Это целый конвейер, а не одиночка с ноутбуком
Вы думаете, что ваш бюджет жрёт один обиженный конкурент с ноутбуком? В 2026-м это звучит так же наивно, как «карманник-одиночка против банка».
Клик ферма сегодня — не случайный вредитель, а отлаженная индустрия: скликивание рекламы, мотивированный трафик и бот для скликивания рекламы конкурентами продаются как услуга. И пока вы спорите с директологом о «кривых целях», где-то рядом уже работает конвейер, превращающий ваш дневной лимит в дым.
Клик ферма — это организованная сеть устройств (реальных смартфонов, эмулированных сред или их смеси), которая централизованно управляется для имитации «настоящих» действий: кликов по рекламе, переходов, просмотров и иногда — заявок. Смысл всегда один: заставить рекламную систему поверить, что перед ней человек, а не механизм.
Проблема не локальная. [🔍 ИССЛЕДОВАНИЕ: "22% онлайн-расходов на рекламу (≈ $84 млрд) в 2023 году могло теряться из-за ad fraud, а прогноз на пять лет говорит о $170+ млрд" | Juniper Research, 2023]. Это не «пара ботов», это экономика.
Доля недействительного трафика в мировых рекламных бюджетах по оценке Juniper Research
💬 МНЕНИЕ ЭКСПЕРТА: «Когда я впервые увидел эти цифры, то понял – мы имеем дело не с капризом автомата, а с полноценной теневой индустрией, которая по масштабу сопоставима с легальным ритейлом» | журналист-расследователь.
И самое неприятное: вас бьют не только по кошельку. Автостратегии рекламных систем учатся на данных — на кликах и конверсиях. Когда в обучение попадает мусор, «умная ставка» становится умной не для вас.
Яндекс описывает стратегии как алгоритм, прогнозирующий вероятность перехода и целевого действия, и ему нужно время на обучение. Google прямо говорит, что Smart Bidding использует машинное обучение для оптимизации под конверсии в каждом аукционе. Мусор на входе — каша в голове у вашей же рекламы.
Переходим к самому сочному: пяти механизмам индустрии и встречным ударам, которые разрушают её экономику.
Момент 1. Железо: «Ферма в шкафу» или сервер эмуляторов
Как выглядит современная ферма
В моём «воображаемом рейде» (и в реальных полицейских рейдах) клик ферма выглядит не как хакерское логово-подвал, а как склад: стойки телефонов, кабели питания, пачки SIM-карт, дежурные компьютеры.
В 2017-м полиция Таиланда изъяла сотни смартфонов и сотни тысяч SIM-карт — всё это использовали для накрутки активности в соцсетях. Это показательная деталь: масштаб начинается с логистики, а не с гениальности.
Сегодня к физическим стойкам добавились серверные кластеры с эмуляторами Android и десятками тысяч виртуальных профилей. Китай, крупнейший рынок смартфонов с более чем 800 млн пользователей (Yahoo Finance, 2018), стал эпицентром мобильных клик ферм из смартфонов: от тесных квартир до промзон, где дешёвые устройства работают безостановочно.
Клик ферма из смартфонов — не метафора, а буквальное описание целой индустрии.
Почему блокировка по IP больше не работает
И вот почему классическая реакция бизнеса («давайте забаним IP!») часто не работает: IP в этой индустрии — расходник. Сессии могут приходить через разные адреса, а «источник» остаётся один — среда, через которую ферма выходит в интернет. Если вы баните одиночные IP, вы срезаете листья с сорняка, оставляя корень в почве.
KillBot: net_id и net_t как «паспорт» среды
Контратака KillBot: вместо охоты за отдельными IP он строит net_id — идентификатор сетевого окружения. В документации прямо сказано: net_id будет одинаковым для мультиаккаунтового софта и для различных прокси-сессий с одного устройства.
Рядом идёт net_t (тип сети). На языке расследования: у фермы может быть тысяча «масок», но часто один «паспорт». Увидели общий net_id — режете ферму пачкой, а не по одному.
Как KillBot вычисляет инфраструктуру клик-фермы
Показательный пример: рекламодатель в нише такси заметил, что каждую ночь, с 2 до 5 утра, приходит шквал однотипных кликов. Ручная блокировка IP ничего не давала — шквал возвращался.
После подключения KillBot инструмент показал, что почти все ночные визиты имеют один и тот же net_id, то есть идут из единой сетевой инфраструктуры. Одно правильно настроенное правило отсекло всю ферму целиком, и ночной слив бюджета прекратился.
Момент 2. Софт и «нагул»: бот-конструктор за 5 минут
Browser Automation Studio и визуальные конструкторы
В 2026-м ботостроение — это не всегда код и не всегда «чёрный гений». Есть софт, который честно рекламирует себя так: «No programming skills required. Create script in visual constructor». В частности, Browser Automation Studio (BAS) — визуальный конструктор автоматизации браузера.
Чем это опасно? Тем, что производство «похожих на людей» действий становится дешёвым и массовым. Порог входа падает до нуля: любой предприимчивый парень может запустить бота для кликов по рекламе, просто перетаскивая блоки.
«Нагул истории» как попытка обмануть доверие
Дальше включается «легендирование»: ферме нужно, чтобы система доверия считала сессию «живой». Отсюда практики «нагула истории» — когда трафик сначала катают по нейтральным страницам, имитируя «нормальную жизнь» браузера.
Снаружи это выглядит как обычные визиты; внутри — как предпродажная подготовка расходника. Бот заходит на пару случайных сайтов, скроллит, кликает по меню — и только потом выполняет целевое действие. Выглядит почти как человек.
💬 ЖИВОЕ СВИДЕТЕЛЬСТВО: «От звука щёлкающей мыши у меня внутри зарождается паника. Возвращаясь домой, временами я слышал эхо. Теперь пользуюсь только сенсорными экранами» — бывший оператор клик-фермы с Филиппин (интервью Knife.media). Такая рутина — часть индустрии, которую мы разоблачаем.
KillBot: snsht — «почерк» софта
Контратака KillBot: вместо того чтобы «верить истории», он фиксирует snsht — слепок браузера (слепок софта доступа) и группирует трафик по этому признаку. В FAQ KillBot чётко прописано: snsht — слепок браузера, а анализ строится не на списках IP. Нагул истории оказывается бесполезным: вы видите не сказку про «живого пользователя», а повторяемый «почерк» инструмента.
Мини-кейс (SAR):
- Ситуация: интернет-магазин мебели фиксировал аномально высокий CTR при почти нулевых заказах.
- Результат: значительная часть трафика имела два повторяющихся snsht — признак автоматизированного софта, хотя IP и поведенческие паттерны были разными. После блокировки по этим слепкам доля конверсионных визитов резко пошла вверх при том же бюджете.
💬 МНЕНИЕ ЭКСПЕРТА: «Нагул истории — это как вор, который надел чужую одежду и походил по магазину, прежде чем украсть. Но KillBot смотрит не на одежду, а на походку» | журналист-расследователь.
Момент 3. Прокси + «триплекс атака»: оружие массового камуфляжа
Ротация прокси: IP становится расходником
Следующий слой камуфляжа — прокси. Особенно опасны мобильные: они выглядят как трафик обычного абонента, а IP могут меняться каждые несколько минут. Рынок прокси объясняет механику просто: IP становится одноразовым. Вы блокируете адрес — через минуту приходит новый. Сотни тысяч адресов ложатся на ваш лендинг, а вы не видите системы за этим штормом.
Триплекс-атака: ФИО, телефон, email из утечек
Но есть камуфляж опаснее IP — «доверие по личности». В материалах KillBot про спам-заявки указано: антифрод-логика может опираться на «триплексы» (ФИО, email, телефон), а злоумышленники используют реальные данные (в т.ч. из утечек), чтобы имитировать «живого владельца» и связность устройств.
Яндекс описывает технологию «Крипта», которая сопоставляет идентификаторы и строит вероятностные группы на множестве факторов. Представьте: ваша форма ловит заявку с настоящим именем, почтой и телефоном, но за ней стоит не человек, а бот с утекшим паспортом данных.
KillBot: adt, vpn, webdriver и DNS-экран
Контратака KillBot: он не обязан верить «триплексу». В арсенале есть признаки антидетект-технологий (adt) и VPN/прокси-использования (vpn), а также «железобетонный» сигнал программного управления — webdriver (в документации WAF прямо объясняется смысл webdriver=true).
И главный рубеж: при подключении DNS-интеграции KillBot можно использовать так, чтобы бот вообще не получил доступ к контенту — до выполнения любого JavaScript.
Эффект от подключения DNS-экрана KillBot
Это работает: один B2B-клиент, уставший от фальшивых заявок с украденными триплексами, активировал DNS-экран и правила по webdriver. По его отзывам, количество мусорных лидов сократилось в несколько раз уже в первый месяц.
Момент 4. Скриншот-отчёт: «палево» мотивированного трафика
Буксы и микрозадания: как люди становятся частью фермы
Когда бизнес слышит «клик ферма», он представляет ботов. Но есть другая категория — мотивированный трафик: реальные люди выполняют задания за копейки. Это массовая инфраструктура.
На SEOSPRINT в правилах публикации заданий прямо указано: если в отчёте нужен скриншот, это оформляется как отдельный параметр (и может быть платной опцией). «Скриншот-отчёт» — не легенда, а стандартная механика рынка микрозаданий.
Технический маркер: visibilitychange и уход вкладки в фон
А теперь — деталь, из которой делается детектор. Когда исполнитель делает скриншот, он часто переключается между окнами/вкладками или сворачивает браузер.
Для сайта это фиксируется на уровне браузерного API: событие visibilitychange срабатывает, когда документ становится скрытым/видимым (например, при смене вкладки или уходе в другое приложение). MDN Web Docs чётко описывают это событие, и оно оставляет цифровой след.
KillBot: метка мотива (mod=true / mot.true)
Контратака KillBot: в публичной инструкции по борьбе со спам-заявками показано, что при ручной пометке визита как «МОТИВ» KillBot передаёт в Метрику параметр mod=true. Также в интерфейсе встречается термин mot.true (через офлайн-конверсии).
Скриншотёр, сам того не понимая, оставляет поведенческий след: один-два ухода вкладки в фон за короткую сессию — и KillBot присваивает визиту метку мотивированного. Дальше этот сегмент можно отправить в минус-аудитории рекламных систем, и ферма начнёт работать против себя.
✅ ЧЕК-ЛИСТ: 5 критериев для выявления мотивированного трафика.
Есть ли в вашем трафике скриншотерские фермы?
☐ В сессии зафиксировано резкое переключение вкладок(visibilitychange)?
☐ Время на сайтеаномально мало для выполнения целевого действия?
☐ Скриншот сделан, но глубина просмотра не соответствует заданию?
☐ Триплекс из формы найден в утечках или не проходит элементарную проверку?
☐ Источник трафика пришёл с одногоnet_id или snsht?
Интерпретация:
0–1 «Да»: поводов для паники нет.
2–3 «Да»: вероятен мотивированный трафик, присмотритесь.
4–5 «Да»: перед вами чистая ферма, пора включать KillBot.
Момент 5. Экономика: почему клик стоит копейки, а вы платите жизнью бизнеса
Экономика атаки: копейки против сотен рублей
Схема живёт, потому что у неё бешеная экономика: атакующему клик может стоить копейки, а для рекламодателя в перегретой нише — десятки или сотни рублей за переход. Маржа безумная. Но главный ущерб — даже не списание само по себе.
🔗 ДОПОЛНИТЕЛЬНЫЙ ИСТОЧНИК: Ассоциация национальных рекламодателей США заявляла, что лишь четверть расходов на цифровую рекламу доходит до реальных пользователей (ANA, 2020). Imperva Incapsula оценивала ежегодный ущерб от рекламного мошенничества в диапазоне $60–100 млрд.
Эти цифры подтверждают: мы имеем дело с системным перекосом, где цена атаки ничтожна, а цена потерь — катастрофична.
Разрушение автостратегий и машинного обучения
Автостратегии устроены так, что они обучаются на кликах и целевых действиях. Google Smart Bidding и Яндекс.Директ прогнозируют вероятность конверсии, опираясь на исторические данные.
Когда в обучение попадает мусор, алгоритм начинает искать «похожих» — но похожих на мусор. Ваши ставки растут там, где не должно быть показов, а реальные клиенты получают меньше трафика.
Проще говоря, клик ферма как работает: она искажает всю картину мира вашей рекламной кампании, и вы начинаете платить дороже за худшую аудиторию.
KillBot: блокировка по источнику и очистка обучения
Контратака KillBot: когда вы режете не отдельные IP, а классы источников (по snsht и/или net_id), вы увеличиваете стоимость атаки. Плюс вы чистите обучение:
KillBot строит аудитории ботов и помогает минусовать их в Директе через механику сегментов — это прямо описано в документации «Минусуем аудиторию ботов».
В расследовательской логике это и есть «сломать бизнес-модель»: атака перестаёт окупаться, потому что её приходится постоянно пересобирать, а ваш алгоритм больше не учится на помоях.
Как выбрать метод защиты по вашим симптомам
Практикум: Диагностика клик-фермы за 15 минут
5 тревожных сигналов в вашей аналитике
Диагностика клик фермы без магии — пять вещей, которые вы можете проверить прямо сейчас:
1. CTR растёт, а конверсий нет (или конверсии «битые» — отказы сразу после заявки).
2. Подозрительно одинаковое время на сайте у десятков визитов.
3. Визиты «экономят» загрузку: в KillBot есть параметр l (loaded), и в FAQ прямо сказано, что боты могут недозагружать код для экономии ресурсов.
4. Слишком много «уходов в фон» — типично для мотивированных, делающих отчёт/скрин.
5. Одинаковые отпечатки там, где «должны быть разные люди»: повторяемые net_id и/или snsht у множества визитов.
Почему ручная проверка не масштабируется
Вручную вы можете найти один-два подозрительных визита, но когда их тысячи, а бюджет тает в реальном времени, ручная работа бесполезна. В KillBot для этого создан раздел «Слепки»: трафик автоматически кластеризуется, боты и люди разделяются по слепкам софта.
✅ ЧЕК-ЛИСТ: 5 пунктов для самопроверки рекламного аккаунта
Готовы ли вы к встрече с клик-фермой
☐ Проверили статистику: CTR выше среднего по нише, а конверсий менее0,5%?
☐ Обнаружили десятки визитов с одинаковым временем на сайте(±1 секунда)?
☐ Видите параметрl < 100% у подозрительных сессий?
☐ visibilitychange срабатывает чаще одного раза за визит?
☐ Кластеризовали трафик в «Слепках» и нашли повторяемыеsnsht?
Интерпретация:
0–1 «Да»: скорее всего, всё чисто.
2–3 «Да»: есть повод подключить мониторинг.
4–5 «Да»: вы под атакой, запускайте защиту в тот же день.
Сводный удар: Как KillBot уничтожает ферму целиком
Арсенал KillBot против инфраструктуры фермы
KillBot хорош тем, что бьёт по ферме на разных этажах:
- snsht — слепок софта (ловит «программных»).
- net_id — общий источник сетевого окружения (ловит «инфраструктуру»).
- adt / vpn / webdriver — признаки антидетекта, прокси-маски и программного управления.
- DNS-экран — если нужен режим «не увидел сайт вообще» (до контента).
- Скрытые ссылки from=capt — ловушка: боты часто кликают по скрытым ссылкам на странице капчи, KillBot сам показывает пример такого правила.
Алгоритм: с чего начать защиту
Публичный мини-кейс: химчистка в Москве
На странице кейсов KillBot описан пример клиента в нише услуг химчистки в Москве. Задача: исключить ботов из Директа (РСЯ и Поиск). Результат — клики в РСЯ выросли в 2–3 раза при том же бюджете, расходы на поисковую кампанию снизились примерно на 10%, общий бюджет порядка 10 000 ₽/день. Это земной аргумент: защита не просто отсекает плохое, она высвобождает бюджет для реальных клиентов.
Перераспределение бюджета после очистки трафика
Ваш бюджет — не корм для фермы
Клик фермы — не экзотика и не «байка директологов», а ежедневная реальность перегретых ниш. Их сила — в камуфляже: одноразовые IP, «легенда» из истории, мотивированные люди, которые выглядят как клиенты. Ваше оружие — не пара банов и не надежда на «само рассосётся», а анализ источника и поведения.
Не дайте клик фермам съесть ваш бюджет. Их бизнес держится на том, что вы не видите «классы» атак. KillBot показывает их слепками и сетевыми идентификаторами и помогает выключить показы «похожим на ботов». Зарегистрируйтесь в KillBot бесплатно и посмотрите, сколько ферм уже пасётся на вашем трафике.
⚠️ ДИСКЛЕЙМЕР: все финансовые оценки и статистические выкладки в статье основаны на публичных отчётах(Juniper Research, ANA, Imperva Incapsula) и обобщениях индустрии. Реальный ущерб варьируется в зависимости от ниши и объёмов рекламных кампаний.
📢 ПРОМО: Попробуйте KillBot бесплатно — найдите скрытые фермы в вашем трафике за 5 минут
Дисклеймер: материал носит информационный и расследовательский характер. Автор не призывает к созданию или использованию клик ферм.
Реклама. Вся информация о рекламодателях по ссылкам в статье.