Как бороться с фродом в программатик-рекламе

Фрод в программатик-рекламе разрушает доверие к цифрам кампаний. Когда отчет обещает аудиторию 25–34 человек, а на деле показы уходят ботам из дата-центров, маркетолог теряет не только деньги, но и данные для оптимизации. По прогнозу Juniper Research, мировые потери от рекламного фрода достигнут 172 млрд $ к 2028 году.

Программатик-экосистема восприимчива к подменам: закупка автоматизирована, инвентаря много, все решения принимаются за миллисекунды. Из-за этого мошенники обучают скрипты имитировать действия реальных пользователей — просмотр, клик, добавление товара в корзину — и маскируют их под видимый трафик.

Чтобы защититься, нужно понимать механизмы обмана, уметь диагностировать отклонения, внедрять антифрод инструменты еще до запуска аукциона.

Типы фрода в программатике

После ухода 80% рекламного инвентаря российский рынок столкнулся с острым дефицитом доступных площадок. Основные бюджеты были перераспределены в пользу Яндекса, ВКонтакте и Одноклассников. В попытках найти альтернативные каналы размещения некоторые рекламодатели обратились к тизерным сетям и пиратским сайтам. Это привело к росту уровня фрода: 88% агентств зафиксировали его на десктопах, а 99% — на мобильных устройствах.

Начнем с классификации. Каждая схема использует слабое место цепочки «SSP → DSP → сайт рекламодателя» и требует отдельного подхода к нейтрализации.

Бот-трафик и дата-центры. Первое, что приходит в голову, когда слышишь «рекламный фрод» — это армии скриптов, скрывающиеся за IP-адресами серверных ферм. Они имитируют пользователей: создают cookie, двигают мышь, нажимают «Купить». Модель проста: скрипт открывает страницу, счетчик фиксирует показ, DSP списывает бюджет. Для площадки такой псевдопросмотр стоит копейки, а бренду — десятки рублей за каждый «живой» визит.

Особенность бот-трафика — масштабируемость. Виртуальная машина клонируется мгновенно, поэтому всплески возникают скачком: за пару минут на лендинг падают сотни сессий с одинаковой длительностью, низкой глубиной, без событий. Если системно не включить антифрод инструменты на уровне доаукционной фильтрации, защититься сложно: после клика почти все сигналы оказываются уже в логах, а деньги потрачены.

Pixel stuffing и ad stacking. Pixel stuffing — крохотный баннер 1×1 px, спрятанный внизу страницы. Пользователь его не видит, однако система засчитывает показ. Ad stacking действует иначе: несколько креативов накладываются слоями. Видим только верхний, но оплачиваются все.

В отчете вы увидите приличную видимость, ведь счетчик считает каждый слой «на экране». На деле же бренду достается пустой воздух, а мошеннику — доход за фиктивные показы. Выдает схему низкий CTR при высокой доле «видимых» показов, отсутствие пост-клика: до сайта доходит ничтожная часть аудитории.

Спуфинг домена. Площадка подменяет URL престижным адресом до аукциона. DSP видит «news.com», ставит высокую цену, а показ летит на пустышку с контентом-агрегатором. Распознать подмену помогают файлы ads.txt на стороне издателя, сравнение домена в bid-request c реальным адресом в логе браузера. Если расхождение выявлено, источник заносится в черный список, а защита рекламного бюджета усиливается предаукционной проверкой Seller.json.

Click flooding. Мошенник выпускает мобильное приложение, которое незаметно для пользователя генерирует тысячи кликов по любому объявлению. Статистика выглядит правдоподобно: наблюдаем органические инсталлы, положительный CTR, но конверсий после запуска почти нет.

SDK-spoofing. Злоумышленник перехватывает сетевой вызов официального SDK трекинговой платформы, клонирует его на своем сервере, шлет фальшивые пост-бэки с уникальными device-ID. В результате отчет показывает рост установок, а реальных пользователей нет.

Cookie stuffing. Злоумышленник подменяет файлы cookie, присваивая себе заслугу за будущие конверсии. Пользователь видит баннер банка, переходит позднее через органику, оформляет кредит, а партнер, внедривший чужие cookies, получает фиксированную комиссию. Обнаруживается схема по аномально высокому числу атрибутированных продаж при низком охвате.

Click injection. В мобильных ОС некоторые приложения перехватывают событие установки, добавляя «клик» за доли миллисекунды до инстала. В отчете формируется цепочка, где приложение-паразит становится последним касанием. Распознать инъекцию позволяют сравнительные логи: если клик и установка совпадают по таймстампу до секунды.

Инсентивный трафик. Пользователям предлагают бонусы за просмотр или скачивание. Формально аудитория живая, однако мотивация искажена: посетители выполняют действие ради награды и сразу покидают сайт. Метрика Time on Site падает, отказ растет, конверсии нулевые.

Flash-редиректы. Скрипт мгновенно переадресует юзера через цепочку доменов, «создавая» три-пять показов за одну загрузку. Защита от фрода в рекламе включает контроль цепочки редиректов и лимит максимальной длины пути.

Мы рассмотрели основные сценарии. Далее разберем, чем фрод бьет по бизнесу и какие убытки скрываются за красивыми графиками.

Чем фрод грозит бизнесу

Фрод губит кампанию не только кошельком, но и данными, а без точных цифр — нет роста. Ниже перечислены основные удары, которые наносит рекламный фрод бизнесу.

• Финансовый удар. При средней ставке 120 ₽ за тысячу показов и доле мошенничества 15% компания ежемесячно сливает десятки тысяч рублей.
• Искажение метрик. Ложные показы и клики путают аналитику: CAC выглядит ниже, чем есть, конверсии — выше. Решения принимаются на кривой базе.
• Сбой алгоритмов DSP. Оптимизатор обучается на фейковых сигналах, поднимает ставки там, где живых людей нет, — расходы растут, эффективность падает.
• Рост операционных затрат. Команда тратит ресурсы на поиски «провала креатива», хотя виновата площадка-пустышка.
• Репутационные риски. Креативы мелькают на сайтах-мусорках, партнеры видят это и делают выводы.
• Потерянные возможности. Бюджет, ушедший ботам, не доходит до реальных площадок, где мог принести продажи и данные для A/B-тестов.
• Смещение стратегического фокуса. Складывается мнение, что программатик реклама «не работает», и бизнес сворачивает канал вместо того, чтобы настроить защиту рекламного бюджета.

Фрод ударяет сразу по прибыли, данным, репутации. Чем дольше его игнорировать, тем дороже исправлять последствия, поэтому стратегия «обнаружить → запретить → предотвратить» должна стать частью ежедневного медиаменеджмента.

Как обнаружить фрод

Прежде чем включать дорогие антифрод инструменты, проверьте метрики, которые уже есть в аналитике. Начните с вопроса: «Повторяется ли аномалия в разных срезах данных?» Если ответ «да», пора копать глубже.

Ниже — быстрый чек-лист поиска мошеннических показов и кликов.

• Резкие скачки трафика. Вчера было 3 000 визитов, сегодня 15 000 при том же бюджете? Вероятен бот-пул из дата-центра.
• Дисбаланс «показ – клик – сеанс». CTR нормальный, а визитов в аналитике вполовину меньше кликов. Значит часть «аудитории» не загрузила лендинг — симптом pixel stuffing или ad stacking.
• Искусственная демография. Когда 85% пользователей получают метку «not set», значит браузер не передал cookie; так действует скрипт-эмулятор.
• Повторяющиеся Client ID. Один и тот же идентификатор создает сеансы каждые пять минут — классика click flooding.
• Нестыковки по гео и устройствам. Кампания на Москву, а половина трафика приходит из Вьетнама и старого Firefox. Это повод включить верификацию трафика по IP и user-agent.
• Идентичное время визитов. График сеансов выглядит как гребенка: заходы строго в 01:00, 02:00, 03:00. Так работают расписанные задачи на ботовом сервере.

Аналитика рекламного фрода строится на сравнении нескольких сигналов одновременно. Один странный показатель еще не приговор, но если совпадают минимум три пункта из списка, включайте расширенную верификацию, начинайте борьбу с ботами в рекламе.

Методы защиты от фрода

Защита от фрода в рекламе начинается до первого показа. Главная идея — не пускать сомнительный инвентарь в аукцион, а не разбираться с последствиями. Рассмотрим базовые методы.

Предаукционная фильтрация (pre-bid).

DSP антифрод сканирует bid-request за доли миллисекунды: сверяет IP с блок-листами дата-центров, проверяет user-agent, ищет подозрительные cookie-паттерны. Если риск высок, ставка не отправляется. Такой щит экономит бюджет, не искажает post-click-метрики.

Для усиления включаем ads.txt и seller.json — файлы подтверждают, что домен и SSP действительно сотрудничают. Если запись отсутствует, запрос отклоняется.

Верификаторы третьей стороны.

MOAT, DoubleVerify, Adloox — это антифрод инструменты, которые ставят пиксель на каждую креативную единицу. Они измеряют вероятность бот-трафика по десяткам сигналов: скорость скролла, фокус вкладки, гео-анномалии. Отчеты показывают долю ботов вплоть до конкретного домена, что помогает формировать глобальные black-list, вести борьбу с ботами в рекламе системно.

Важный нюанс: подключайте верификацию сразу в DSP, чтобы фильтрация работала pre-bid, а не только в ретроспективе.

Supply Path Optimization (SPO).

Чем короче путь от паблишера до вас, тем меньше шансов подменить домен или «влить» бот-запрос. SPO — это отбор единственного, проверенного маршрута через цепочки SSP. Сначала анализируем bid-stream: фиксируем поля ads.txt, seller_id, количество переходов. Затем оставляем площадки с прямыми или авторизованными продажами. При таком подходе исчезают посредники-реселлеры, которыми чаще пользуются мошенники, а CPM падает на 5–10% за счет меньшей комиссии.

Внедрение начинается с отчетов DSP. Сортируем источники по «hop count», выстраиваем рейтинг качества и бюджет распределяем по верхним строчкам. Раз в квартал повторяем аудит: рынок динамичный, новые партнеры появляются, старые меняют правила. Инструменты антифрода от MOAT и DoubleVerify подключаем как контроль второго слоя: если после SPO бот-доля выше 3%, путь исключаем.

Динамические white- и black-lists.

Статичные списки доменов устаревают за неделю. Решение — автоматическая система, которая ежедневно метит площадки по трем осям: верификация трафика, бренд-безопасность, вовлеченность. Домен с подозрительной долей отказов мгновенно попадает в карантин, а чистые площадки добавляются в white-list. DSP загружает наборы перед каждым аукционом, тем самым защита рекламного бюджета работает в реальном времени.

Ускоряет процесс машинное обучение: модель оценивает сессионные паттерны, граф кликов, сетевые параметры. Если аналитика рекламного фрода показывает рост бот-сигналов, правило усиливается автоматически. Так список отражает текущее состояние рынка, а не прошлогоднюю статистику.

Сквозной анализ логов.

Техника «пост-bid аудит»: ежедневно сопоставляйте серверные логи DSP, сайта, верификатора. Алгоритм прост. Сначала выгрузите сырые данные: bid-id, время, IP, user-agent. Затем ищите несовпадения в цепочке «ставка → показ → клик → сеанс». Если показ зафиксирован, а клик поступил с иного IP, значит ссылка перехвачена скриптом. Такой источник сразу отправляется в динамический black-list. Сквозной аудит раскрывает продвинутые схемы SDK-spoofing, которые маскируются под легальный трафик, ускользают от предаукционного фильтра.

Honeypot-пиксели.

Добавьте на лендинг прозрачный пиксель, видимый только в коде. Человек не взаимодействует с невидимым объектом, бот делает «клик» на все элементы подряд. Срабатывание события фиксируется как сигнал фрода и отправляет визит в карантин. При повторном совпадении Client ID блокируется вся сессия. Такой метод дешевле SaaS-решений и полезен там, где инструменты антифрода сторонних вендоров не интегрированы напрямую с CMS.

Многокасательная атрибуция.

Однокасательные модели «last click» стимулируют click flooding: подпольные сети охотятся за последним касанием. Переход на атрибуцию по долям участия обесценивает подмену, деньги уходят каналам, приносившим реальную ценность. Важное условие — верификация трафика в каждом звене цепи, иначе доли получат те же боты.

Эти практики завершают комплекс защиты: pre-bid фильтры, SPO, списки доменов, серверная проверка, поведенческий honeypot. В сумме они снижают фрод-уровень до 1–2% и возвращают доверие к данным программатик рекламы.

Контрактные гарантии и SLA.

Юридический барьер работает не хуже кодового. В договоре с DSP и SSP зафиксируйте целевой уровень «чистого» трафика (например, ≤ 3%), метод измерения, срок отчетности. Если показатель превышен, подрядчик возвращает бюджет или дает бонусные показы. Такой SLA дисциплинирует партнеров: им выгоднее вложиться в инструменты антифрода, чем платить компенсации. Отдельным пунктом пропишите, что спорные данные сверяются по логам обеих сторон, стандарту MRC.

Device fingerprinting.

Куки стираются, IP меняется, а цифровой «отпечаток» браузера сложнее подделать. Скрипт собирает разрешение экрана, шрифты, плагины и создает хэш-идентификатор. Совпадение десятков «уникальных» пользователей по фингерпринту указывает на бот-ферму. Внедрите сбор отпечатков на этапе показа; при выявлении дублей блокируйте источник в реальном времени, а данные отправляйте в аналитику рекламного фрода для тренировки модели.

Обучение команды и постоянный аудит.

Технологии меняются ежемесячно. Без регулярных воркшопов медиапланер легко пропустит новую схему click injection. Внедрите ежеквартальный аудит: проверяйте SPO-отчеты, актуальность black-list, логи honeypot-пикселей. При росте подозрений запускайте тестовую кампанию — малый объем, но жесткая верификация трафика. Показатель фрода ниже 1%? Расширяйте объем. Иначе возвращайтесь к предаукционным фильтрам.

В комплексе эти меры формируют многоуровневую защиту от фрода в digital: боты отсеиваются еще в аукционе, а единичные прорывы ловит post-bid аналитика.

Инструкция по отражению фрода

Чтобы реклама работала на людей, а не на скрипты, внедрите следующие приемы и поддерживайте их в регулярном режиме:

• Фильтры в рекламных системах. Ограничьте показы по IP-адресам, задайте частотный лимит на одного пользователя, исключите геолокации, где продукт не продается — это быстро режет подозрительные клики.
• Капча там, где важны деньги. Разместите капчу на страницах регистрации, расчета стоимости, оформления заказа. Используйте адаптивные варианты — легкую капчу для мобильных, сложную — при аномальной активности.
• Глубокое отслеживание конверсий. Фиксируйте событие «клик» и привязывайте его к конкретному Client ID. Стройте «путь посетителя»: клик, просмотр, добавление в корзину, оплата. Любой разрыв — сигнал проверки трафика.
• Антифрод-платформы. Подключите SaaS-решения (например, Cybertonica, Kaspersky FP) к пикселям кампаний. Настройте автоматические уведомления при превышении порога подозрительной активности.
• Еженедельный аудит статистики. Сравнивайте CTR, CPC, конверсии по каналам и датам. Отслеживайте рост показов с устаревших браузеров и всплески без объяснений — это сигналы фрода.
• Honeypot-события и device fingerprinting. Добавьте невидимые элементы на сайт и отслеживайте клики по ним. Сравнивайте отпечатки браузеров — повторяющиеся значения сигнализируют о бот-сетях.
• SLA с партнерами. Пропишите в договорах порог фрода (например, не более 3%) и ответственность поставщика за его превышение.

Следуя этому чек-листу, вы превращаете защиту от фрода в налаженную процедуру, а не экстренную реакцию на очередной всплеск пустого трафика.

Алгоритм действий при обнаружении недействительных кликов

Обнаружили всплеск подозрительных переходов? Действуйте быстро, чтобы утечка бюджета не превратилась в лавину.

• Поставьте кампанию на паузу. Приостановите объявления, где всплеск зафиксирован: это остановит дальнейший слив средств, сохранит контроль над ситуацией.
• Снимите срезы данных. В момент паузы выгрузите логи из рекламной системы, аналитики и сервера. Так вы зафиксируете масштаб, сможете доказать наличие фрода.
• Разберите аномалии. Отфильтруйте трафик по источникам и устройствам; отметьте площадки с необычным CTR или «пустыми» сеансами. Проверьте цепочку «показ → клик → сеанс». Разрывы подсветят проблемные узлы.
• Скорректируйте настройки. Заблокируйте подозрительные площадки и расширьте black-list IP-диапазонов. Уточните геотаргетинг, частотный лимит, расписание показов. Включите предаукционный антифрод, если он раньше работал в «мягком» режиме.
• Свяжитесь с поддержкой площадки. Отправьте отчеты с пометками о недействительных кликах, укажите диапазоны дат, ID кампаний, лог-файлы. Четкая доказательная база ускорит возврат средств или бонусного инвентаря.
• Проверьте зачет конверсий. Бывает, что система признает клик валидным, а последующую конверсию — нет. Поэтому число недействительных конверсий иногда превышает количество недействительных кликов. Сверьте возвращенные затраты с дорожкой конверсий.
• Обновите регламент. Зафиксируйте инцидент в внутренней базе знаний: как обнаружили, какие действия принесли результат, сколько средств удалось вернуть. Эта заметка сэкономит время команде при следующей атаке.

Быстрое «карантинирование» кампаний, точный анализ логов и формальные претензии к платформам помогают вернуть бюджет, укрепить защиту на будущее.

Заключение

Игнорировать рекламный фрод значит платить за пустоту, подменять данные. Многоуровневая стратегия — pre-bid фильтрация, SPO, динамические списки, логи, honeypot — снижает риск до 1–2%, сохраняет доверие к цифрам. Чем раньше вы выстроите систему, тем меньше придется латать бюджет и репутацию.