Каждый третий клик в Яндекс.Директ не приносит рекламодателю ничего. Ни звонка, ни заявки, ни даже осмысленного визита на сайт. Часть этих кликов — нецелевые. Но значительная доля — это умышленный фрод: скликивание конкурентами, ботнетами и мошенническими площадками. Фрод в Яндекс Директ ежегодно обходится российским рекламодателям в миллиарды рублей, и масштаб проблемы продолжает расти.
Если вы управляете рекламными кампаниями и замечаете, что бюджет тает, а конверсий нет, — эта статья для вас. Мы разберём конкретные схемы мошенничества, покажем, что ловит и что пропускает встроенная защита Яндекса, и дадим практические инструменты для обнаружения и противодействия фроду.
Масштаб проблемы: фрод Яндекс Директ в цифрах
Российский рынок контекстной рекламы имеет свою специфику. Яндекс.Директ занимает доминирующую позицию в поисковой рекламе на территории России, что делает его главной мишенью для мошенников. По оценкам участников рынка, от 15 до 30 процентов бюджетов в высококонкурентных нишах — юридические услуги, медицина, недвижимость, автобизнес, финансы — расходуется на фродовый трафик.
Проблема усугубляется тем, что в этих нишах стоимость клика достигает 300-800 рублей. Скликивание даже десяти кликов в день — это потеря от 3 000 до 8 000 рублей ежедневно, или до 240 000 рублей в месяц с одной кампании. Для среднего бизнеса это ощутимая часть маркетингового бюджета.
Рекламная Сеть Яндекса (РСЯ) добавляет ещё один слой проблем. Тысячи площадок-партнёров показывают рекламу, и среди них неизбежно присутствуют мошеннические сайты, созданные исключительно ради заработка на фальшивых кликах. Яндекс борется с ними, но масштаб сети делает полный контроль невозможным.
Встроенная антифрод-система Яндекса: что она умеет и где пасует
Яндекс использует многоуровневую систему фильтрации недействительных кликов. Работает она в несколько этапов: автоматические фильтры отсекают очевидный фрод в реальном времени, затем ручные и алгоритмические проверки анализируют подозрительную активность постфактум.
Что система ловит хорошо
Защита Яндекса эффективна против примитивных атак. Многократные клики с одного IP-адреса, клики из дата-центров с известными диапазонами адресов, подозрительно быстрые повторные клики по одному объявлению — всё это фильтруется достаточно надёжно. Также Яндекс умеет распознавать простые скрипты и браузерные расширения для автоматического кликанья.
По заявлениям самого Яндекса, система ежедневно отфильтровывает миллионы недействительных кликов и возвращает рекламодателям средства за те, что были признаны мошенническими.
Где защита недостаточна
Проблема в том, что современный фрод значительно сложнее простого многократного клика с одного IP. Вот ключевые ограничения встроенной защиты:
Постфактумный анализ. Значительная часть проверок выполняется не в реальном времени, а через часы или дни после клика. Всё это время ваш бюджет уже израсходован. Даже если Яндекс впоследствии вернёт деньги, кампания могла быть остановлена из-за исчерпания дневного лимита, и реальные клиенты в это время не видели вашу рекламу.
Зависимость от JavaScript-сигналов. Антифрод Яндекса в значительной степени опирается на данные, собираемые JavaScript-кодом Метрики в браузере посетителя. Продвинутые боты на базе headless-браузеров — Puppeteer, Playwright — научились эмулировать движения мыши, прокрутку страницы, задержки между действиями. Для JS-аналитики такой бот выглядит как живой пользователь.
Распределённые атаки. Когда скликивание выполняется через ботнет из тысяч заражённых устройств, каждое устройство делает один-два клика в день. С точки зрения статистики, каждый отдельный клик выглядит нормально. Системе крайне сложно распознать атаку, когда каждый отдельный бот ведёт себя как обычный пользователь.
Человеческий фрод. Клики, выполненные реальными людьми через кликбиржи, по определению неотличимы от легитимных на уровне отдельного визита. Живой человек генерирует настоящие движения мыши, имеет уникальный браузер и IP-адрес.
Пять основных схем фрода в Яндекс.Директ
1. Скликивание конкурентами
Это самая распространённая и понятная схема. Конкурент или нанятые им люди систематически кликают по вашим объявлениям, чтобы израсходовать дневной бюджет. После этого ваша реклама перестаёт показываться, а все реальные клиенты уходят к конкуренту.
Ручное скликивание — это когда сотрудник конкурента или его знакомые ежедневно вбивают в поиск ваши ключевые фразы и кликают по объявлениям. Метод примитивный, но эффективный при небольших бюджетах. Более продвинутые конкуренты используют автоматизацию: скрипты, управляющие браузерами через прокси-серверы с ротацией IP-адресов. Каждый клик идёт с нового адреса, через чистый браузерный профиль, что делает обнаружение гораздо сложнее.
2. Кликбиржи и фриланс-площадки
На площадках вроде Seosprint, QComment и их аналогах существуют задания формата: «Найди в Яндексе запрос [ваш запрос], кликни по рекламе [описание вашего объявления], проведи на сайте 30 секунд». Исполнитель получает за это 3-5 рублей, заказчик платит за задание, а вы теряете 300-500 рублей за клик.
Особая опасность этой схемы в том, что клики делают реальные люди с реальных устройств. У каждого уникальный IP, реальный браузер, настоящая история посещений. Никакой JavaScript-анализ не отличит такой клик от визита потенциального клиента. Единственный способ обнаружения — статистический анализ поведенческих паттернов на масштабе: исполнители кликбирж ведут себя шаблонно, проводят на сайте ровно столько времени, сколько указано в задании, и не совершают целевых действий.
3. Ботнеты: заражённые устройства
Ботнеты — это сети из тысяч или десятков тысяч заражённых компьютеров и смартфонов, управляемых из единого центра. Владелец ботнета продаёт его как услугу: заказчик указывает объявления или ключевые слова, и заражённые устройства начинают кликать.
Принципиальное отличие от обычных ботов: каждое устройство в ботнете — это реальный компьютер реального пользователя. У него настоящий IP-адрес домашнего провайдера, полноценный браузер с историей, куки, расширениями. Один-два клика в день с каждого устройства не вызывают подозрений. Обнаружить ботнет можно только анализируя совокупность признаков: аномалии в TCP/IP-стеке, несоответствие заявленных и реальных характеристик браузера, паттерны активности, характерные для автоматизированных действий.
4. Фрод в РСЯ: мошеннические площадки
Рекламная Сеть Яндекса включает сотни тысяч сайтов-партнёров, которые размещают рекламные блоки и получают долю от кликов. Это создаёт прямой финансовый стимул для фрода: владелец площадки заинтересован в максимальном количестве кликов по рекламе на своём сайте.
Типичная схема: мошенник создаёт десятки или сотни сайтов-дорвеев с автоматически сгенерированным контентом, размещает на них рекламные блоки РСЯ и нагоняет трафик через ботов или дешёвый трафик из тизерных сетей. Посетители — реальные или автоматизированные — кликают по рекламе, владелец площадки получает выплату, рекламодатель получает бесполезные визиты.
Ещё одна вариация — iframe-фрод и фоновые клики: рекламный блок загружается в невидимом фрейме, и скрипт на странице автоматически имитирует клик. Пользователь площадки даже не знает, что «кликнул» по рекламе.
5. Мобильный фрод: SDK spoofing и click injection
С ростом доли мобильного трафика появились специфические мошеннические техники, нацеленные на рекламу в мобильных приложениях.
SDK spoofing — это подделка сигналов от рекламного SDK. Мошенническое приложение генерирует фальшивые события — показы, клики, установки — без реального взаимодействия пользователя с рекламой. Сервер получает технически корректные данные, которые выглядят как легитимная активность.
Click injection — техника, при которой вредоносное приложение на Android отслеживает установку других приложений и в момент установки генерирует фальшивый клик по рекламе. В результате мошенник получает атрибуцию за органическую установку — рекламодатель платит за пользователя, который и так бы установил приложение.
Для Яндекс.Директ мобильный фрод особенно актуален при продвижении приложений и в кампаниях с мобильными площадками РСЯ.
Как обнаружить фрод в Яндекс.Директ через Метрику
Яндекс.Метрика — первый инструмент диагностики. Вот конкретные аномалии, которые должны вас насторожить.
Резкий рост показателя отказов
Если bounce rate по конкретным кампаниям или ключевым фразам превышает 80-90 процентов, при том что раньше был 40-50, — это сигнал. Особенно если всплеск произошёл резко и не объясняется изменениями на сайте или в объявлениях. Постройте отчёт по источникам и посмотрите, какие именно площадки или ключевые слова дают аномальные отказы.
Аномально короткие сессии
Отфильтруйте визиты с продолжительностью 0-2 секунды. Если доля таких визитов с рекламного трафика превышает 30-40 процентов, велика вероятность фрода. Живой пользователь, даже незаинтересованный, обычно проводит на странице хотя бы 5-10 секунд. Визит длительностью 0 секунд — это бот или случайный клик.
Географические аномалии
Если ваша реклама нацелена на Москву, а в отчёте по географии вы видите значительную долю визитов из регионов, которые не входят в таргетинг, — стоит разобраться. Ботнеты часто включают устройства из самых разных регионов, и не все из них корректно подменяют геолокацию.
Временные паттерны
Постройте почасовой отчёт по кликам. Если значительная доля кликов приходится на период с 2 до 6 часов ночи — это красный флаг. В большинстве b2b- и b2c-ниш реальная аудитория в это время спит. Автоматизированные системы скликивания часто работают круглосуточно, и ночные часы выдают их присутствие.
Вебвизор: отсутствие активности
Вебвизор — мощный инструмент для ручной проверки подозрительных визитов. Откройте записи сессий с подозрительных источников и обратите внимание на характерные признаки: полное отсутствие движения мыши, отсутствие прокрутки, мгновенный уход со страницы. Если бот работает на headless-браузере без эмуляции пользовательского поведения, в Вебвизоре вы увидите «мёртвую» сессию: страница загрузилась — и всё.
Продвинутые боты эмулируют движения мыши, но часто делают это неестественно: идеально ровные линии, равномерная скорость, механические паттерны. Человек так мышью не двигает.
Возврат средств: как подать жалобу в Яндекс
Если вы обнаружили признаки скликивания, у вас есть возможность запросить возврат средств через Яндекс. Процедура следующая.
Соберите доказательную базу: выгрузки из Метрики с аномальными показателями, логи веб-сервера с IP-адресами и User-Agent подозрительных визитов, скриншоты из Вебвизора, данные о временных паттернах. Чем конкретнее доказательства, тем выше шанс на возврат.
Обратитесь в поддержку Яндекс.Директа через форму обратной связи или личного менеджера (если он есть). Опишите проблему, укажите конкретные кампании, даты и приложите собранные данные.
Яндекс проведёт внутреннюю проверку. Типичный срок рассмотрения — от нескольких дней до двух-трёх недель. По результатам Яндекс может вернуть средства за клики, признанные недействительными.
Однако будьте готовы к тому, что Яндекс возвращает далеко не все деньги. Система оценки опирается на собственные алгоритмы Яндекса, и если их фильтры не классифицировали клик как фродовый — доказать обратное бывает сложно. Рекламодатели регулярно сообщают, что возвращается лишь часть потерь. Полагаться на возврат как на основную стратегию защиты — неэффективно.
Почему защиты Яндекса недостаточно
Подведём итог ограничений встроенной системы.
Яндекс анализирует клики на основе данных, доступных через JavaScript в браузере и собственные серверные метрики. Это User-Agent, разрешение экрана, установленные плагины, поведение на странице. Проблема в том, что все эти параметры легко подделываются на уровне приложения.
Headless-браузеры последнего поколения — Puppeteer с плагином stealth, Playwright — могут эмулировать полноценный Chrome настолько убедительно, что стандартные JavaScript-проверки не обнаруживают подмену. Бот сообщает реальный User-Agent, имитирует реальное разрешение экрана, генерирует правдоподобные события мыши и клавиатуры.
Именно поэтому рекламодателям необходим дополнительный уровень защиты — тот, который работает ниже уровня приложения и не зависит от данных, контролируемых потенциальным мошенником.
Сетевой уровень: TCP/TLS fingerprinting против продвинутого фрода
Подход, который принципиально меняет ситуацию, — анализ сетевых отпечатков на уровне TCP и TLS. Это технология, которая работает на уровне операционной системы и сетевого стека, а не на уровне JavaScript в браузере.
TCP fingerprinting анализирует параметры TCP-соединения: размер окна, TTL, опции TCP, порядок их следования. Каждая операционная система и её версия имеют характерный набор параметров. Если клик приходит якобы от iPhone с Safari, но TCP-стек соответствует серверной Linux-системе — перед нами бот из дата-центра, маскирующийся под мобильное устройство.
TLS fingerprinting (JA3, JA4) анализирует параметры TLS-рукопожатия: предлагаемые шифронаборы, расширения, их порядок. Каждый браузер и его версия формируют уникальный TLS-отпечаток. Headless Chrome на сервере может подделать User-Agent, но его TLS-отпечаток будет отличаться от отпечатка реального Chrome на Windows — потому что TLS-параметры формируются на уровне сетевого стека, а не на уровне страницы.
Ключевое преимущество сетевого анализа: эти данные невозможно подделать из JavaScript. Бот может эмулировать любое поведение на странице, но он не может изменить параметры TCP-соединения и TLS-рукопожатия, которые видит сервер. Это фундаментальное ограничение, которое делает сетевые отпечатки надёжным инструментом детекции.
Такой анализ выполняется на стороне вашего сервера, в момент подключения посетителя — до того, как загрузится страница и выполнится любой JavaScript. Это значит, что фрод обнаруживается в реальном времени, а не постфактум.
Практический чеклист: что делать прямо сейчас
Если вы подозреваете фрод в своих кампаниях Яндекс.Директ, выполните следующие шаги.
Диагностика (сегодня):
- Откройте Яндекс.Метрику и постройте отчёт по рекламным источникам за последние 30 дней.
- Проверьте показатель отказов по каждой кампании и ключевой фразе. Отметьте все, где bounce rate выше 80 процентов.
- Постройте отчёт по длительности визитов. Выделите кампании с долей сессий 0-2 секунды выше 30 процентов.
- Проанализируйте географию и временные паттерны: есть ли клики из нетаргетированных регионов или аномальная ночная активность.
- Просмотрите 20-30 записей Вебвизора с подозрительных источников.
Оперативные меры (эта неделя):
- Добавьте подозрительные площадки РСЯ в чёрный список кампании.
- Настройте корректировки ставок: понизьте для подозрительных регионов и устройств.
- Если фрод очевиден — подайте жалобу в поддержку Яндекса с собранными данными.
- Настройте цели и отслеживание конверсий, если ещё не сделали — без этого невозможно оценить реальное качество трафика.
Системная защита (этот месяц):
- Внедрите серверный анализ трафика с TCP/TLS fingerprinting. Это единственный способ детекции продвинутых ботов в реальном времени.
- Настройте автоматические алерты на аномалии: резкий рост расхода, падение конверсии, всплеск отказов.
- Регулярно пересматривайте список площадок РСЯ и исключайте некачественные.
Заключение
Фрод в Яндекс Директ — это не гипотетическая угроза, а повседневная реальность для большинства рекламодателей. Встроенная защита Яндекса работает, но покрывает лишь часть угроз. Продвинутые боты, ботнеты и кликбиржи генерируют трафик, который на уровне JavaScript-аналитики неотличим от реального.
Защита рекламного бюджета требует комплексного подхода: регулярный мониторинг метрик, оперативная работа с чёрными списками и, главное, — технологии, работающие на уровне сети, а не браузера. TCP/TLS fingerprinting обнаруживает фрод там, где классические инструменты бессильны — и делает это в реальном времени, до того, как ваш бюджет будет потрачен.