Фродовый трафик: что это такое и как определить (7 способов + автоматический детектор)

Определение: фродовый трафик — это клики, которые имитируют интерес, но не являются покупателями.

Что такое фрод и антифрод — вопрос, с которого начинается защита рекламного бюджета. Фродовый трафик — это клики и визиты, которые имитируют интерес к продукту, но не являются реальными покупателями: их создают боты, автоматика или люди «за вознаграждение». Результат — мусор в аналитике и прямые потери рекламного бюджета.

💬 МНЕНИЕ ЭКСПЕРТА: «Фродовый трафик — это не просто плохие клики. Это искажение реальности, в которой вы принимаете бизнес-решения. Как аналитик, я настаиваю: нельзя доверять данным, не проверив их на техническом уровне.» | Аналитик по веб-аналитике и фрод-аналитик

Мошеннический трафик давно перестал быть нишевой проблемой арбитражников. В 2026 году это фон рынка. Некачественный трафик проникает в рекламные кампании любого масштаба — от стартапов до энтерпрайза.

Скликивание рекламы и слив рекламного бюджета происходят ежедневно, и вопрос не в том, «есть ли боты», а в том, насколько они маскируются под реального пользователя.

Боты.

Они повсюду.

Бот-трафик в цифрах: почему ручной анализ больше не работает

Рисунок. Масштаб бот-трафика в 2025–2026

Масштаб в 2026: >53% веб-трафика — боты, а AI-атаки выросли в 12,5 раза

По данным Thales/Imperva, по итогам 2025 года боты сгенерировали более 53% всего веб-трафика. «Плохие боты» — около 40% от общего объёма. AI-driven атаки выросли в 12,5 раза, а 27% бот-атак бьют напрямую в API, обходя интерфейс сайта

🔍 ИССЛЕДОВАНИЕ: «боты дали >53% всего веб трафика, “bad bots” — около 40%, AI driven атаки выросли в 12,5 раза, 27% бот атак бьют в API» | Imperva Bad Bot Report, 2026.

Juniper Research оценивает глобальные потери от рекламного фрода: $84 млрд в 2023 году с прогнозом более $170 млрд к 2028

🔍 ИССЛЕДОВАНИЕ: «$84B потерь в 2023 и прогноз > $170B к 2028» | Juniper Research, 2023.

Российский контекст: доля вредоносных ботов выросла с 30% до 41% за два года

Локальная картина не лучше. По данным F6 (пресс-релиз от 4 марта 2026), доля атак вредоносных ботов на защищаемых ресурсах выросла с 30% в 2023 году до 39% в 2024 и 41% по итогам 2025

🔍 ИССЛЕДОВАНИЕ: «доля атак вредоносных ботов выросла с 30% (2023) → 39% (2024) → 41% (итоги 2025)» | F6, 2026.

StormWall за первое полугодие 2025 зафиксировал рост объёма вредоносного бот-трафика в России в 1,9 раза год к году

🔍 ИССЛЕДОВАНИЕ: «объём вредоносного бот трафика в России увеличился в 1,9 раза год к году» | StormWall, 2025.

В арбитраже трафика средний уровень фрода выглядит скромно — Spider Labs/Spider AF указывают ~5,12% для 2024 года. Но это «средняя температура по больнице». В отдельных рекламных сетях показатель достигает 46,9%, а у некоторых рекламодателей до 51,8% бюджета уходило в фальшивый трафик до подключения защиты

🔍 ИССЛЕДОВАНИЕ: «средний уровень ~5.12%, в отдельных сетях ≥46.9%, у отдельных рекламодателей до 51.8% бюджета распознано как фрод до защиты» | Spider Labs/Spider AF, 2024.

Fraudlogix на датасете 105,7 млрд показов за 2025 год фиксирует глобальный IVT rate 20,64%

🔍 ИССЛЕДОВАНИЕ: «global IVT rate 20.64% на датасете 105.7B impressions» | Fraudlogix, 2025.

Масштаб понятен. Теперь —

Где прячется фрод именно у вас?

Как Яндекс.Директ борется с фродом и почему роботы всё равно доезжают до вашего сайта

Онлайн- и офлайн-фильтрация: что Яндекс уже делает и где ваша реальная боль

В Яндекс.Директе работает антифрод в Яндекс.Директе: система фильтрует недействительные клики онлайн и перепроверяет статистику офлайн. Клики и конверсии, признанные недействительными, удаляются из статистики, а расходы возвращаются рекламодателю.

Звучит хорошо. Но есть нюанс.

Почему Метрика и Директ по-разному считают роботов и как это маскирует проблему

Даже при работающем антифроде Директа «грязь» успевает доехать до сайта и исказить Яндекс.Метрику. Причина проста: в Метрике и Директе разные системы определения роботов. Часть ботов специально маскируется под людей, проходит фильтры Директа и оседает в вашей аналитике.

Результаты очистки трафика: как меняется роботность в Метрике

Кейс из практики: подключение системы анализа трафика позволило снизить показатель роботности в Метрике с 45% до 9%. Это не просто цифры — это возврат контроля над данными, на основе которых принимаются решения о бюджетах.

Итак, боты на сайте есть. Как их заподозрить?

Симптомы в Яндекс.Метрике: как быстро заподозрить фрод

Резкий рост отказов и падение вовлечённости: первые красные флаги

В Яндекс.Метрике роботы часто проявляются как резкий рост отказов и падение вовлечённости. Логика простая: бот не читает контент и не совершает целевых действий. Он заходит и уходит.

Ориентиры нормы, собранные веб-аналитиками Realweb по сотням проектов: допустимая доля роботного трафика — до 10%, аномальным считается всплеск отказов выше 40% при средней глубине просмотра меньше полутора страниц.

🔗 ИСТОЧНИК: Realweb, руководство по ручному анализу фрода в Метрике, 2026

Правило 15 секунд: как работает определение отказа и почему боты в него попадают

Визит считается отказом, если одновременно выполнены три условия: один просмотр страницы, длительность ниже порога (по умолчанию 15 секунд) и отсутствие события «неотказ». Поэтому всплеск быстрых визитов без действий — частый первый симптом.

Заметили такой паттерн? Пора копать глубже.

7 практических способов выявления фродового трафика (и почему они «каменный век»)

Способ 1: Несоответствие языка, локали и таймзоны стране по IP

Что смотреть вручную. Сегментируйте визиты с большим количеством кликов и нулевой конверсией. Сверьте гео по IP с таймзоной, локалью и языком браузера.

Красный флаг. Массовые несостыковки: страна по IP — Россия, а timezone = UTC, локаль = en_US. Такое поведение типично для автоматизации и прокси-инфраструктур.

Ручной труд. Отчёт по гео + ручная сверка десятков визитов. На один источник можно убить час.

Автоматика. В системе анализа трафика такие несостыковки читаются из полей user.timezone, user.locale, browser.language, net.country и используются как факторы в правилах классификации.

Способ 2: IP «с хостинга» — reverse DNS и облачные фермы

Что смотреть вручную. Выгрузите IP-адреса подозрительных визитов. Проверьте reverse DNS каждого адреса и номер автономной системы (ASN).

Красный флаг. IP резолвятся в хостинг-провайдеров и облака: *.compute.amazonaws.com, *.azure.com, IP ranges дата-центров.

Ручной труд. На проверку 20 IP — 40 минут. На тысячу — нереально.

Автоматика. Поле net.host автоматически определяет reverse DNS. В примере правил системы прямо показан кейс с детекцией визитов, резолвящихся в облачную инфраструктуру.

Способ 3: «Серверность» трафика — открытые порты и тип сети

Что смотреть вручную. Технически возможно сканировать порты IP-адресов посетителей, но на практике это не рекомендуется: нарушение этики, ложные срабатывания, неработоспособность в масштабе.

Красный флаг. Открытые порты 22, 3389, 443, признаки корпоративной сети у якобы «домашнего пользователя».

Ручной труд. Практически неприменим.

Автоматика. Поля net.ports и killbot.net_t показывают порты и производный тип сети. Тип corp определяется в том числе по наличию открытых портов 80/443/22/3389.

Способ 4: WebDriver и браузер под управлением автоматики

Что смотреть вручную. Внедрите JS-логирование navigator.webdriver и отправляйте данные в аналитику. Это стандартное свойство, которое сообщает, что user agent контролируется WebDriver-автоматизацией.

Красный флаг. Доля визитов с webdriver=true среди подозрительного сегмента.

Ручной труд. Требует инженерной настройки логирования. Без неё признак невидим.

Автоматика. Поле browser.webdriver. В правилах системы webdriver=true прямо трактуется как программное управление — то есть бот-сценарий.

NO DATA: точная доля пользователей с browser.webdriver=true в легитимном трафике не указана в источниках — требуется уточнение

Способ 5: Групповой анализ в Вебвизоре — повторяющиеся сценарии

Что смотреть вручную. Откройте 20–30 записей из подозрительного сегмента в Вебвизоре. Ищите одинаковые маршруты, клики, повторяющиеся «любимые» странные страницы.

Красный флаг. Поведение «как под копирку» у десятков визитов.

Ручной труд. Смотреть Вебвизор по одному визиту — ловушка. Только групповой анализ даёт результат. 30 записей × 3 минуты = 1,5 часа на один сегмент.

Автоматика. Визиты группируются по идентификатору слепка snsht. Внутри одного snsht поведение обычно идентично. В кейсах системы фильтр по snsht=... позволяет найти все визиты одного бот-софта и просмотреть их в Вебвизоре группой.

Как выбрать метод анализа фрода под вашу задачу

Таблица. Как искать фрод в Вебвизоре

Способ 6: Мотивированный трафик — реальные люди, но не реальные лиды

Что смотреть вручную. Мотивированный трафик — это реальные пользователи, которые выполняют действие ради внешней награды, а не потому что им нужен продукт. В аналитике он выглядит «как жизнь», но лиды — битые.

Инженерный сигнал (если внедрён). События «вкладка ушла в фон/вернулась» через Page Visibility API (visibilitychange, document.hidden). Сегментируйте ранние уходы и возвраты, сравнивайте конверсию.

Красный флаг. Живые визиты, нормальная вовлечённость, но нулевая квалификация лидов и странные паттерны переключения вкладок.

Ручной труд. Без инженерной настройки практически невидим.

Автоматика. Поддерживается ручная пометка визита как «МОТИВ» — в Метрику передаётся метка mod=true. Этого достаточно, чтобы собирать сегменты и минусовать аудитории.

Важно. Автоматическая детекция мотивированного трафика по Page Visibility не подтверждена публичной документацией системы. Безопасный якорь в статье — mod=true.

Способ 7: Сетевые аномалии — ASN, TTL и повторы «сети» за множеством IP

Что смотреть вручную. Практически никто не собирает TTL и ASN в веб-аналитике «из коробки». Без инженерного внедрения этот способ недоступен.

Красный флаг. «Разные IP, но один и тот же ASN, одинаковый TTL, повторяющаяся сетевая инфраструктура» — классический признак бот-ферм.

Ручной труд. Без специального софта невозможен.

Автоматика. Поля net.asn, net.ttl, killbot.net_id, net.ttlOS, net.ports. Принцип TTL как сигнала опирается на то, что операционные системы стартуют с разных начальных TTL — это стандартный метод OS fingerprinting, используемый в Nmap.

7 измерений фрода: что проверять вручную и как это автоматизировано

Рисунок. 7 признаков фродового трафика

Почему ручной анализ проигрывает ботам: масштаб, маскировка и API-атаки

Ручная диагностика по отдельным признакам полезна как учебное упражнение. Но в 2026 она проигрывает масштабу и маскировке.

Проблема масштаба. Когда боты генерируют более 53% веб-трафика, а подозрительный трафик исчисляется тысячами визитов, проверка 20 IP-адресов руками — капля в море.

Проблема маскировки. Современные боты не «тупые скрипты». Они имитируют поведение пользователя: двигают мышью, скроллят, меняют User-Agent, ротируют IP. AI-driven атаки обходят правила «по одному признаку».

Проблема API. 27% бот-атак бьют напрямую в API, минуя интерфейс сайта. Там нет Вебвизора, нет страниц для анализа поведения — есть только логи и многомерные данные.

Цена бездействия. По оценке сервиса BotFAQtor, российский рекламный рынок ежедневно теряет от фрода около 1 млрд рублей

🔗 МНЕНИЕ: Евгений Миронов, руководитель BotFAQtor, подкаст «Маркетинг и реальность», 2024.

А по данным FraudScore за 2024 год, доля мошеннического трафика в России и СНГ достигает 41,5%, что сопоставимо с мировыми значениями

🔍 ИССЛЕДОВАНИЕ: FraudScore, отчёт о фроде в digital-рекламе, 2024.

Что работает в 2026. Многомерная классификация. Даже enterprise WAF’ы описывают бот-детект как ML-модель: FortiWeb, например, строит SVM-модель и оценивает трафик по 13 измерениям поведения

🔍 ИССЛЕДОВАНИЕ: техническая документация FortiWeb, дата не указана.

Групповой анализ по слепкам — единственный практичный ручной подход, который иллюстрирует сама система анализа трафика в кейсах: анализ слепков → просмотр групп в Вебвизоре → пометка.

Юридический тупик. Важный нюанс: легальных механизмов наказания за фрод не существует. «Никаких юридических аспектов, по которым компания могла бы обратиться к регулятору, нет — только IT-защита»

🔗 МНЕНИЕ: Евгений Миронов, руководитель BotFAQtor, 2024.

Это означает, что единственный путь — технологическая профилактика.

Алгоритм: что делать в вашей ситуации

Рисунок. Структура решений

KillBot как автоматический диагност: тех-улики, метки в Метрику и групповой анализ

Что подтверждено: досье визита, слепки и классификация по софту доступа

Система анализа трафика описывает антибот-логику как работу со слепками (snapshot/snsht). Трафик кластеризуется по «софту доступа» — комбинации характеристик браузера, сети и устройства. Решения принимаются по группам визитов, а не по одиночным событиям.

Важно: капча показывается не всем подряд. По заявлению сервиса, лишь 3–5% пограничного трафика могут увидеть капчу-слайдер, а 95% пользователей проходят без трения.

Поля-улики в публичном JSON: timezone, host, ports, webdriver, ttl и другие

Публичное описание параметров системы позволяет привязать каждый из семи «ручных признаков» к конкретным данным визита:

• Способ 1 → user.timezone, user.locale, browser.language, net.country
• Способ 2 → net.host
• Способ 3 → net.ports, killbot.net_t
• Способ 4 → browser.webdriver
• Способ 5 → snsht (идентификатор слепка для группировки)
• Способ 6 → mod=true (ручная пометка мотивированного трафика)
• Способ 7 → net.asn, net.ttl, killbot.net_id, net.ttlOS

В документации правил системы прямо приведён пример классификации визита как бот-трафика: webdriver=true, timezone не совпадает со страной, reverse DNS в облако, неполная загрузка кода.

Мостик в Метрику: wl, bl, bot, fraud, snsht, vpn — как сегментировать и минусовать

Система прямо перечисляет параметры, передаваемые в Яндекс.Метрику:

• wl — белый список
• bl — чёрный список
• fraud/bot — фрод и бот-метки
• capt, solved — связанные с капчей
• l — язык
• os — операционная система
• vpn — признак VPN
• net_id — идентификатор сети
• snsht — идентификатор слепка
• UserID — идентификатор пользователя
• ru — признак региона

Это превращает антифрод в операционную механику: отметка → сегмент в Метрике → исключение аудитории.

Ловушка from=capt: как боты кликают в невидимое и палятся на этом

У системы есть практический детектор «кликов в невидимое». На странице капчи размещены скрытые ссылки с параметром from=capt. Боты, автоматически анализирующие DOM, часто кликают по ним — и палятся на действии, которое реальный пользователь физически не может совершить. В инструкции по Директу предлагается WAF-правило, помечающее такие визиты.

Кейсы: падение роботности с 45% до 9% и рост кликов в РСЯ в 2–3 раза

Результаты внедрения KillBot: три подтверждённых кейса

Рисунок. Три кейса внедрения системы

Кейс 1. Портал недвижимости. Система позволила найти ботов в Вебвизоре по фильтру snsht=... и провести групповой анализ. Роботность в Метрике упала с 45% до 9%.

Кейс 2. Химчистка / Директ. После исключения бот-аудиторий через метки в Метрике — рост кликов в РСЯ в 2–3 раза при том же бюджете. Фродовый трафик перестал «съедать» показы.

Кейс 3. СМС-баланс. Фрод — не только клики. Система зафиксировала атаки на бизнес-процессы, маскировавшиеся под легитимный трафик. Подтверждение: фрод — это проблема не только рекламы, но и безопасности.

Практикум «Диагностика за 15 минут»: чек-лист от симптомов к решению

Быстрый практикум строится как «воронка»: сначала ловим симптомы в Метрике (включая отказы по правилу 15 секунд), затем подтверждаем тех-уликами и только потом принимаем решения — сегментировать, минусовать, скрывать аналитику от ботов.

Этот порядок соответствует и логике Метрики (роботы могут маскироваться, а Метрика и Директ считают их по-разному), и механике автоматизированной системы (метки → сегменты → действия).

✅ ЧЕК-ЛИСТ: 8 критериев для проверки трафика на фрод
Готовы ли вы к борьбе с фродовым трафиком?
Вопросы:
☐ Шаг1: Видите резкий рост отказов (>40%) и падение глубины просмотра (<1.5 страниц)?
☐ Шаг2: Сверили geo vs timezone/locale/language — нашли массовые несостыковки?
☐ Шаг3: Проверили 10–20 IP черезreverse DNS — попали на облака/хостинг?
☐ Шаг4: Проверили серверность трафика —есть открытые порты, corp-сеть?
☐ Шаг5: Проверили WebDriver (если собираете) — доля webdriver=true высокая?
☐ Шаг6: Открыли Вебвизор — нашли группы визитов с одинаковыми сценариями?
☐ Шаг7: Проверили ASN/TTL — нашли повторы сети за множествомIP?
☐ Шаг8: Проверили качество лидов — есть мотивированный трафик?
Интерпретация:
0–3 «Да»: Фрод, вероятно, минимален. Продолжайте мониторинг.
4–6 «Да»: Фрод присутствует. Начните с группового анализа в Вебвизоре и проверки тех-улик.
7+ «Да»: Фрод масштабный. Ручной анализ неэффективен — нужно автоматическое решение.

Что делать дальше: от ручного анализа к автоматической защите

Если вы видите симптоматику фрода — не пытайтесь «поймать бота руками по одному визиту». В 2026 масштабы такие, что нужен многосигнальный подход и нормальная разметка в аналитике.

Практический следующий шаг — настроить метки и сегменты в Метрике: wl, bl, bot, fraud, net_id, snsht. И начать исключать аудитории уже на стороне Метрики и Директа.

Система анализа трафика предлагает не «угадывать», а собирать техническое досье визита и передавать улики в Яндекс.Метрику. При этом капча, по заявлению сервиса, показывается только в 3–5% пограничных случаев, а основная масса пользователей проходит без трения.

Фрод — не приговор. Это техническая задача с техническим решением.

⚠️ ДИСКЛЕЙМЕР: Информация в статье носит ознакомительный характер и основана на публичных данных за 2025–2026 гг. Для принятия решений о защите рекламных бюджетов и внедрении антифрод-систем рекомендуется консультация с профильными специалистами.

Реклама. Вся информация о рекламодателях по ссылкам в статье.