What is click fraud? | How click bots work

A fraude do clique ocorre quando cliques falsos direcionam anúncios pay-per-click, aumentam as rankings nas buscas de uma página da Web ou aumentam artificialmente a popularidade de uma publicação nas mídias sociais. Em geral, os bots de cliques são os responsáveis pela fraude de clique.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entenda o que é a fraude de clique e por que ela existe
  • Saiba como o bot de clique funciona
  • Saiba mais sobre os efeitos negativos da fraude de clique

Copiar o link do artigo

O que é a fraude de cliques?

A fraude de cliques acontece quando uma pessoa ou um bot finge ser um visitante legítimo de uma página da web e clica em um anúncio, botão ou outro tipo de hiperlink. O objetivo da fraude de cliques é induzir uma plataforma ou serviço a acreditar que usuários reais estão interagindo com uma página, anúncio ou aplicativo da web.

Click bot committing click fraud

Click fraud usually occurs on a large scale – each link is clicked many times, not just once, and usually multiple links are targeted. To automate this process, click fraudsters often use bots that "click" over and over. Bots comprise roughly 50% of all Internet traffic.* As much as 20% of websites that serve ads are visited exclusively by fraudulent click bots.**

Click fraud can have a variety of motivations. Most often, especially with ad fraud, the fraudsters are after financial gain. Sometimes, companies use click fraud to hurt their competitors' ad budgets by targeting their PPC (or "pay per click") ads with fraudulent clicks. Click fraud could have ideological motivations as well – artificial likes or upvotes to a post to make certain sentiments seem more popular than they really are, for instance. Cyber criminals can also use click fraud to make a malicious webpage show up higher in search rankings so that it appears legitimate.

Tipos comuns de fraude de cliques

Um exemplo de fraude de cliques é a fraude de anúncios, na qual um operador de site gera cliques fraudulentos em anúncios de exibição PPC em seu próprio site. Os autores de fraudes de cliques podem configurar páginas da web que exibem anúncios PPC e, então, usar os bots de cliques para "clicarem" nesses anúncios. A cada clique, a rede de anúncios precisa pagar ao operador do site (o golpista). Quanto mais cliques fraudulentos houver, mais a rede de anúncios precisará pagar ao site se a fraude não for detectada.

A fraude de anúncios também pode ser um ataque financeiro à empresa que paga pelos anúncios. Nesse cenário, os golpistas escolhem anúncios PPC de uma propriedade da web que não lhes pertence. O golpista não quer ganhar dinheiro com os cliques, mas a empresa prejudicada terá que pagar à rede de anúncios por cada clique, o que lhes custará mais dinheiro.

Outro caso de uso referente a fraudes de cliques é quando alguém tenta manipular os rakings de buscas aumentando artificialmente a taxa de cliques. A "taxa de cliques" indica quantos usuários do total de visitantes de uma página clicam em um determinado link. É um fator de classificação que mecanismos de busca como o Google levam em consideração, embora não se saiba exatamente até que ponto. O objetivo da fraude de cliques nesse cenário é aumentar a taxa de cliques de uma página da web, aumentando assim a classificação do mecanismo de busca e fazendo com que mais usuários reais visitem a página.

O que é um bot de cliques?

Um bot de cliques é um bot que está programado para realizar fraudes de cliques. Os bots de cliques mais simples acessam apenas uma página da web e clicam no link desejado. Os bots de cliques bem projetados também são programados para realizar as ações que um usuário real também realizaria, como movimentos do mouse, pausas aleatórias antes de realizar uma ação, variar o tempo entre cliques e assim por diante. Dessa maneira, o golpista que escreveu o bot espera que os cliques do bot se passem por cliques de usuários legítimos.

Como centenas ou milhares de cliques de um único dispositivo levantam suspeitas imediatamente, uma campanha de fraude de cliques normalmente usa bots instalados em vários dispositivos. Cada um desses dispositivos possui um endereço IP e, portanto, parece que cada clique vem de um usuário diferente. Essa rede de dispositivos, com cada dispositivo executando uma cópia de um bot, é conhecida como botnet.

As botnets envolvem milhares ou até milhões de dispositivos de usuários com bots instalados. Na maioria das vezes, esses bots de cliques das botnets são executados nos dispositivos sem o conhecimento dos usuários após uma infecção por malware. Várias botnets grandes e conhecidas foram usadas para fraude de cliques. A "Clickbot.A", por exemplo, foi uma botnet de fraude de cliques que infectou mais de 100.000 máquinas de usuários.

Uma fraude de cliques não depende de uma botnet para acontecer, já que um único bot também pode propagar cliques ilegítimos. No entanto, é mais fácil detectar e bloquear um tráfego de bots que vem de apenas uma máquina. O servidor da web pode, simplesmente, parar de atender esse endereço IP.

Toda fraude de cliques é feitas por bots?

Embora comumente executadas por bots, as fraudes de cliques também podem ser colocadas em prática por trabalhadores humanos mal remunerados. Quando esses trabalhadores se reúnem em grupo, então forma-se a chamada "fazenda de cliques" — geralmente em regiões onde a mão de obra costuma ser barata, como nos países em desenvolvimento.

Os trabalhadores das fazendas de cliques são designados para acessar determinadas páginas da web e clicar nos links atribuídos, a fim de aumentar artificialmente as taxas de cliques ou os totais de tráfego dessas páginas. Também podem atuar nas redes sociais e "curtir" determinadas publicações ou páginas para aumentar a respectiva visibilidade.

Pela ótica de um golpista, a vantagem de uma fazenda de cliques é que o comportamento dos trabalhadores humanos da fazenda de cliques tem maior probabilidade de imitar convincentemente um usuário legítimo. A desvantagem é que o uso de uma fazenda de cliques tem um retorno muito menor para os golpistas e consome muito mais recursos.

A maioria dos vigaristas de fraudes de cliques não tem acesso a dezenas ou centenas de trabalhadores humanos, então é muito mais fácil para eles escrever algumas linhas de código e criar bots de cliques. Por esse motivo o gerenciamento de bots é tão importante para as empresas que procuram impedir a fraude de cliques.

Quanto a fraude de cliques custa para as empresas?

A fraude de cliques custa bilhões às redes de anúncios — estima-se que os anunciantes tenham perdido US$ 19 bilhões devido a fraudes somente em 2018. Com a ajuda de uma botnet ou sequestrando endereços IP, os golpistas têm o que precisam para realizar uma fraude de cliques em grande escala — em uma fraude de longo prazo descoberta no final de 2018, uma única organização criminosa faturou mais de US$ 29 milhões com fraudes de anúncios.

Da mesma forma, as empresas que executam campanhas publicitárias de PPC também acabam pagando por cliques fraudulentos provenientes de bots. Dados apontam que, em 2016, os profissionais de marketing perderam US$ 7,2 bilhões devido a fraudes de anúncios.

Como a fraude de cliques interfere nos analytics dos sites?

A fraude de cliques pode causar estragos nos analytics dos sites. Se os bots estiverem interagindo com uma propriedade da web, suas atividades serão incluídas nos dados. Sendo assim, as pessoas que administram o site não serão capazes de avaliar a eficácia real de um anúncio gráfico interativo ou julgar o comportamento real dos usuários legítimos, o que é um problema para as empresas que desejam avaliar quão bem seu conteúdo está atraindo uma audiência ou que desejam informações precisas sobre o tráfego e o comportamento do usuário em seu site.

É extremamente importante ter uma estratégia para gerenciar a atividade de bots para um site, aplicação ou API disponíveis na internet. Sem a capacidade de mitigar o tráfego de bots maliciosos, como as fraudes de cliques, os bots podem afetar negativamente as experiências dos clientes e gerar custos para as empresas.

Como funciona a prevenção de fraudes de cliques?

Alguns anunciantes automatizaram os programas de detecção existentes para bloquear cliques que venham de bots. O Google, por exemplo, usa o aprendizado de máquina para filtrar atividades relativas a anúncios provenientes de bots, juntamente com um processo de análise manual. O Gerenciamento de bots da Cloudflare também usa aprendizado de máquina para detectar e mitigar as fraudes de cliques. Nesses programas de aprendizado de máquina, se a atividade de um usuário diferir muito da atividade normal de usuários — por exemplo, se o usuário só clicar em anúncios —, esse usuário é marcado como um provável bot.

Enterprise organizations are not the only ones who need to defend against click fraud. Smaller sites can use Super Bot Fight Mode, now available on Cloudflare Pro and Business plans, to analyze their bot traffic and defend against bot-driven attacks.

*https://www.theatlantic.com/technology/archive/2017/01/bots-bots-bots/515043/

** https://www.theverge.com/2017/5/24/15681080/ad-fraud-websites-traffic-bots-white-ops-report