Иногда вы запускаете кампанию, креативы залетают, лиды сыплются в CRM, но профита нет. Брокер присылает отчеты о низком качестве, срезает выплаты и намекает, что ваш трафик — это сплошной мусор.
Если вам это знакомо, то, скорее всего, вы стали жертвой целенаправленной атаки. В арбитраже, особенно в криптовертикали, конкуренты не просто скликивают ваш бюджет, но и заваливают систему фейковыми регистрациями. Мы в CRMate досконально изучили изнанку ботовых атак и подготовили для вас несколько проверенных подходов к решению проблемы.
В криптовертикали фрод опаснее всего
Если в товарке бот просто тратит ваши деньги на клики, то в крипто-нише он бьет по самому больному — отношениям с рекламодателем. Большинство сделок здесь идет по моделям CPL или CPA, где каждый юзер проверяется под микроскопом. Когда брокер видит в базе мертвые души, он перестает доверять байеру. Проблема в том, что доказать свою невиновность постфактум почти невозможно, если у вас нет детальных логов и аналитики по каждому клику.
Зачастую атаки ботов автоматизированы. Существуют целые платформы, где за копейки можно заказать массовый наплыв ботов на воронку конкурента. Скрипты имитируют поведение реальных людей, проходят регистрацию и оставляют данные, которые на первый взгляд кажутся валидными. В итоге вы не только сливаете бюджет впустую, но и дезинформируете рекламную сеть. Алгоритмы Facebook* или Google видят «успешные» регистрации и начинают оптимизировать кампанию под ботов, считая их вашей целевой аудиторией, что только усугубляет ситуацию и превращает слив бюджета в бесконечный процесс.
Бороться с этим можно и нужно, причем делать это стоит на этапе приема лида, а не когда брокер уже выставил вам претензию.
Маркеры фрода: как вычислить ботов среди живых лидов
Если у вас возникли подозрения, первым делом стоит провести ревизию уже пришедших лидов. Боты редко бывают по-настоящему креативными. Обычно они используют одни и те же паттерны при генерации имен и фамилий.
Проверьте свои данные на следующие признаки:
- Повторение одних и тех же имен с разными фамилиями или номерами телефонов;
- Микс одинаковых данных в разных комбинациях. Например, сегодня в базу падает Иван Петров с одним номером, а завтра — Иван Петров с другим. Имена, фамилии и цифры в номерах просто тасуются скриптом в случайном порядке.
- Аномально высокая скорость регистраций в определенные промежутки времени;
- Странные сочетания имен, которые не характерны для выбранного ГЕО.
Такой анализ дает понимание того, насколько чистый трафик вы получаете на самом деле. Часто плохие результаты списываются на капризы алгоритмов Facebook* или Google, хотя на деле рекламные кампании планомерно засоряют конкуренты. Проверка базы — это первый шаг к тому, чтобы вовремя остановить слив бюджета и перенастроить защиту.
Где выстраивать оборону: лендинг или сервер
Чтобы не разбираться с проблемой постфактум, стоит продумать защиту заранее. Тут есть два способа: либо жестко фильтровать все на самом лендинге, либо выстраивать оборону на серверной части.
Фильтрация на лендинге
На лендинге мы можем брать хитростью и запутывать ботов. В большинстве случаев они атакуют не конкретный сайт, а ваши рекламные кампании без разбора, используя максимально универсальные алгоритмы. Наша задача — внедрить скрытые поля, которые бот видит в коде, но обычный юзер — нет. Например, можно создать отдельную скрытую форму и перекрыть ее визуальным элементом: бот заполнит поля first name или phone, среагировав на стандартные названия, а реальный пользователь их даже не заметит.
Для эффективной работы этой механики можно использовать подобные примемы:
- Замена названий реальных полей на случайные значения, чтобы сбить автоматизированный скрипт с толку;
- Добавление скрытого поля last name к основному полю, в котором реальный человек пишет имя и фамилию целиком;
- Имитация успешной отправки данных от бота с привычным редиректом на страницу благодарности.
Если скрытое поле заполнено — это стопроцентный бот. Такие заявки все равно попадают в вашу систему, но вы сразу видите метку фрода и причину, по которой лид не ушел дальше. Это позволяет принимать регистрацию, не передавая мусорные данные рекламодателю и сохраняя качество вашего трафика в глазах брокера.
Создание барьера на сервере
Перенос логики защиты на бэкенд — это создание прокладки между лендингом и системой рекламодателя. Бот не видит, что происходит после нажатия кнопки регистрации, поэтому не может подстроиться под фильтры или найти лазейки. Основная ценность подхода — возможность проводить глубокую аналитику на основе логов.
Защита на уровне сервера дает несколько ключевых преимуществ:
- Возможность принимать любую заявку, чтобы бот не зафиксировал блокировку и не начал менять алгоритм действий;
- Сохранение данных в локальной системе без их автоматической отправки брокеру;
- Полная прозрачность статистики, где каждая фродовая регистрация помечена конкретной причиной отказа;
- Защита рекламных кабинетов от обучения на мусорных лидах.
Технически это реализуется через передачу статуса валидности лида на страницу благодарности. Сначала данные уходят на сервер, обрабатываются скриптом, а затем происходит редирект. Ниже — пример такого кода на PHP:
В этой схеме переменная $r выступает индикатором качества регистрации. По умолчанию она равна единице, что означает успешную проверку. Если же система находит признаки фрода или ошибки в данных, значение меняется на ноль. На странице «Спасибо» код дожидается этого ответа: если $r равен «1», конверсионный пиксель срабатывает, если «0» — вызов пикселя блокируется.
Так Facebook*, Google и другие будут получать сигналы только о реальных юзерах. Это сохраняет настройки оптимизации кампаний и избавляет от необходимости платить за пустые действия ботов.
Технические маркеры фильтрации
Мы разобрались, где именно ставить заслон — на лендинге или на сервере. Но остается главный вопрос: по каким признакам система должна понимать, что перед ней бот, а не реальный человек, готовый внести депозит? Если рубить всех подряд по формальным признакам, вы просто останетесь без трафика.
Если пропускать всех — разоритесь на фроде и испортите репутацию у брокера. Чтобы защита работала точечно, нужны глубокие технические зацепки, которые скриптам подделать намного сложнее, чем просто сменить строчку в настройках браузера.
Многие по старинке пытаются фильтровать трафик по IP-адресам через обычные чекеры или User-Agent. На деле это почти бесполезно: UA меняется одной строчкой кода, а базы прокси часто ошибаются. В странах Tier-3 такие сервисы могут пометить как фрод до 90% реальных мобильных юзеров просто из-за специфических настроек местных операторов. Вместо того чтобы гадать на кофейной гуще, лучше внедрять комплексный анализ устройства.
В вашем арсенале должны быть следующие инструменты:
- Fingerprint устройства. Это уникальный отпечаток, который собирается из десятков технических характеристик. Если с одного и того же железа пришло пять разных лидов — это бот.
- События тачскрина для мобильных телефонов. У реального смартфона всегда есть события touchstart или touchmove. Если их нет, а юзер-агент говорит, что это iPhone — перед вами эмулятор.
- Наличие плагинов и API в браузере. Реальные браузеры имеют специфические параметры вроде plugins или Notification API. Боты-эмуляторы часто их отключают для экономии ресурсов.
- Проверка на WebDriver. У многих автоматизированных браузеров параметр webdriver установлен в значение true, что сразу выдает их природу.
- Анализ типа соединения. Вместо бесполезных прокси-чекеров лучше проверять тип IP-адреса. Соединения Residential или Mobile обычно принадлежат живым людям, а серверные адреса — это часто боты, VPN или эмуляторы.
Если опираться только на один маркер из списка, вы рискуете забанить нормального юзера с нестандартными настройками системы. Максимальный профит дает именно комбинация методов: когда вы чекаете все в комплексе — от движения курсора до фингерпринтов — точность детекта фрода заметно растет.
Подводим итоги
Защита от фрода — это не роскошь, а необходимость для выживания в современном арбитраже. Вы можете внедрить все описанные методы самостоятельно: прописать проверки на Fingerprint, настроить скрытые поля и доработать логику страницы «Спасибо». Это потребует времени и технических навыков, но результат того стоит.
Если же вы хотите сосредоточиться на заливе и поиске связок, а не на борьбе с ботами, стоит использовать готовые решения. В CRM Mate мы уже внедрили все эти механизмы. Наша система автоматически анализирует трафик, отсекает фрод и следит за тем, чтобы пиксели обучались только на качественных лидах. Подписывайтесь на наш Telegram-канал, там мы делимся еще большим количеством фишек по технической части арбитража.
*— признан экстремистским и запрещен на территории РФ.
Источник