Trends & Insights
Gian lận quảng cáo trong ngành Fintech - Thách thức và Giải pháp
2025
.
2
.
13
By
Hoang Ngoc
Ngành công nghệ tài chính (Fintech) tại khu vực APAC đang chứng kiến những thay đổi đáng kể, với sự tăng trưởng vượt bậc ở các chỉ số như lượt cài đặt ứng dụng, số phiên hoạt động trên di động và doanh thu từ các ứng dụng tài chính. Tại Việt Nam, thị trường này đang phát triển mạnh mẽ với sự xuất hiện của hàng loạt ứng dụng cung cấp các dịch vụ thanh toán, vay tín chấp và quản lý tài chính cá nhân.
Tuy nhiên, sự bùng nổ của thị trường cũng kéo theo sự gia tăng của các hành vi gian lận quảng cáo ngày càng tinh vi, đặc biệt gây ảnh hưởng nặng nề đến lĩnh vực Fintech. Tỷ lệ gian lận cài đặt cao trong các ứng dụng tài chính và Fintech xuất phát từ nhiều nguyên nhân, bao gồm ngân sách tiếp thị lớn; sự thiếu hiểu biết sâu sắc về các chỉ số KPIs trong ngành quảng cáo, đặc biệt ở các ngân hàng truyền thống hoặc các công ty đầu tư mới bắt đầu bước chân vào quảng cáo kỹ thuật số; cùng với chi phí cài đặt trung bình (CPI) cao nhất trên thị trường, tạo động lực lớn cho các hành vi gian lận.
Ngoài ra, một lý do quan trọng khác khiến tỷ lệ gian lận cao là ngành Fintech vẫn đang ở giai đoạn đầu của quá trình chuyển đổi từ nền tảng desktop sang di động và hiện tập trung nhiều hơn vào việc tăng số lượng người dùng thay vì tối ưu hóa doanh thu. Bên cạnh đó, chi phí để có được một người dùng trong lĩnh vực tài chính thường cao hơn so với các ứng dụng khác, do kỳ vọng người dùng có tỷ lệ giữ chân lâu dài hơn và tần suất giao dịch cao hơn.
Theo các báo cáo gần đây, Việt Nam là một trong những thị trường chịu ảnh hưởng nặng nề nhất bởi gian lận quảng cáo di động, với ước tính khoảng 10-30% ngân sách quảng cáo bị thất thoát mỗi năm. Thực trạng này không chỉ gây lãng phí tài nguyên mà còn tác động tiêu cực đến hiệu quả kinh doanh cũng như niềm tin của người dùng đối với các ứng dụng Fintech.
Gian lận quảng cáo trong ngành Fintech ngày càng phức tạp với các hình thức như bot fraud, mistargeting, device farms và gian lận phân bổ, gây thất thoát ngân sách, sai lệch dữ liệu và ảnh hưởng đến hiệu quả chiến dịch. Airbridge cung cấp các giải pháp mạnh mẽ như sử dụng dữ liệu thô, thiết lập quy tắc xác thực gian lận, và kiểm tra chặt chẽ trên nền tảng MMP, giúp doanh nghiệp Fintech nhanh chóng phát hiện và ngăn chặn các hành vi gian lận, bảo vệ ngân sách và tối ưu hóa hiệu quả quảng cáo.
Bot luôn đứng đầu trong các loại gian lận ảnh hưởng đến thị trường di động của Fintech, chiếm hơn 50% tổng số gian lận. Các bot gây thiệt hại nghiêm trọng cho doanh nghiệp trong ngành khi thực hiện các “cuộc tấn công” với quy mô lớn trong thời gian rất ngắn, khiến dữ liệu bị ảnh hưởng nhanh chóng.
Hiện nay, tỷ lệ gian lận quảng cáo trong lĩnh vực Fintech vào khoảng 31,8%, tức cứ 1 trong 3 lượt cài đặt là gian lận. Vì vậy, hãy cùng Airbridge tìm hiểu những loại gian lận quảng cáo phổ biến trong ngành Fintech, cách thức hoạt động và cách nhận biết để bảo vệ doanh nghiệp của bạn.
Device Farms là gì?
Device farms, sử dụng các bot thông minh cùng với hàng loạt những thiết bị đời cũ giá rẻ, có thể tạo ra một lượng lớn các điểm chạm (touchpoints) hoặc lượt chuyển đổi (conversions) giả mạo. Theo số liệu thống kê, Device farms có thể sử dụng hàng nghìn thiết bị để giả mạo các sự kiện sau cài đặt trong thời gian lên đến một tháng sau mỗi lượt cài đặt.
Số liệu từ Interceptd cho rằng hình thức gian lận này thường chiếm tới 25% tổng các trường hợp gian lận, và còn số này thậm chí còn lớn hơn với ngành Fintech, chiếm tới 31%, theo như nguồn tổng hợp của Bussiness of Apps. Bởi vậy, theo như Jupiter Research, Device Farm thường tiêu tốn lượng lớn ngân sách quảng cáo của các doanh nghiệp Fintech, dao động từ 12% cho tới 20%.
“Triệu chứng” của Device Farms
Loại gian lận này thường được nhận biết qua tỷ lệ chuyển đổi và mức độ tương tác bất thường thấp, do phần lớn người dùng ứng dụng tài chính này đều là giả mạo từ các thiết bị. Điểm khác biệt so với gian lận phân bổ (attribution fraud) chính là chất lượng người dùng cực kỳ tệ, với tỷ lệ giữ chân người dùng không mấy khả quan.
Cụ thể hơn, tỷ lệ giữ chân thường giảm mạnh từ Day 1, và gần như bằng 0 từ Day 5 đến Day 7 trở đi do tài khoản giả mạo thường không có động lực thực hiện các hành vi tự nhiên như đăng nhập hoặc tương tác với ứng dụng sau khi được tạo.
Sự thiếu động lực để tiếp tục sử dụng ứng dụng này cũng được thể hiện qua mức độ chuyển đổi trong ứng dụng thấp. Thông qua các thông số chuyển đổi qua từng bước trong eKYC (electronic Know Your Customer), các doanh nghiệp có thể nắm bắt được hành trình khách hàng sau khi thực hiện cài đặt theo từng kênh, từ đó phát hiện và loại bỏ các kênh có xu hướng hành động trong ứng dụng (in-app event) đáng nghi.
Ví dụ, sau khi cài đặt, tỷ lệ người dùng thông thường thực hiện các bước trong eKYC sẽ khá đồng đều do họ có nhu cầu thật trong việc sử dụng ứng dụng, nên họ sẽ có động lực để thực hiện các bước tiếp theo, giống như ở các kênh “cauly”, “naver” và “tradingworks” dưới đây.
Tuy nhiên, với các lượt cài đặt được tạo bởi Device Farms, do phần lớn được tạo nhằm mục đích ghi nhận lượt cài đặt, sẽ không có động lực để các thiết bị thực hiện những hành động khác trong ứng dụng, giống như các cài đặt từ kênh “Discord” như sau:
Ngoài ra, device farms thường dựa vào các thiết bị lỗi thời, giá rẻ với các hệ điều hành đời thấp. Với ví dụ dưới đây, các hệ điều hành đều đã khá cũ, thường thấy ở các dòng máy cũ giá rẻ và không còn được hỗ trợ để nâng cấp lên iOS 18 mới nhất hiện nay.
Gian lận phân bổ là gì?
Gian lận phân bổ thường được nhận biết qua hiện tượng "organic cannibalization". Nếu số lượt cài đặt không được phân bổ (= organic installs) giảm trong khi số lượt cài đặt được phân bổ (= paid installs) tăng, mặc dù ngân sách quảng cáo vẫn duy trì ổn định, ta có thể cho rằng các lượt cài đặt tự nhiên (organic installs) bị "chiếm đoạt" và ghi nhận sai thành lượt cài đặt có trả phí (paid installs).
“Triệu chứng" của Gian lận phân bổ
Organic Cannibalization thường xảy ra khi Thời gian từ nhấp chuột tới cài đặt (CTIT) quá ngắn hoặc có tỷ lệ bất thường giữ lượt nhấp và lượt cài đặt, khi có nhiều lượt nhấp nhưng không xảy ra cài đặt. Loại gian lận này được thực hiện bởi click injection hoặc click spamming, đều là các hình thức gian lận phân bổ (Attribution Fraud).
Click injection xảy ra khi một bên trung gian gian lận tìm cách xác định thời điểm ứng dụng được tải xuống và chèn một điểm chạm (touch point, còn được kí hiệu là TP) hay một tương tác giả ngay trước khi MMP ghi nhận hoàn tất cài đặt ứng dụng để chiếm quyền ghi nhận lượt cài đặt (winning touch point).
Đây là một hình thức gian lận đặc thù trên các thiết bị Android, lợi dụng hệ thống broadcast của hệ điều hành này. Khi một ứng dụng mới được cài đặt trên thiết bị Android, một tín hiệu sẽ được gửi đến các ứng dụng khác. Hệ thống này được tạo ra nhằm cải thiện kết nối giữa các ứng dụng thuộc lĩnh vực Fintech trên thiết bị của người dùng, chẳng hạn để hỗ trợ deep linking hoặc đơn giản hóa quy trình đăng nhập.
Click Spamming, hay click flooding, là một hình thức gian lận quảng cáo, trong đó kẻ gian lận tạo ra lượt nhấp giả để chèn vào hành trình của người dùng tự nhiên mà không có sự nhận biết hay đồng ý từ họ. Hành vi này có thể thực hiện thông qua các ứng dụng hoạt động ngầm, như công cụ dọn dẹp bộ nhớ hoặc tiết kiệm pin, tạo lượt nhấp bất kỳ lúc nào. Kết quả là dữ liệu bị sai lệch, làm mất độ tin cậy và dẫn đến đầu tư lãng phí vào các chiến dịch không hiệu quả.
.png)
SDK Spoofing là gì?
Hình thức gian lận này xảy ra khi kẻ gian lận hack các SDK của MMP (bao gồm thông tin đăng nhập, gói dữ liệu, v.v.) để gửi các tín hiệu giả mạo. Khi đó, kẻ gian sẽ tạo ra các lượt cài đặt giả nhưng trông giống như thật bằng cách sử dụng dữ liệu thiết bị thực. Đây còn được gọi là cuộc tấn công man-in-the-middle.
.png)
Cụ thể, kẻ gian lận phá vỡ mã hóa SSL giữa SDK của phần mềm theo dõi và các máy chủ backend của nó để tạo ra hàng loạt lượt cài đặt thử nghiệm cho ứng dụng mục tiêu. Sau khi kẻ gian lận xác định được các URL đại diện cho một số hành động trong ứng dụng nhất định (in-app events), chúng sẽ thử nghiệm các phần động của URL để tạo ra các lượt cài đặt giả.
Khi đã thu thập đủ thông tin, kẻ gian có thể lặp lại quy trình này vô thời hạn, gây thất thoát lớn cho nhà quảng cáo.
“Triệu chứng” của SDK Spoofing
Tình trạng SDK Spoofing dễ thấy nhất khi xuất hiện nhiều transaction IDs hoặc user IDs không tồn tại trong hệ thống nội bộ (CRM, ERP) nhưng lại được ghi nhận trong dữ liệu từ MMP. Trong ví dụ dưới đây, ID user_161110 và tx_97776154 có thể được giả mạo, do chỉ có ở MMP mà không xuất hiện ở dữ liệu nội bộ gốc của CRM
Bên cạnh đó, tỷ lệ chuyển đổi thấp bất thường và thời gian giữa các sự kiện như cài đặt ứng dụng, mở ứng dụng và thực hiện hành động đầu tiên quá ngắn hoặc không hợp lý, khác biệt so với hành vi người dùng thực tế cũng là yếu tố không thể bỏ qua trong việc xác định hành vi SDK Spoofing.
Một số tác động đến doanh nghiệp của hình thức này:
Thông thường, các doanh nghiệp đều gặp khó khăn lớn trong việc xác định các hình thức gian lận nêu trên, họ thường mất phần lớn thời gian, công sức, và tài chính trong việc nhận dạng và loại bỏ các lượt cài đặt gian lận. Bởi vậy, với tính năng Abnormal Install Report của Airbridge được hỗ trợ hoàn toàn tự động bởi trí tuệ nhân tạo (AI), họ có thể quan sát số lượng lượt cài đặt đáng nghi theo từng nhóm gian lận, giúp cho quá trình nhận biết gian lận trở nên dễ dàng và tiết kiệm hơn bao giờ hết
Không chỉ dừng lại ở việc nhận biết, Airbridge còn sẵn sàng đồng hành với các đối tác Fintech phòng chống các loại gian lận, giúp họ hợp tác chặt chẽ với đội ngũ tư vấn của Airbridge để thiết lập các Fraud Validation Rules phù hợp với đặc thù chiến dịch.
Cụ thể hơn, các gian lận phân bổ như Click Injection hay Click Spamming có thể được giải quyết triệt để bởi tính năng Lag Time và Frequency Capping. Với Lag Time, doanh nghiệp có thể cài đặt từ chối gửi thông tin (hay còn gọi là postback) cho các lượt cài đặt có thời gian từ lúc nhấp chuột đến khi cài đặt (CTIT) dưới 10 giây, bởi người dùng không thể nhấp chuột, tải xuống, cài đặt và mở ứng dụng trong khoảng thời gian ngắn như vậy.
Với Frequency Capping, họ có thể phòng tránh các địa chỉ IP hoặc các kênh có lượt nhấp giả mạo với tần suất lặp lại quá lớn trong một khoảng thời gian tuỳ chỉnh, do người dùng thông thường khó có thể thực hiện nhiều lượt nhấp trong thời gian ngắn như vậy.
Ngoài ra, nhằm phát hiện tình trạng SDK Spoofing, Airbridge còn cung cấp báo cáo Raw Data, không chỉ cung cấp đầy các thông số đo lường giúp các doanh nghiệp hiểu hơn về tổng quan chiến dịch, mà còn có thể so sánh user_id hoặc transaction_id để chắc chắn rằng số liệu của MMP khớp với số liệu từ các hệ thống nội bộ như CRM, ERP. Tính năng SDK Signature sau đó sẽ giúp họ loại bỏ các trường hợp giả mạo MMP nêu trên một cách nhanh chóng và hiệu quả.
Với các vấn đề liên quan tới Device Farms, các nhà quảng cáo trong lĩnh vực Fintech nên kiểm tra các sub-publishers và vị trí quảng cáo có tỷ lệ giữ chân, chuyển đổi, và tương tác thấp bất thường. Ngoài ra, đừng quên chú ý xem có sự xuất hiện của thiết bị lỗi thời hoặc nhóm nhỏ địa chỉ IP lặp lại nhiều lần không. Tất cả các yếu tố trên nằm gói gọn trong tính năng Conversion Traffic và Retention, cho phép việc xác định các chuyển đổi đáng ngờ dựa trên đa dạng các tiêu chí như IP, Quốc Gia, hệ điều hành,.... Bởi vậy, doanh nghiệp Fintech sẽ không còn phải trả phí cho những lượt chuyển đổi cài đặt tới từ địa chỉ IP bị trùng lặp bất thường, các quốc gia khác không phải Việt Nam, hay những lượt cài đặt có tỷ lệ giữ chân thấp một cách đáng ngờ.
