Перейти к содержимому

Недействительный трафик и фрод

Часть вредного трафика не ловится обычными лимитами по частоте запросов: при распределённой атаке или накрутке каждый отдельный IP остаётся «тихим» и под порогом, но за всеми адресами стоит одно и то же клонированное окружение. WebShield находит такие группы по корреляции и показывает их отдельно — это и есть выявление недействительного трафика (Invalid Traffic, IVT).

Где смотреть: вкладка Защита статистики домена.

Когда клиент проходит проверку браузера, WebShield снимает слепок браузера — набор технических признаков окружения. У живых людей с разных адресов слепки разные. Если же один и тот же слепок приходит с десятков разных IP за короткое время, это почти всегда признак фермы: эмулятор или клонированный профиль, размноженный по множеству адресов ради обхода лимитов.

Карточка «Недействительный трафик (фрод-фермы)» показывает такие IP-адреса: для каждого — число запросов и сколько общих слепков с ним связано. В отчёт попадают только адреса с сильным сигналом (общий слепок), чтобы список можно было без опаски использовать как доказательство.

Отдельная карточка «Подозрительные клики по рекламе» показывает переходы с рекламными метками (yclid Яндекс.Директа, gclid Google Ads), которые не прошли проверку браузера. Это прямые кандидаты на скликивание рекламного бюджета.

  1. Откройте вкладку Защита и выберите нужный период.
  2. В карточках «Недействительный трафик» и «Подозрительные клики по рекламе» соберите список IP и времени.
  3. Приложите выгрузку к заявке на возврат средств в рекламной сети или используйте для разбора атаки.

WebShield не только показывает эти адреса, но и сам реагирует: подозрительные группы автоматически направляются на дополнительную проверку (капчу), а явные атаки — в бан на сетевом уровне. Отчёт нужен, чтобы вы видели картину и могли вернуть деньги за фальшивые клики.

Корреляция по слепку — сильный, но не абсолютный признак. Массовые одинаковые устройства (например, дешёвые модели с одинаковым графическим стеком) теоретически могут дать совпадение слепков у разных людей, поэтому WebShield дополнительно сравнивает частоту с базовой линией и не считает стабильно популярное устройство фермой. В отчёт намеренно не включаются «поведенческие» подозрения (массовый обход страниц), которые чаще дают ложные срабатывания на больших сетях, — только высокодостоверный сигнал общего слепка.