Programmatic advertising: voorkom fraude met ads.txt

Programmatic advertising: voorkom fraude met ads.txt

In de afgelopen tijd is programmatic advertising zeer populair geworden in de onlinemarketingwereld. Reden? De automatisering van advertentieverkoop biedt efficiënte mogelijkheden om op grote schaal marketingboodschappen te vertonen aan individuen. Met de automatisering is helaas ook een stukje menselijke controle verloren gegaan.

Je neemt namelijk niet meer direct contact op met de verkoper om advertentieruimte in te kopen. En dit heeft geleid tot geavanceerde manieren van handel in advertentieruimtes, waarbij dezelfde advertentiepositie meerdere malen wordt ingekocht en verkocht. Het gevolg? Een totaal ondoorzichtig advertentie-ecosysteem. En een ondoorzichtige wereld is dé plek waar kwaadwillenden maar al te graag actief zijn om te frauderen met advertenties.

Transparantie vergroten

Ads.txt, een initiatief van IAB Tech Lab dat is uitgerold in mei 2017, moet de transparantie binnen programmatic advertising vergroten en publishers meer controle geven over hun inventory, om zodoende advertentiefraude te voorkomen. Maar wat betekent ads.txt precies voor de online marketeer? Je leest het in dit artikel.

Om goed te kunnen begrijpen wat de ads.txt-standaard is en waarom deze is ontwikkeld, ga ik eerst dieper in op hoe programmatic advertising werkt en wat daar allemaal bij komt kijken. Ik sluit af met een voorbeeld van hoe dit proces kan worden misbruikt om ermee te frauderen. Vervolgens bespreek ik twee praktijken in de programmatic advertising-wereld die benadrukken waarom ads.txt zo belangrijk is. Verder laat ik aan de hand van een voorbeeld zien hoe ads.txt tot meer transparantie in de programmatic-advertisingwereld zal leiden.

Programmatic advertising: een korte samenvatting

Programmatic advertising is, kort samengevat, het geautomatiseerd inkopen van advertentieruimte. Het is een complex proces, waarin binnen milliseconden verschillende acties worden uitgevoerd. Dit proces kan het best worden uitgelegd aan de hand van een visual.

Bron: Subex

Zoals je ziet zijn er in een programmatic-advertisingproces negen onderdelen die een rol spelen.

Als een bezoeker (8) op een website (7) komt, dan kan de eigenaar van deze website (de publisher) advertentieruimte aanbieden via een advertentienetwerk (6), een partij die vraag en aanbod bij elkaar brengt (denk bijvoorbeeld aan Google en Facebook). De publisher kan via een Supply Side Platform (SSP) (5) de beschikbare advertentieruimte beheren en daarmee ook instellen tegen welke prijs de ruimte beschikbaar is.

Aan de andere kant van het proces hebben we een advertiser (1), oftewel de eindklant voor wie wordt geadverteerd. De advertiser schakelt veelal een ad agency of mediabureau (2) in om advertentieruimte in te kopen. Dat kan door middel van een Demand Side Platform (DSP) (3) de campagnes inboeken met de gewenste looptijd, biedingen et cetera. De vraag- en aanbodkant komen vervolgens samen in een veiling (4). In deze veiling wordt bepaald welke partij het meeste heeft geboden en de advertentieruimte gewonnen heeft.

Naast dit hele proces zijn er vervolgens ook nog partijen die alleen data verzamelen (9), om deze data vervolgens weer te verkopen. Dit zijn bijvoorbeeld bedrijven die op grote schaal (gebruikers)data verzamelen van fora en dit combineren met andere (openbare) data, zodat adverteerders bepaalde profielen (bijvoorbeeld: man, 20-45, hoogopgeleid en in bezit van een auto) kunnen targetten op andere websites.

Hoe het (flink) mis kan gaan

Door de complexiteit van programmatic advertising is het onduidelijk welke rol elke partij heeft (of mag hebben). Dit biedt kwaadwillenden daarom ruimte om advertentiefraude te plegen. Een voorbeeld: de Financial Times (ft.com). De Financial Times verkoopt advertentieruimte via twee veilingen: Google AdX en TrustX. Fraudeurs lieten het voorkomen alsof ft.com op zo’n twintigtal verschillende advertentieveilingen actief was. Zelfs op veilingen waarop advertentieruimte voor video’s werd verkocht, hoewel ft.com geen advertentieruimte voor video’s heeft. Ft.com schat de financiële schade van deze praktijken op 1,3 miljoen dollar per maand (!).

Wat is ads.txt en waarom is het eigenlijk nodig?

Het voorbeeld van de Financial Times hierboven laat zien dat het belangrijk is om de transparantie in programmatic advertising te vergroten. De ads.txt-standaard is met het oog hierop ontwikkeld. In ‘ads.txt’ staat ‘ads’ voor ‘Authorized Digital Sellers‘. Ads.txt maakt het mogelijk om, door middel van een publiekelijk toegankelijk bestand, aan te geven via welk account de publisher advertentieruimte direct verkoopt, en via welke organisaties/veilingen de advertentieruimte wordt geveild.

Domain spoofing

De noodzaak van deze standaard komt voort uit verschillende praktijken in de programmatic-advertisingwereld, waaronder het spoofen van domeinen, zoals bij het voorbeeld van de Financial Times. Bij het spoofen van een domein laat een fraudeur het voorkomen alsof een willekeurig domein een premiumplaatsing is. Het doel hiervan is natuurlijk om advertising spend te verdienen. Adverteerders denken dat hun advertenties op een belangrijke publisherwebsite worden vertoond, terwijl dat in realiteit op een ongewenste website is (bepaalde fora, torrentwebsites et cetera).

Twee manieren van domain spoofing

Domain spoofing kan op twee manieren plaatsvinden. De eerste manier is door de browser van een gebruiker te kapen en in deze browser een stukje code in te voeren die advertenties vertoont. Deze advertenties verschijnen dus in plaats van de advertenties van de publishers zelf.

De tweede methode maakt gebruik van de manier waarop publishers informatie versturen tijdens het aanroepen van een advertentieveiling. Er wordt namelijk door middel van een stukje code informatie aan de adverteerder verstrekt (op welke website een gebruiker zich bevindt en waarop geboden kan worden). Dit stukje code kan door kwaadwillenden worden aangepast om valse informatie te verzenden naar de advertentieveiling. Op deze manier kan dus worden gedaan alsof een impressie wordt geveild van een premiumplaatsing, terwijl dat in realiteit niet het geval is.

Een voorbeeld van domain spoofing is de Financial Times dat eerder hierboven werd beschreven.

Domain arbitrage

Een andere aanleiding waarom de ads.txt-standaard is ontwikkeld is dat in de programmatic-advertisingwereld het inkopen en verkopen van advertentieruimtes ook wel door tussenpartijen plaatsvindt. Dit wordt domain arbitrage genoemd. Domain arbitrage is van toepassing als een tussenhandelaar, bijvoorbeeld een advertentienetwerk waar vraag (advertisers) en aanbod (publishers) bijeenkomen, advertentieruimte in bulk kan opkopen bij publishers en daarmee korting bedingen, maar vervolgens deze advertentieruimte duurder kan verkopen.

Hoe zorgt ads.txt voor meer transparantie?

Ads.txt vergroot de transparantie doordat in een publiekelijk toegankelijk tekstbestand duidelijk wordt gemaakt via welk systeem een publisher advertentieruimte verkoopt en wie dit via welke systemen mag doorverkopen. Zodra de publisher ads.txt heeft geïmplementeerd, kan iedereen dit bestand inzien door ‘/ads.txt’ achter het domein te plaatsen. Dus stel je ads.txt van NU.nl wil inzien, dan ga je in je browser naar nu.nl/ads.txt. Een voorbeeldfragment van een ads.txt-bestand:

Uit bovenstaande kan het volgende worden gelezen:

NU.nl verkoopt advertentieruimte via verschillende verkopersaccounts. Elke regel is een apart verkopersaccount. Binnen elke regel zijn er vier velden die het volgende aangeven:

  1. Als eerste het domein van de geautoriseerde partij die advertentieruimte van NU.nl mag verkopen. In dit geval is dat Google.com.
  2. Deze partij heeft een bijbehorend account-ID, dat staat in het tweede veld.
  3. In het derde veld wordt aangegeven of de publisher het account zelf (direct) beheert of dat via een derde partij (reseller) laat beheren. In bovenstaand voorbeeld zit NU.nl dus direct aan de knoppen.
  4. Het laatste veld is optioneel en kan worden gebruikt om een ID mee te geven, waarmee de geautoriseerde verkoper kan worden geïdentificeerd bij een certificeringsinstantie zoals TAG.

Onderstaande visual laat een andere situatie zien. Een website verkoopt advertentieruimte via drie verschillende verkopersaccounts en via drie verschillende netwerken. De DSP waarmee een adverteerder werkt, kan automatisch de ads.txt-files aanroepen om na te gaan via welke verkopersaccounts en advertentienetwerken de advertentieruimtes worden verkocht. Hiermee weet de adverteerder welke domeinen, advertentienetwerken en verkopersaccounts authentiek zijn.

Wat is de status van Ads.txt?

De ads.txt standaard begint langzaam ingeburgerd te raken. Zo had in november 2017 bijna de helft van de 10.000 top domains ads.txt geïmplementeerd. Deze toename was onder andere te danken aan de acceptatie van deze standaard door Google. Eind 2017 gaf Google aan dat DoubleClick Bid Manager (DBM), AdSense en DoubleClick Campaign Manager (DCM) ondersteuning zouden bieden voor deze standaard.

Inmiddels gebruikt ruim 20 procent (16-01-2018) van de top 5.000 Alexa-websites ads.txt. Ook in Nederland lijkt deze standaard goed te worden ontvangen. Een steekproef langs een aantal grote Nederlandse publishers laat zien dat het merendeel ads.txt heeft geïmplementeerd.

Beperkingen aan Ads.txt

Hoewel de ads.txt-standaard een goede stap is richting meer transparantie in de programmatic-advertisingwereld, zitten er nog wel beperkingen aan deze standaard. Zo is de standaard ontwikkeld voor het web en hierdoor niet bruikbaar voor bijvoorbeeld mobile apps.

Verder staat transparantie over welke partijen geautoriseerde verkopers zijn niet gelijk aan het elimineren van advertentiefraude. Een geautoriseerde verkoper kan namelijk alsnog botverkeer (kunstmatig computerverkeer in plaats van verkeer tussen echte mensen) mengen met authentiek verkeer.

Een andere beperking van ads.txt is dat zowel DSP’s als publishers ads.txt moeten implementeren voordat het effect heeft. Anders is het voor fraudeurs nog steeds mogelijk om de eerder besproken praktijken voort te zetten. Het laatste botnetwerk dat door Adform (pdf) is geïdentificeerd wijst daar ook op.

Een stap vooruit

Helaas is de ads.txt-standaard geen complete oplossing, gezien de eerder besproken beperkingen, maar het is wel een stap vooruit. Door de transparantie te vergroten wordt het een stuk moeilijker om domain arbitrage en andere ongewenste praktijken uit te voeren. Hierdoor worden dit soort praktijken veel minder winstgevend en dus ook minder aantrekkelijk.

Het is belangrijk dat adverteerders, agency’s en publishers op de hoogte zijn van de ads.txt-standaard, maar vooral van de reden waarom de standaard in het leven is geroepen. Door bewustwording hoop ik dat er een eis zal ontstaan om ads.txt te ondersteunen. Adverteerders zullen er bij agency’s op moeten aandringen om alle mogelijke maatregelen te nemen, zodat hun advertenties daadwerkelijk op authentieke domeinen worden vertoond. Agency’s zullen tegelijkertijd DSP’s moeten pushen om de ads.txt-standaard te ondersteunen en te gebruiken. Publishers zullen op hun beurt de ads.txt-standaard moeten ondersteunen als extra kwaliteitskenmerk van hun inventory.

Blog