Adjust—pernah berupaya untuk mendorong inisiatif yang tidak menerima sumber yang tidak mengirimkan impression. Sayangnya, mereka memutuskan untuk tidak menerapkannya setelah itu. Back ⤴️