Какие инструменты фильтрации использовать?

Антифрод в арбитраже: как распознавать «мусорный» трафик до того, как его примет оффер

В арбитраже трафика значительная часть потерь связана не с креативами или лендингами, а с некачественными переходами и некорректными лидами. Большую долю такого трафика можно выявлять до отправки в оффер — за счет корректно настроенных фильтров, внимательного анализа метрик и базовой валидации. В материале — понятное объяснение типов фрода, набор показателей для оценки до клика и после клика, перечень инструментов и отчетов. 

Что такое «мусорный» трафик и почему он возникает

Под «мусорным» трафиком подразумеваются переходы и конверсии, не создающие ценности для рекламодателя: боты, клики без намерения, массовые повторные регистрации и заявки с некорректными данными. Появление такого трафика чаще всего связано с закупкой на сомнительных площадках, масштабированием без контроля качества, нерелевантными обещаниями в креативе или отсутствием технических ограничений на уровне трекера и формы. Для веб-мастера это означает более долгую проверку и задержку выплат по заявкам, уменьшение доли заявок, которые принимает рекламодатель, и рост фактической стоимости привлеченного целевого действия; для рекламодателя — снижение доверия к источнику и ужесточение требований.

Типы фрода и где они встречаются

Бот-трафик

Такой трафик чаще создают не люди, а специальные программы. В отчетах обычно видно одинаковую картину: ночью поток посещений остается равномерно высоким, как будто запускается по расписанию; переходы идут с одних и тех же типов браузеров и устройств; многие визиты приходят с адресов, принадлежащих серверным площадкам, а не домашним интернет-провайдерам; на самой странице почти нет действий — посетитель открывает ее и сразу уходит.

Клик-фрод (накрутка кликов)

Признаки простые: кликов неожиданно много, а страницу закрывают через несколько секунд; часто непонятно, с какого сайта пришел посетитель; система иногда ошибочно засчитывает, что человек пришел из «другой» рекламы. Создается видимость интереса без реального намерения.

Мотивационный трафик (incent)

Пользователь выполняет действие (регистрацию, установку и т. п.) ради бонуса или вознаграждения. Если условия оффера такие действия запрещают, это считается нарушением. В отчетах это выглядит как резкий всплеск заявок из одного и того же «источника» — от одинаковых провайдеров или даже с похожих интернет-адресов. Часто повторяются шаблонные e-mail и телефоны.

Мультиаккаунты и ферма аккаунтов (фарм)

Один человек или группа создает много профилей, чтобы отправлять множество заявок. Это особенно заметно в финансовых офферах и подписках. Признаки: одни и те же устройства и настройки, одноразовые почтовые ящики, виртуальные номера, многократные отправки одной и той же формы с мелкими изменениями в данных.

Поддельные установки приложений (SDK-спуфинг)

Установки выглядят как настоящие, но приложением не пользуются. Видно, что почти никто не возвращается на следующий день, активность внутри приложения минимальная, многие удаляют его уже в первый день. Часто встречаются редкие или «нестандартные» модели устройств — это признак эмуляторов.

Метрики «до клика» и «после клика»

До клика (Pre-click)

  • CTR на площадке. Резкое превышение характерных значений при стабильном CR обычно говорит о проблеме в качестве трафика или о креативе, который создает ложные ожидания.
  • ГЕО/устройства/площадки. Когда почти весь поток идет, например, только со старых телефонов или с сайтов, где аудитория не интересуется темой оффера, риск низкого качества повышается.
  • Суточный ритм. Ровный поток переходов круглые сутки для локального предложения выглядит неестественно: живая аудитория обычно активнее в определенные часы, а не одинаково днем и ночью.

После клика (Post-click)

  • Время на странице и глубина. Массовые визиты менее 3 секунд без прокрутки — частый индикатор некачественных посещений.
  • Поведение на форме. Автозаполнение, сверхбыстрая отправка, однотипные домены для email, несоответствие ГЕО формы и IP.
  • Источник перехода непонятен, а метки одинаковые. Когда система часто не показывает, откуда пришел человек, или когда в отчетах повторяются одни и те же метки, это повод внимательнее проверить трафик.
  • Много входов через маскировку. Повышенная доля визитов с серверных адресов, через VPN и другие способы скрыть реальный адрес указывает на риск фрода.
  • Одинаковые браузеры и устройства. Сосредоточение визитов с одной-двух редких конфигураций, очень старых версий систем или «технических» браузеров часто говорит о неестественном источнике.
  • Несоответствие ключевых показателей. Резкий рост доли людей, которые выполняют целевое действие, при одновременном увеличении задержки проверки/выплат и снижении доли заявок, принятых рекламодателем, обычно означает, что качество трафика ухудшилось и требуется проверка (это базовая задача антифрода в арбитраже).

Инструменты фильтрации и отчеты

Корректно настроенная система позволяет отсеивать рискованные источники еще до отправки заявок рекламодателю. На практике обычно применяются следующие элементы.

Трекер с правилами качества. Трекер — это сервис, который собирает статистику по кликам и заявкам. В нем удобно включать фильтры по «цифровым адресам» посетителей (IP), типам устройств и браузеров, стране и часовому поясу, а также по частоте кликов и заявок. Гибкая разбивка трафика по меткам (subID) помогает быстро понять, с какой площадки пришла проблема.

Промежуточный веб-слой и поведенческие проверки. Речь о легких проверках в браузере: например, страница может ненадолго «спросить» у посетителя выполнить простое действие или подождать пару секунд. Ботам такие проверки даются хуже. Дополнительно полезно ограничивать чрезмерную частоту запросов и смотреть на базовые поведенческие сигналы (скролл, время на странице, ввод в поля).

Распознавание устройства. Имеет смысл использовать технологии, которые определяют «профиль» устройства по совокупности признаков (набор шрифтов, особенности графики и т. п.). Это помогает выявлять эмуляторы и повторные попытки с одного и того же оборудования, даже если меняются адреса подключения.

Проверка адресов и прокси. Отдельные сервисы показывают, не скрывает ли посетитель свой адрес через VPN или прокси и не относится ли этот адрес к серверным площадкам. Такая информация дает дополнительный сигнал о надежности источника.

Проверка заявок (валидация лидов). В типовой набор входит проверка того, правильно ли набран e-mail и существует ли указанный домен, не дублируется ли заявка по телефону, почте или устройству, совпадает ли страна в данных формы со страной подключения. В ряде стран встречается и техническая проверка активности номера у оператора связи — с учетом местных правил.

Журналы событий и технические уведомления. Полезно хранить точные записи о кликах, переходах и заявках с отметками времени и понятными метками источников. Когда рекламодатель присылает автоматическое уведомление о подтвержденном действии, такие записи помогают быстро разбирать спорные случаи и находить повторы.

Отчетность. Ежедневные отчеты по адресам подключения и провайдерам, типам браузеров и устройств, источникам трафика, времени суток и странам помогают видеть аномалии. Сводные экраны с ключевыми показателями (доля выполненных целевых действий, фактическая цена такого действия, число отклоненных заявок по источникам) делают контроль качества наглядным и управляемым.

Как оформить процесс качества: от фильтров к устойчивому контролю

  1. Регламент по качеству (антифрод арбитраж). Внутри команды обычно фиксируют, какие показатели считаются нормой, какие сигналы — тревожными, кто и в какие сроки проверяет подозрительные источники и какие действия выполняются по результатам
  2. Фильтры трафика в трекере. Практика показывает, что полезно задать базовые ограничения: отдельная обработка трафика с серверных адресов и через VPN/TOR, ограничения частоты кликов и заявок с одного адреса или устройства, а также простые поведенческие проверки (например, слишком быстрые клики подряд). Такие фильтры помогают отсечь рискованные потоки еще до передачи заявок рекламодателю
  3. Валидация лидов на форме. На стороне формы обычно добавляют капчу (простую проверку «человек/бот»), проверку правильности e-mail и телефона, защиту от повторных заявок и серверную проверку данных перед отправкой рекламодателю. Это снижает долю ошибочных и «пустых» заявок
  4. Единые метки и журналы событий. Для ссылок и отчетов удобна единая система обозначений: договоренные названия меток в ссылках (например, параметры в UTM) и понятные внутренние метки для источников и креативов. Временные зоны лучше согласовать заранее, чтобы время событий совпадало у всех участников. Автоматические технические уведомления о статусе заявок (постбеки) в режиме проверки помогают видеть, какие данные реально приходят и где возможны расхождения
  5. Регулярные отчеты и автоматические уведомления. При выходе ключевых показателей за установленные пороги система может отправлять ответственным уведомления. Сводные панели с показателями по источникам и странам делают контроль наглядным и помогают своевременно замечать аномалии
  6. Тестовые закупки и масштабирование. На старте разумно работать небольшими объемами и увеличивать долю тех источников, где стабильно высокая доля заявок, которые принимает рекламодатель, и предсказуемая фактическая стоимость одного целевого действия
  7. Согласование правил качества с рекламодателем (оффером). Заранее оговоренные критерии качества и причины возможных отклонений заявок упрощают совместную работу: фильтры обучаются на реальных примерах, а спорных ситуаций становится меньше.

Как это решается в Click2Money

Click2Money — CPA-сеть с витриной офферов по разным вертикалям: финансы, путешествия, HR, EdTech, сервисы, подписки, e-com. На стороне сети доступна подробная статистика по IP/UA/referrer/сабам, что упрощает регулярный контроль качества. Менеджеры помогают подобрать пороговые значения для конкретной вертикали и источников, а также предлагают рекомендации по фильтрам трафика и валидации лидов под требования рекламодателя.

Системный контроль качества трафика держится на трех вещах: заранее заданные пороги ключевых показателей (что считаем нормой и что — отклонением), технические фильтры для отсечения подозрительных переходов и проверка заявок перед отправкой рекламодателю. Такой порядок позволяет отсекать некачественные посещения и поддельные заявки еще до передачи их рекламодателю; проверка и выплаты занимают меньше времени; доля заявок, которые принимает рекламодатель, становится выше; фактическая стоимость одного целевого действия остается предсказуемой. Для команд, которые планируют расширяться, этот подход помогает увеличивать объемы без потери качества в ближайшие месяцы.