Фрод в рекламе — это когда вы платите рекламной системе за клики, показы или «заявки», а по факту ваш бюджет съедают не клиенты, а мошенники. Мировой ущерб колоссален: [🔗ИССЛЕДОВАНИЕ: «Потери от ad fraud оцениваются в $84 млрд в 2023 году с прогнозом роста до $172 млрд к 2028» | Juniper Research, 2024].
Боты, мотивированный трафик с бирж заданий, клик-фермы и «серый» спам — вся эта армия имитирует активность, ломает аналитику и обучает автостратегии на мусоре. И самое неприятное: всё выглядит «почти нормально». Клики есть, статистика шевелится, а заявок нет.
💬 МНЕНИЕ ЭКСПЕРТА: «Фрод — это когда ты платишь за клики, которые делают боты, а не клиенты».
Проблема стала массовой. [🔗ИССЛЕДОВАНИЕ: «Доля фродового трафика в 2024 году составила 40,7%, в России и СНГ — 41,5%, а в 2025 достигла 47,4% с пиковыми месяцами значительно выше среднего» | FraudScore / AdIndex, 2025].
[🔗ИССЛЕДОВАНИЕ: «Рынок интернет-рекламы в РФ по оценкам АРИР достиг 1,236 трлн ₽ по итогам 2024 года, рост +53% год к году» | АРИР, 2024] Это не страшилка для директологов. Рынок растёт — растёт и «кормовая база» для тех, кто хочет эти деньги воровать.
Хорошая новость: фрод и антифрод — это не магия. Его можно поймать за хвост. У Яндекса есть антифрод система — она признаёт недействительные клики и конверсии от ботов и мотивированных пользователей и возвращает их стоимость.
[🔗ИССЛЕДОВАНИЕ: «Яндекс.Директ относит к недействительным кликам/конверсиям действия ботов и мотивированных пользователей; такие клики удаляются из статистики, а расходы возвращаются» | Справка Яндекс.Директа, 2026] Но предпринимателю важнее другое: научиться видеть мусор на своём сайте и перестать кормить рекламный алгоритм «плохими» сигналами.
Дальше — пять простых, живых историй. Почти детектив. В каждой будет: симптом → диагностика → улика → решение → результат. А роль «крысоловки» сыграет сервис, который размечает визиты метками, помогает собрать минус-аудиторию и, если нужно, ставит турникет перед входом на сайт.
Пример 1. «Конкурент-вредитель»: как боты пожирают дневной бюджет за 2 часа
Симптом: что видит предприниматель
Владелец небольшого автосервиса запустил Яндекс.Директ, выставил дневной лимит, сделал страницу под услуги. И в первые же дни поймал странный эффект. Деньги списываются бодро, отчёт показывает клики, а заявок — ноль. Самое обидное: дневной бюджет уходит не к вечеру, а за пару часов после старта.
Это не «плохой сайт». И не «не та аудитория».
«Крысы»: кто на самом деле съедает бюджет
Классика жанра — конкурент-вредитель. Он запускает ботов. Они имитируют визит, делают пару кликов по рекламе, иногда даже пытаются пройти капчу — лишь бы система засчитала действие. Цель проста и цинична: слить ваш бюджет, чтобы рекламный бюджет конкурента иссяк, а вы ушли с площадки.
Улики: как вычислить мошенников
Диагностика выдаёт три «совпадения, которые не бывают случайными»:
1. у огромной доли визитов стоит признак bot=true;
2. повторяется один и тот же snsht — цифровой отпечаток программы, а не человека;
3. всплывает след ловушки: from=capt — бот кликает по скрытым ссылкам, которые нормальный человек физически не видит.
Это называется скликивание рекламы. Боты не выглядят как тупой скрипт — они учатся маскироваться.
[🔗 ТЕХНИЧЕСКАЯ ДОКУМЕНТАЦИЯ: «В KillBot параметры bot, snsht, from=capt передаются через WAF и API для идентификации ботов и скрытых ловушек» | Документация KillBot, актуальная версия]
Решение KillBot: ставим «крысоловку»
Защита строится из двух этажей — мягкого и жёсткого.
Мягкий этаж: собираем аудиторию ботов и вырезаем её из показов в Директе. Для этого есть готовый универсальный сегмент «Боты минус капча»: в него попадают визиты, определённые как боты, но исключаются те, кто прошёл капчу.
Жёсткий этаж: ставим DNS-экран — турникет перед входом на сайт. Часть ботов просто не увидит ваш сайт и не сможет «доиграть спектакль» до конца. Технически это смена A-записи и ожидание обновления DNS — обычно 5–30 минут.
Итог: цифры и результат
Пример 2. «Школьник с биржи»: мотивированный трафик, который убивает отдел продаж
Симптом: что видит предприниматель
Юридическая фирма радуется: наконец-то реклама заработала — по 50 заявок в день. Менеджеры обзванивают лиды… и слышат в трубке искреннее: «Я ничего не оставлял». Заявка есть, деньги за клик списались, а клиента нет.
Радость превращается в выгорание. Отдел продаж теряет время, CRM забивается мусором.
«Крысы»: кто на самом деле съедает бюджет
Это не бот в чистом виде. Это мотивированный трафик — задания с бирж, где исполнителю платят 10–15 рублей за клик, заполнение формы или скриншот. Такой фродовый трафик особенно ядовит для новичка.
Почему? Потому что фейковые заявки ломают логику оптимизации. Рекламный алгоритм видит конверсии и думает, что вы нашли золотую аудиторию. Он начинает искать похожих пользователей — а вы платите за то, чтобы вас обманывали всё больше.
Улики: как вычислить мошенников
Улика №1 — метка мотива. Находим спам-лид, смотрим UserID визита и помечаем его как МОТИВ. После этого в параметры посетителя в Метрике передаётся mod=true — устойчивая метка для фильтрации.
Улика №2 — повторяющиеся «герои» по UserID. Мотивированные исполнители любят чистить куки, заходить инкогнито и «переодеваться», но уникальный UserID остаётся тем же. Это как паспорт, который нельзя просто так выбросить.
Решение KillBot: ставим «крысоловку»
Санитарная обработка аудитории:
1. Помечаем мотив (mod=true) и собираем сегмент таких визитов.
2. В Яндекс.Аудиториях создаём похожий сегмент на этот исходный — чтобы найти всех, кто похож на «исполнителя заданий».
3. В Директе ставим корректировку −100% на эту аудиторию — реклама перестаёт показываться тем, кто с высокой вероятностью будет «делать задания», а не покупать.
4. Для особо наглых — точечная блокировка по UserID на уровне сайта, как запрет на вход по паспорту.
Итог: цифры и результат
Пример 3. «Клик-ферма»: мобильные прокси и «серая» сеть, которая маскируется под людей
Симптом: что видит предприниматель
Интернет-магазин «подтекает». Каждую неделю — минус 30 000 рублей. В отчёте клики идут с разных IP, чаще мобильных, география пляшет. Но корзины пустые, заявки редкие, конверсия умерла.
Это клик-ферма: много устройств или эмуляций, ротация IP каждые две минуты, задача — долго быть незаметными.
«Крысы»: кто на самом деле съедает бюджет
Блокировать IP бесполезно. Сегодня один, через две минуты другой. Это мобильный фрод, завязанный на прокси-фермах и дешёвых смартфонах. IP разные, но «почерк» — общий.
Улики: как вычислить мошенников
Расследование идёт по признакам, которые сложно менять массово. Улики, которые «сшивают» разные IP в одну банду:
· net_id — идентификатор сетевого окружения;
· net_t (corp/mob/home) — тип сети;
· net.asn, net.host, net.ttl, net.ports — сетевые маркеры, которые отличают «домашнего человека» от инфраструктуры прокси и облачных серверов.
Особенно ценен host. Если IP резолвится в домены вроде *.amazonaws.com или digitalocean.com — перед вами серверная инфраструктура, а не обычный пользователь.
Решение KillBot: ставим «крысоловку»
Для фермы нужен WAF-подход:
1. Собираем паттерн — например, повторяющийся net_id + подозрительный asn/host.
2. Создаём WAF-правило, которое отправляет под капчу с зацикливанием, режет доступ или метит в отдельный сегмент для минусации.
3. Дополнительно блокируем «основные» слепки snsht, если они дают массу мусора.
Как выбрать способ блокировки клик-фермы под вашу ситуацию
Итог: цифры и результат
Пример 4. «Спам-бот»: антидетект-сценарии, которые засоряют CRM и ломают автозапуск
Симптом: что видит предприниматель
Сайт ремонта квартир получает по 20–50 заявок в день, но половина — «ывапролд», случайные символы, телефоны-фантомы. Отдел продаж выгорает, CRM засоряется, а главное — реклама «учится» на мусоре: автостратегия видит конверсии и думает, что это успех.
«Крысы»: кто на самом деле съедает бюджет
Это антидетект-сценарии: софт маскируется под реальный браузер, меняет окружение, пытается казаться человеком. Цель — имитация целевого действия.
Улики: как вычислить мошенников
Ловим не слова в форме (их можно менять), а признаки инструмента:
· adt=true — признак антидетекта, попытки скрыть реальное браузерное окружение;
· wl=false — слепок не похож на известный нормальный браузер;
· повторяющийся snsht изо дня в день;
· net.host и net.asn указывают на облака и серверы, а не на домашние сети.
Решение KillBot: ставим «крысоловку»
Боты могут не грузить часть скриптов и ресурсов — экономят нагрузку, режут JS, а HTML с формами уже отдан. Поэтому для спам-форм критически важно поставить турникет до сайта.
1. DNS-экран: бот не проходит проверку — форма для него не существует.
2. WAF-правила по adt, host/asn, аномалиям и/или с зацикливанием для самых настырных.
3. Если спам идёт от «мотива»: помечаем заявки как МОТИВ и вычитаем похожую аудиторию в Директе.
Итог: цифры и результат
Пример 5. «Репутационная атака»: 10 000 визитов в час — как спасти бизнес от коллапса
Симптом: что видит предприниматель
Самый драматичный сценарий выглядит как катастрофа. Внезапно — 10 000 визитов в час. Сайт тормозит, аналитика превращается в кашу, пользователи не могут открыть страницу. Даже если цель атаки — не «положить» сервер в ноль, удар по репутации и рекламным метрикам стоит дорого.
Это L7-атака (application layer): запросы на уровне приложения, которые выглядят «похожими на людей», но наносят огромный ущерб при меньшей полосе пропускания — они гораздо «дороже» для сервера по ресурсу обработки.
[🔗 ИССЛЕДОВАНИЕ: «L7 DDoS-атаки могут наносить больше ущерба при меньшей полосе пропускания, так как требуют обработки на уровне приложения» | Cloudflare, Learning Center]
«Крысы»: кто на самом деле съедает бюджет
Скоординированная атака через VPN и датацентры. Цель — либо обрушить сайт, либо исказить аналитику, либо нанести репутационный вред: пока сайт «лежит», конкуренты собирают ваших клиентов.
Улики: как вычислить мошенников
Три признака, которые кричат о нападении:
· vpn=1 у подавляющей доли визитов;
· net.host резолвится в облачные сервисы, net.asn принадлежит датацентровым провайдерам;
· странные сочетания локали и таймзоны (страна — Россия, часовой пояс — как в дата-центре в Германии).
Решение KillBot: ставим «крысоловку»
«Пожарная команда» из трёх инструментов:
Как отбить репутационную атаку: три этапа защиты
Итог: цифры и результат
Чек-лист: как отличить фрод от реального трафика
Если чувствуете: «меня скликивают» — проверьте признаки. Яндекс относит к недействительным кликам и конверсиям действия ботов и мотивированных пользователей, показывает такие значения в отчётах и возвращает расходы. Но бизнесу важно быстро понять: мусор у вас в аналитике и обучении стратегий — прямо сейчас.
Откройте Метрику → Отчёты → Содержание → Параметры посетителей и посмотрите, какие метки повторяются у «плохих» визитов.
Если видите повторяющиеся паттерны (одинаковый snsht, одинаковый net_id, много bot=true, всплывает from=capt, много vpn=1, часто adt=true) — это уже не «случайность», это след.
Действуйте по правилу: не лечим симптом — перекрываем путь «крысам». Для рекламы — минусуем аудиторию. Для форм — ставим DNS-экран. Для инфраструктурных атак — режем по ASN/host/WAF-правилам.
✅ ЧЕК-ЛИСТ: 8 критериев для самопроверки на фрод в рекламе.
Готовы ли вы к защите от фрода?
Вопросы:
☐ Видите ли вы визиты сbot=true?
☐ Видите ли вы визиты сmod=true (мотивация)?
☐ Одинаковыйsnsht у сотен визитов?
☐ Одинаковыйnet_id при разныхIP?
☐ Визиты с from=capt?
☐ Массовые визиты сvpn=1 + host из облаков?
☐ Визиты сadt=true или webdriver=true?
☐ Есть ли живые конверсии и оплаты?
Интерпретация:
0–1 «Да»: Проверьте настройки таргетинга и семантику.
2–4 «Да»: Есть очаги мусорного трафика. Внедряйте сегмент «Боты минус капча».
5+ «Да»: Вы под атакой. Немедленно подключайте DNS-экран и WAF-правила.
Как работает «крысоловка»: понятная защита от всех видов фрода
Сервис делает фрод видимым и управляемым. Капча используется только в пограничных случаях, основной трафик проходит без неё. Система опирается на слепки софта и сетевые признаки.
Как работает защита: четыре слоя обороны рекламного бюджета
Первый слой — маркировка. В аналитику передаются метки и параметры (bot, UserID, snsht, net_id, vpn, adt и др.). Вы перестаёте гадать «почему нет заявок» и начинаете видеть: вот визиты ботов, вот повторяющиеся слепки, вот сетевые кластеры.
Второй слой — реклама перестаёт показываться «крысам». Ключевой сегмент — «Боты минус капча». [💬МНЕНИЕ ЭКСПЕРТА: «Я рекомендую использовать сегмент “Боты минус капча”, потому что вручную собрать bot=true и solved=false в Метрике крайне сложно — событие «не решил капчу» часто теряется»] Вычитаете его в Директе корректировкой −100%.
Третий слой — турникет перед входом. [🔗 КЕЙС: «После включения DNS-экрана в кейсе портала недвижимости зафиксирована 100% фильтрация ботов без влияния на реальных пользователей» | KillBot, кейс «Фильтрация ботов в Яндекс.Директ»] Меняете DNS-маршрут так, чтобы посетитель сначала попадал на экран проверки. Обновление DNS — 5–30 минут.
Четвёртый слой — WAF-правила и точечные решения. Для клик-ферм, прокси-пулов и «облачных» атак режете доступ по asn/host/ttl/ports/net_id, при необходимости включаете зацикливание — атака становится невыгодной для злоумышленника.
Что сделать прямо сегодня: план на 15 минут
Хватит кормить «крыс»
Фрод в рекламе — конкретные деньги, которые превращаются в «клики без заявок», «заявки без клиентов» и «стратегию, обученную на мусоре». Яндекс возвращает расходы на недействительные клики, но лучшее, что может сделать бизнес, — не доводить до утечки: видеть улики и ставить турникет до того, как «крысы» доберутся до бюджета.
📢 ПРОМО: Хватит кормить «крыс». Зарегистрируйтесь в KillBot и начните с бесплатного доступа, чтобы увидеть, кто реально ест ваш бюджет. Подключение — за считанные минуты.
Сервис работает как «крысоловка»: по слепкам софта и сетевым признакам отделяет людей от программ, помечает визиты метками, помогает вычесть аудитории в Директе и блокирует мусор на входе через DNS-экран и WAF-правила.
Подпишитесь на канал KillBot RUS — там простыми словами разбирают схемы фрода и показывают, как их резать.
⚠️ДИСКЛЕЙМЕР: Статья носит ознакомительный характер. Перед принятием решений по защите рекламного бюджета рекомендуется проконсультироваться со специалистом.
Реклама. Вся информация о рекламодателях по ссылкам в статье.