Click Fraud как Сервис (CFaaS): исследуем подпольные рынки и их техническую инфраструктуру

Введение: Эволюция фрода от клик-ферм до промышленного CFaaS

Современный ландшафт цифровой рекламы столкнулся с экзистенциальной угрозой, которая за последние пять лет трансформировалась из кустарных скриптов в высокотехнологичную индустрию. Click Fraud (скликивание)— это не просто имитация интереса пользователя, это сложная экосистема, где автоматизация и машинное обучение работают на стороне злоумышленников. Появление модели Click Fraud as a Service (CFaaS) ознаменовало переход от разрозненных атак к промышленным масштабам, доступным любому желающему по подписке.

Масштаб угрозы в цифрах 2024-2025

Согласно последним отчетам Juniper Research, глобальные потери рекламодателей от фрода в 2024 году составили приблизительно $84 млрд, а к 2025 году эта цифра прогнозируется на уровне $100-120 млрд. Это означает, что почти каждый четвертый доллар, вложенный в Performance-маркетинг, поглощается недействительным трафиком (IVT — Invalid Traffic).

От «Клик-ферм» к интеллектуальным ботнетам

Если десятилетие назад индустрия боролась с «клик-фермами» — физическими офисами в развивающихся странах, где сотни людей вручную нажимали на объявления, то сегодня эта задача полностью делегирована коду. Эволюция прошла несколько этапов:

1. Простые скрипты (2000-е): Использование cURL или Wget для отправки HTTP-запросов. Обнаруживались элементарной проверкой заголовка User-Agent.
2. Headless Browsers (2010-е): Использование ранних версий PhantomJS или Selenium. Боты научились исполнять JavaScript, что сделало их видимыми для аналитических систем как «реальных» посетителей.
3. CFaaS и резидентные ботнеты (настоящее время): Злоумышленники используют облачные инфраструктуры и зараженные IoT-устройства для создания запросов, которые проходят через IP-адреса обычных домашних пользователей (ISP-прокси).

Почему традиционные методы защиты больше не работают?

Классические системы антифрода долгое время полагались на статические сигнатуры и черные списки IP. Однако в эпоху CFaaS эти методы показывают критически низкую эффективность.

• Динамическая ротация IP: Использование 4G/LTE прокси-ферм позволяет боту менять адрес после каждого клика.
• Имитация поведения: Алгоритмы CFaaS обучаются на реальных данных посещений (Human-like behavior), воспроизводя паттерны движения мыши, скроллинга и даже задержки между кликами, характерные для живого человека.
• Обход Fingerprinting: Современные боты способны подменять аппаратные отпечатки (Canvas, WebGL, AudioContext), создавая для каждой сессии уникальный цифровой профиль, который выглядит как новое устройство.

Цель данного исследования

В данной статье мы проведем глубокую деконструкцию технической инфраструктуры CFaaS. Мы не только изучим, как устроены подпольные рынки продажи кликов, но и разберем конкретные программные методы противодействия: от анализа энтропии движений до детекции автоматизированных окружений на уровне сетевых протоколов (TLS Fingerprinting). Наш анализ включает в себя глубокое погружение в инфраструктуру CFaaS и практические рекомендации по внедрению средств защиты, начиная от сложного TLS Fingerprinting до готовых решений, таких как Clickfraud, которые позволяют немедленно начать борьбу с конкурентным скликиванием.

Важное замечание: Понимание механик фрода необходимо не только для экономии бюджета, но и для обеспечения чистоты данных. Когда ваш алгоритм машинного обучения (например, в Facebook Ads или Google Ads) обучается на ботовом трафике, происходит «отравление данных», что ведет к деградации всех маркетинговых кампаний в долгосрочной перспективе.

Архитектура и рынок CFaaS: Взгляд изнутри подпольной индустрии

Понятие Click Fraud as a Service (CFaaS) возникло как логический ответ на усложнение систем защиты Google Ads, Meta Ads и других гигантов. Сегодня это не просто набор скриптов, а полноценная сервисная модель с техподдержкой 24/7, API-интеграцией и регулярными обновлениями, обходящими паттерны безопасности.

Экономика и бизнес-модели подпольных площадок

Рынок CFaaS сегментирован на несколько уровней в зависимости от сложности атак и целей заказчика. Основные торговые площадки сосредоточены в Darknet (форумы типа Exploit или XSS) и, всё чаще, в специализированных Telegram-каналах и закрытых SaaS-платформах.

Основные модели монетизации:

• «Клик-пакеты» (PPC-модель): Заказчик покупает определенное количество кликов по конкретным ключевым словам или объявлениям конкурентов. Цена варьируется от $10 до $500 за 1000 кликов в зависимости от сложности ГЕО (США и Западная Европа стоят дороже) и типа устройства.
• Аренда инфраструктуры (SaaS): Доступ к панели управления (Control Panel), через которую клиент сам настраивает параметры атаки: время, интенсивность, паттерны поведения и целевые URL.
• Партнерские программы (Affiliate Fraud): Владельцы мусорных сайтов покупают бот-трафик на свои площадки, чтобы искусственно завышать выплаты от рекламных сетей (AdSense и др.).

Техническая инфраструктура: Анатомия ботнета нового поколения

Современная архитектура CFaaS строится на трех столпах: управляющий узел, транспортный уровень (прокси)и движок имитации пользователя.

Двигатели имитации (Browser Engines)

Для генерации кликов больше не используются простые GET-запросы. В основе лежат браузеры на базе Chromium, работающие в режиме headless (без графического интерфейса), но полностью имитирующие реальный рендеринг страницы.

• Puppeteer и Playwright: Стандарты индустрии автоматизации. Сами по себе они легко детектируются, поэтому CFaaS используют кастомные сборки с плагинами типа stealth.
• Антидетект-браузеры: Профессиональные инструменты (например, Dolphin{anty}, AdsPower), которые позволяют программно изменять сотни параметров отпечатка браузера: от версии ядра до установленных шрифтов и видеокарты.

Транспортный уровень: Резидентные и мобильные прокси

Это критически важный компонент. Если запросы идут из дата-центра (AWS, DigitalOcean), любая система антифрода их заблокирует. Поэтому CFaaS используют:

1. Residential Proxies: IP-адреса реальных домашних провайдеров. Они получаются путем внедрения SDK в бесплатные мобильные приложения или через заражение IoT-устройств.
2. Mobile Proxy (4G/LTE): Самый дорогой и эффективный тип. Поскольку тысячи реальных пользователей могут иметь один и тот же внешний IP (из-за CGNAT), системы защиты боятся блокировать такие адреса, чтобы не отсечь легальный трафик.

Таблица 3: Сравнительный анализ эффективности прокси для CFaaS

Технический стек: Реализация «невидимости»

Злоумышленники используют продвинутые методы для того, чтобы скрипт выглядел как человек. Вот как это реализуется программно:

1. Эмуляция аппаратного обеспечения: С помощью JavaScript-инъекций подменяются значения navigator.hardwareConcurrency, deviceMemory, а также параметры рендеринга WebGL, чтобы бот выглядел как устройство с конкретным GPU (например, NVIDIA GeForce RTX 3060).
2. Синтез поведения (Human-like behavior): Вместо мгновенного клика бот выполняет последовательность действий:
   • Плавный скроллинг страницы с переменной скоростью.
   • Движение курсора по кривым Безье (без прямых линий).
   • Задержки между действиями, имитирующие чтение текста (Dwell time).

Пример кода: Конфигурация “Stealth” для обхода базовых проверок

Этот фрагмент демонстрирует, как в современных инструментах (на базе Playwright) инициализируется окружение для минимизации вероятности обнаружения:

JavaScript

const { chromium } = require('playwright-extra');
const StealthPlugin = require('puppeteer-extra-plugin-stealth');

// Подключение плагина для маскировки свойств автоматизации
chromium.use(StealthPlugin());

(async () => {
  const browser = await chromium.launch({ 
    headless: true,
    args: [
      '--disable-blink-features=AutomationControlled', // Отключение флага WebDriver
      '--user-agent=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36...',
      '--proxy-server=http://residential-proxy.net:8080' // Использование жилого прокси
    ]
  });

  const context = await browser.newContext({
    viewport: { width: 1920, height: 1080 },
    deviceScaleFactor: 1,
  });

  const page = await context.newPage();
  await page.goto('https://target-ad-site.com');

  // Имитация "человеческого" ожидания перед кликом
  await page.waitForTimeout(Math.floor(Math.random() * 5000) + 2000);
  
  // Клик по рекламному блоку с использованием координат
  await page.mouse.move(250, 480, { steps: 15 }); // Плавное движение
  await page.mouse.down();
  await page.mouse.up();

  console.log('Click Fraud session completed successfully');
  await browser.close();
})();

Интеграция с сервисами обхода капчи

Если рекламная площадка или сайт рекламодателя выбрасывает CAPTCHA (reCAPTCHA v3, hCaptcha), сервисы CFaaS автоматически перенаправляют это задание на фермы распознавания через API.

• Использование ML-моделей: Для простых текстовых и графических капч используются предобученные нейросети (YOLO/CNN).
• Human-in-the-loop: Для сложных задач запрос уходит реальному оператору (например, Anti-Captcha), который решает её за доли цента, возвращая боту готовый токен доступа.

Совет эксперта: При анализе логов сервера обращайте внимание на заголовок Sec-Ch-Ua. Современные браузеры используют Client Hints. Если User-Agent говорит об одной версии браузера, а Sec-Ch-Ua — о другой (или вовсе отсутствует), это с вероятностью 99% автоматизированный запрос через устаревшую библиотеку маскировки.

Влияние на бизнес: Экономика «пустых» кликов

Click Fraud — это не просто «налог на рекламу», который компании вынуждены платить. Это деструктивный фактор, искажающий саму суть Performance-маркетинга. В эпоху алгоритмических закупок (Programmatic), где решения принимаются нейросетями за миллисекунды, CFaaS становится инструментом «отравления» данных.

Прямая потеря бюджета и деградация ROI

Самый очевидный уровень ущерба — прямые списания. По данным White Ops (ныне HUMAN), в кампаниях с высокой стоимостью клика (Finance, Legal, SaaS) доля фрода может достигать 30-40%.

Рассмотрим влияние на Return on Ad Spend (ROAS) с помощью простой формулы:

$$ROAS = \frac{\text{Revenue from Ad Spend}}{\text{Total Ad Spend}}$$

Когда в игру вступает CFaaS, $\text{Total Ad Spend}$ растет без соответствующего роста $\text{Revenue}$, что ведет к экспоненциальному падению эффективности. Но настоящая проблема кроется глубже: системы автобюджетирования (например, Smart Bidding в Google Ads) видят «высокий интерес» (много кликов) и начинают повышать ставки на ключевые слова, которые на самом деле атакуются ботами.

«Отравление» данных (Data Poisoning) и порча ML-моделей

Современные рекламные платформы строят Look-alike (LAL) аудитории на основе профилей пользователей, совершивших клик или конверсию.

• Механика атаки: Боты имитируют «идеального покупателя» (просматривают страницы, добавляют товар в корзину, но не покупают).
• Последствие: Алгоритм рекламной сети помечает этот бот-профиль как целевой. В результате система начинает показывать вашу рекламу другим ботам или нерелевантным пользователям, которые похожи на этих ботов.

Это создает «петлю отрицательной обратной связи»: вы тратите деньги на поиск аудитории, которая максимально похожа на скрипты злоумышленников.

Искажение воронки и A/B тестирования

Для продуктового аналитика CFaaS — это «шум», который делает невозможным принятие решений.

1. Bounce Rate: Боты могут имитировать активность, снижая показатель отказов, что дает ложное чувство вовлеченности аудитории.
2. Conversion Rate (CR): Огромный наплыв кликов без конверсий обрушивает CR, заставляя команды отказываться от эффективных лендингов или креативов, которые просто попали под атаку ботнета.
3. Time to Convert: Аномально короткое или, наоборот, идеально выверенное время между кликом и действием (например, ровно 30 секунд) — явный маркер работы скрипта, который часто игнорируется базовой аналитикой.

Таблица 4: Влияние фрода на ключевые бизнес-метрики

Репутационные риски и Brand Safety

Если ваша компания является рекламодателем, вы рискуете попасть в черные списки из-за подозрительной активности, которую генерируют боты от вашего имени (например, при атаке на партнерские сети). С другой стороны, если вы — площадка (Publisher), наличие CFaaS-трафика приведет к блокировке вашего аккаунта в AdSense или других сетях без права на выплату накопленных средств.

Важное наблюдение: В 2025 году фрод стал «умнее». Злоумышленники используют Dwell Time Simulation, задерживая бота на странице на случайное время, соответствующее среднему времени чтения статьи человеком. Это делает детекцию по времени сессии практически бесполезной без использования поведенческой биометрии.

Глубокий технический анализ методов атаки

Современный клик-фрод — это не просто имитация запроса, это симуляция цифровой личности. Чтобы антифрод-система поверила в легитимность клика, бот должен пройти проверку на трех уровнях: аппаратном (Fingerprinting), программном (Automation Detection) и сетевом (Network Reputation).

Подмена Fingerprinting: Создание уникального «железа»

Браузерный отпечаток (Fingerprint) — это совокупность параметров, которые позволяют идентифицировать устройство без использования Cookies. CFaaS используют продвинутые библиотеки для динамической подмены этих данных.

Canvas и WebGL Spoofing

Системы защиты просят браузер отрисовать скрытую фигуру или текст. Из-за различий в видеокартах и драйверах результат (хэш пикселей) будет уникальным.

• Метод атаки: Боты не просто подменяют хэш, они используют «наслоение шума» (Canvas Noise). В код рендеринга встраивается обертка (Wrapper), которая добавляет к каждому пикселю минимальное случайное значение альфа-канала. Для системы защиты это выглядит как новая, уникальная видеокарта, а не как попытка скрыть данные.

Эмуляция AudioContext

Аналогично графике, боты генерируют уникальный аудио-сигнал. Различия в обработке звука процессором создают уникальный отпечаток. CFaaS подменяют значения oscillator.frequency и analyser.getByteFrequencyData, чтобы имитировать аппаратные особенности различных звуковых карт (Realtek, Creative и др.).

Перечисление шрифтов и плагинов

Классический метод детекции — проверка списка установленных шрифтов. Боты CFaaS используют словари реальных систем (Windows 10, macOS Sonoma, Android 14) и через Object.defineProperty подменяют результаты вызовов document.fonts.check или navigator.plugins, чтобы они соответствовали выбранному профилю устройства.

Обход систем детекции автоматизации (Automation Bypassing)

Даже если «железо» выглядит настоящим, браузер может выдать себя через специфические программные флаги.

Скрытие признаков WebDriver

По умолчанию все инструменты автоматизации (Selenium, Puppeteer) выставляют свойство navigator.webdriver = true.

• Техника обхода: Использование патчей на уровне исходного кода Chromium. Злоумышленники удаляют переменную CDC_ (используется в ChromeDriver для поиска элементов) и модифицируют нативный код, чтобы navigator.webdriver всегда возвращал undefined или false.

Манипуляция Client Hints (Sec-CH-UA)

В современных браузерах заголовки User-Agent заменяются на Client Hints. Антифрод-системы проверяют соответствие между User-Agent и Sec-CH-UA-Platform. Если бот на Linux имитирует iPhone, но забывает подменить Client Hints, он будет немедленно заблокирован. CFaaS автоматически синхронизируют эти данные в рамках одной сессии.

Пример реализации патча для Puppeteer (JavaScript):

JavaScript

// Переопределение свойств для обхода базовой детекции
await page.evaluateOnNewDocument(() => {
    // Скрытие флага автоматизации
    Object.defineProperty(navigator, 'webdriver', { get: () => undefined });

    // Эмуляция параметров экрана реального устройства
    window.chrome = { runtime: {} };
    Object.defineProperty(navigator, 'languages', { get: () => ['ru-RU', 'ru', 'en-US'] });
    
    // Подмена параметров аппаратного обеспечения
    Object.defineProperty(navigator, 'hardwareConcurrency', { get: () => 8 });
    Object.defineProperty(navigator, 'deviceMemory', { get: () => 16 });
});

Сетевой уровень: Ротация IP и мобильные шлюзы

Даже самый идеальный бот будет заблокирован, если он совершает 100 кликов с одного IP-адреса. CFaaS решают эту проблему через распределенные сети прокси.

Residential Proxy Networks

Боты направляют трафик через зараженные домашние роутеры или устройства IoT. Для рекламной сети этот клик выглядит так, будто его совершил обычный пользователь из жилого квартала. Такие IP-адреса имеют высокий уровень доверия (Trust Score) и отсутствуют в черных списках (Spamhaus и др.).

4G/LTE Мобильные фермы и CGNAT

Это «золотой стандарт» для CFaaS. При использовании мобильного интернета тысячи пользователей делят один и тот же внешний IP-адрес (технология CGNAT).

• Стратегия обхода: Если антифрод-система заблокирует такой IP, она отрежет тысячи реальных клиентов оператора (например, МТС или Verizon). Злоумышленники используют USB-модемы, подключенные к Raspberry Pi, которые принудительно меняют IP (через разрыв сессии или API оператора) после каждого клика.

Анализ TCP/IP Fingerprinting (Passive OS Fingerprint)

Продвинутые системы защиты (например, Akamai или Cloudflare) анализируют параметры стека TCP: значение TTL (Time to Live) и Window Size. Если бот утверждает, что он — Windows, но параметры пакетов соответствуют ядру Linux, запрос помечается как подозрительный. CFaaS обходят это с помощью модулей типа OSPF, которые модифицируют сетевые пакеты на уровне ядра ОС.

Имитация человеческого поведения (Behavioral Synthesis)

Последний рубеж защиты — анализ того, как пользователь взаимодействует со страницей.

• Микродвижения мыши: Вместо телепортации курсора в точку клика, боты CFaaS генерируют траектории с использованием кривых Безье с добавлением гауссовского шума (дрожания). Это имитирует несовершенную моторику человеческой руки.
• Алгоритмы скроллинга: Использование нелинейного скроллинга. Бот прокручивает страницу рывками, останавливаясь на «интересных» блоках контента, как если бы он читал статью.
• Клавиатурный почерк: Если фрод подразумевает заполнение форм, бот вводит текст с переменной задержкой между нажатиями клавиш, имитируя раздумья и опечатки с последующим удалением через Backspace.

Технический инсайт: В 2025 году CFaaS начали использовать нейронные сети, обученные на записях реальных сессий пользователей. Это позволяет генерировать паттерны поведения, которые невозможно отличить от человеческих с помощью классических статистических методов.

Методы обнаружения: От статики к поведенческому анализу

Если в 2015 году для блокировки фрода было достаточно проверить заголовок User-Agent и наличие IP в базе данных Spamhaus, то в 2025 году защита строится на поиске микроскопических несоответствий в поведении и программной среде. Мы разделяем методы обнаружения на три эшелона: Сетевой, Окружной (Environment) и Поведенческий.

Анализ энтропии и траекторий движений мыши

Человеческое движение хаотично и несовершенно. Даже когда мы пытаемся провести ровную линию, наши мышцы совершают микродвижения. Боты CFaaS используют математические модели (кривые Безье) для имитации плавности, но они часто спотыкаются на статистической энтропии.

Математический подход

Для детекции мы рассчитываем энтропию Шеннона для распределения скоростей и углов поворота курсора:

$$H(X) = -\sum_{i=1}^{n} P(x_i) \log_2 P(x_i)$$

Где $P(x_i)$ — вероятность конкретного изменения координаты в интервале времени. У ботов, даже при использовании рандомизации, распределение ускорений часто оказывается слишком «гладким» или следует четкому закону распределения, что нехарактерно для человека.

TLS Fingerprinting (JA3 и JA3S)

Одной из самых эффективных техник на уровне L4/L5 является анализ TLS Handshake. Каждый HTTP-клиент (библиотека requests на Python, Go-http-client, штатный Chrome или Puppeteer) имеет уникальный набор поддерживаемых шифров, расширений и версий протокола TLS.

• JA3: Это хэш параметров Client Hello. Даже если бот полностью подменил User-Agent на Chrome 128, его JA3-отпечаток может выдать в нем библиотеку Cycle.js или OpenSSL, которые используются в движке бота.
• Детекция несоответствий: Если JA3 указывает на мобильное устройство Apple, а User-Agent утверждает, что это Windows Desktop — запрос со 100% вероятностью является фродовым.

Пример структуры JA3-хэша:

771,4866-4865-4867-49195-49199,0-23-65281-10-11-35-16,29-23-24,0 — этот набор параметров уникален для конкретной сборки браузера.

IP Intelligence и проверка контекста

Хотя ротация IP через резидентные прокси (см. Главу 2) усложняет задачу, контекстный анализ всё еще эффективен.

• Анализ ASN (Autonomous System Number): Проверка, принадлежит ли IP хостинг-провайдеру (AWS, Google Cloud) или потребительскому провайдеру (Comcast, Ростелеком). Клики из дата-центров блокируются превентивно.
• Детекция VPN/Proxy через MSS (Maximum Segment Size): Значение MSS в TCP-пакете может указывать на наличие инкапсуляции трафика (VPN). У обычных пользователей MSS обычно равен 1460, тогда как у VPN-туннелей он ниже (например, 1380-1420).
• IP Velocity: Анализ частоты кликов. Если с одного “резидентного” IP происходит 50 кликов по разным объявлениям в течение минуты — это признак “загрязненного” устройства в ботнете.

Глубокое зондирование окружения (DOM Probing)

На уровне браузера мы ищем «шрамы», оставленные инструментами автоматизации. В 2025 году это превратилось в игру в «кошки-мышки» с объектами JavaScript.

Таблица 5: Технические маркеры детекции автоматизации

Реализация детектора на стороне сервера (Python)

Ниже представлен пример логики для первичной фильтрации на бэкенде, использующей проверку JA3 и заголовков.

Python

import hashlib

def calculate_ja3(tls_params):
    # Упрощенная логика создания JA3 хэша
    # tls_params включает: Version, Ciphers, Extensions, EllipticCurves, EllipticCurvePoints
    ja3_string = f"{tls_params['ver']},{tls_params['ciphers']},{tls_params['exts']}"
    return hashlib.md5(ja3_string.encode()).hexdigest()

def analyze_request(request):
    client_ja3 = calculate_ja3(request.tls_info)
    user_agent = request.headers.get('User-Agent')
    
    # Известные JA3 отпечатки бот-библиотек (примеры)
    known_bot_hashes = ['7171037367c09d57a4192534a2e5684f', '...]']
    
    if client_ja3 in known_bot_hashes:
        return "Blocked: Automation Library Detected"
    
    if "Windows" in user_agent and "macOS" in request.tls_platform_hint:
        return "Blocked: OS Mismatch (Fingerprinting Spoofing)"
        
    return "Allowed"

Машинное обучение для выявления аномалий

Поскольку CFaaS постоянно обновляют свои stealth-плагины, статичные правила быстро устаревают. Современные антифрод-платформы используют Isolation Forest или LSTM-сети для анализа последовательностей событий.

Алгоритм обучается на «нормальном» поведении (путь пользователя: Главная -> Поиск -> Продукт -> Клик по рекламе) и помечает как фрод любые сессии, где последовательность действий выглядит слишком оптимизированной или механической.

Важный совет: Не блокируйте подозрительных ботов мгновенно. Используйте технику “Tarpitting”(замедление ответов) или отдавайте им пустые данные. Если вы сразу вернете ошибку 403, сервис CFaaS мгновенно сменит профиль и продолжит атаку, поняв, какой именно маркер его выдал.

Практика: Реализация детектора автоматизированного ПО (Python/JavaScript)

Эффективная защита от CFaaS требует многоуровневого подхода, где клиентская часть (браузер) собирает поведенческие и программные отпечатки, а серверная часть (API/Middleware) принимает решение о блокировке или замедлении трафика.

Клиентский детектор (Frontend JavaScript)

Задача JavaScript — собрать как можно больше флагов автоматизации и биометрических данных до того, как бот успеет выполнить целевой клик.

Детекция программных признаков (Anti-Stealth Check)

Мы ищем специфические свойства, которые остаются после запуска Puppeteer или Selenium, даже если были применены базовые stealth-патчи.

JavaScript

// Функция для сбора флагов автоматизации
function collectAutomationFlags() {
    const flags = {};

    // 1. Проверка флага WebDriver
    flags.isWebDriver = !!navigator.webdriver;

    // 2. Проверка стека ошибок (может указывать на ChromeDriver)
    try {
        throw new Error();
    } catch (e) {
        flags.hasChromeDriverTrace = (e.stack || '').indexOf('chrome://') > -1;
    }

    // 3. Проверка специфических объектов DevTools
    flags.hasDebugTools = window.__cdc_hasOwnProperty || window.hasOwnProperty('chrome');

    // 4. Проверка разрешения экрана (боты часто используют стандартные 1920x1080)
    flags.isStandardScreen = window.screen.width === 1920 && window.screen.height === 1080;

    // 5. Проверка времени рендеринга (Timing Attack)
    // Рендеринг в headless-режиме может быть аномально быстрым
    const renderTimeStart = performance.now();
    // Имитация сложного рендеринга, например, WebGL
    // ...
    const renderTimeEnd = performance.now();
    flags.renderDuration = renderTimeEnd - renderTimeStart;

    return flags;
}

Сбор данных поведенческой биометрии

Для анализа энтропии мы должны фиксировать траекторию курсора и задержки нажатий.

JavaScript

const MOUSE_TRACKER = [];
let lastTimestamp = performance.now();

// Слушатель для сбора траектории движения мыши
document.addEventListener('mousemove', (e) => {
    const currentTimestamp = performance.now();
    const timeDelta = currentTimestamp - lastTimestamp;
    
    // Сохраняем координаты, скорость и ускорение
    MOUSE_TRACKER.push({
        x: e.clientX,
        y: e.clientY,
        t: timeDelta, // Время между двумя точками
        // Можно добавить расчет углов и скорости
    });
    lastTimestamp = currentTimestamp;
});

// Отправка данных на сервер перед кликом/конверсией
function submitBehavioralData() {
    // Минимум 500 точек для статистической значимости
    if (MOUSE_TRACKER.length < 500) {
        return { score: 0.9, reason: "Too few data points" }; // Высокий риск
    }

    // Расчет статистической дисперсии (энтропии)
    // Реальная логика здесь будет сложной (например, расчет фрактальной размерности траектории)
    const timeDeltas = MOUSE_TRACKER.map(p => p.t).filter(t => t > 0);
    const avgTimeDelta = timeDeltas.reduce((a, b) => a + b) / timeDeltas.length;

    // Слишком низкая дисперсия (идеальная плавность) - признак бота
    const variance = timeDeltas.map(t => Math.pow(t - avgTimeDelta, 2)).reduce((a, b) => a + b) / timeDeltas.length;

    return { 
        data: MOUSE_TRACKER, 
        variance: variance.toFixed(2), 
        score: variance > 10 ? 0.1 : 0.8 // Упрощенный пример
    };
}

Серверный детектор (Backend Python/Django/Flask)

Серверная часть отвечает за агрегацию данных с фронтенда, а также за проверку сетевых и репутационных параметров.

Использование IP Intelligence и ASN Check

Мы используем базы данных (например, MaxMind GeoLite2 ASN или коммерческие аналоги) для быстрой проверки принадлежности IP-адреса.

Python

import geoip2.database
from datetime import datetime

# Загрузка базы данных ASN
# Предполагаем, что GeoLite2-ASN.mmdb находится в доступном месте
try:
    reader = geoip2.database.Reader('GeoLite2-ASN.mmdb')
except Exception as e:
    print(f"Error loading GeoIP database: {e}")

def check_ip_reputation(ip_address, request_time):
    try:
        response = reader.asn(ip_address)
        asn_name = response.autonomous_system_organization

        # Проверка на принадлежность к дата-центрам (общий список ключевых слов)
        datacenter_keywords = ['GOOGLE', 'AMAZON', 'AWS', 'AZURE', 'DIGITALOCEAN', 'HETZNER']
        
        is_datacenter = any(keyword in asn_name.upper() for keyword in datacenter_keywords)

        # Дополнительная проверка: IP Velocity
        # Запрос к базе данных: Сколько кликов с этого IP за последние 60 секунд?
        recent_clicks = get_clicks_by_ip(ip_address, 60) # Условная функция DB-запроса

        if is_datacenter or recent_clicks > 15:
            return 0.95, f"High Risk: Datacenter or Velocity anomaly ({recent_clicks} clicks/min)"
            
        return 0.1, f"Low Risk: Residential ISP ({asn_name})"
        
    except geoip2.errors.AddressNotFoundError:
        return 0.5, "Unknown IP Address (Neutral)"

Детекция по TLS Fingerprinting (JA3)

В Python для работы с заголовками TLS требуется использование промежуточного прокси-сервера (например, Nginx с модулем ngx_http_ssl_module или специального Python-инструмента, такого как JA3-proxy), который декодирует TLS-рукопожатие и передает JA3-хэш в HTTP-заголовке (например, X-JA3-Fingerprint).

Логика на сервере:

Python

KNOWN_JA3_BOTNETS = {
    '4a2e5684f': 'Python Requests 2.x',
    '771037367': 'Headless Chrome (Patched)',
    # ... список постоянно пополняется
}

def check_ja3_fingerprint(request_headers):
    ja3_hash = request_headers.get('X-JA3-Fingerprint')
    if ja3_hash in KNOWN_JA3_BOTNETS:
        return 0.99, f"Critical Risk: Known Bot JA3 Hash ({KNOWN_JA3_BOTNETS[ja3_hash]})"
        
    return 0.05, "JA3 is clean"

Модель оценки риска и принятия решений

Все собранные данные (фронтенд-флаги, JA3, IP-репутация, поведенческий счет) подаются на вход модели скоринга (Scoring Model). Это может быть простая взвешенная сумма или классификатор машинного обучения.

$$\text{Total Risk Score} = (w_1 \times \text{IP Risk}) + (w_2 \times \text{JA3 Risk}) + (w_3 \times \text{Behavior Risk}) + (w_4 \times \text{Flag Count})$$

Где $w_i$ — весовые коэффициенты, которые определяются важностью сигнала.

Сценарии реагирования:

1. Score > 0.8: Блокировка (HTTP 403) и добавление IP в локальный черный список на 24 часа.
2. Score 0.5 – 0.8: Замедление (Tarpitting): Увеличение задержки ответа сервера (например, на 500мс) или показ капчи (reCAPTCHA v2).
3. Score < 0.5: Пропустить: Пометить сессию как легитимную.

Лучшие практики внедрения

• Continuous Monitoring: Базы данных JA3 и IP-адресов должны обновляться еженедельно, так как CFaaS постоянно меняют свои патчи.
• Honeypot Traps: Внедрение невидимых элементов DOM (display: none; или visibility: hidden;) на страницы. Если скрипт кликает на такой элемент, он мгновенно получает максимальный риск-скор.
• Инкапсуляция кода: Код детектора должен быть обфусцирован и динамически инжектирован, чтобы ботам было сложнее его анализировать и обходить.

Использование специализированных сервисов автоматической блокировки

Для малого и среднего бизнеса, а также для компаний, чья основная угроза — это целенаправленное скликивание конкурентами в Яндекс.Директ и Google Ads, самым быстрым и эффективным решением является внедрение сервисов автоматической блокировки.

Преимущества Clickfraud.ru (или аналогичного сервиса):

• Скорость внедрения: Интеграция часто сводится к установке небольшого фрагмента кода на сайт (пикселя), что позволяет начать мониторинг в течение 10 минут.
• Автоматическая синхронизация: Сервис самостоятельно, через API рекламных платформ, добавляет выявленные IP-адреса и подсети в список исключений, гарантируя, что бюджет не будет расходоваться на фрод в реальном времени.
• Фокус на поведенческих паттернах: Эти системы эффективно выявляют не только очевидных ботов, но и ручное скликивание по аномалиям скорости, частоты кликов и другим несоответствиям. Это значительно снижает нагрузку на внутренние команды безопасности и аналитики.

Специализированные Антифрод-Платформы (AdTech Focus)

Заключение

Борьба с Click Fraud — это «гонка вооружений». Переход индустрии к модели CFaaS требует от компаний внедрения многоуровневой защиты. От сложного поведенческого анализа на стороне сервера и TLS-детекторов до простых, но мощных решений, как Clickfraud.ru, которые обеспечивают мгновенную автоматическую блокировку на уровне рекламного кабинета. Использование таких гибридных подходов позволяет сэкономить до 20-30% рекламного бюджета ежемесячно и, что более важно, очистить данные для машинного обучения, гарантируя рост вашего бизнеса, а не ботнета.

Список источников

1. Juniper Research. Digital Advertising Fraud: Market Forecasts 2024-2028. https://fraudblocker.com/wp-content/uploads/2023/09/Ad-Fraud-Whitepaper_Juniper-Research.pdf
2. eMarketer. Programmatic Advertising Spending and Ad Fraud Trends.https://www.emarketer.com/learningcenter/guides/programmatic-digital-display-ad-spending/
3. World Federation of Advertisers (WFA). Global Media Charter and Ad Fraud Reduction Guidelines.https://www.wfanet.org/globalmediacharter
4. ANA (Association of National Advertisers). Bot Fraud Study and Mitigation Techniques.https://www.ana.net/category/index/id/press-releases

6. IAB Tech Lab. Ads.txt (Authorized Digital Sellers). https://iabtechlab.com/ads-txt/
7. IAB Tech Lab. Sellers.json and OpenRTB SupplyChain Object Specification. https://iabtechlab.com/sellers-json/
8. W3C. Client Hints: User-Agent Client Hints. https://github.com/WICG/ua-client-hints
9. W3C. Web Advertising Business Group Reports on Fraud and IVT. https://www.w3.org/
10. Mozilla Developer Network (MDN). Canvas Fingerprinting APIs and Security. https://developer.mozilla.org/en-US/docs/Web/API/Canvas_API

11. Salesforce Engineering. JA3: A Method for Network Fingerprinting TLS Clients. https://github.com/salesforce/ja3
12. Akamai Technologies. The Anatomy of Bot Management: TLS Fingerprinting Explained.https://www.akamai.com/blog/security/bots-tampering-with-tls-to-avoid-detection
13. Paper: “Behavioral Biometrics for Bot Detection”. Journal of Cybersecurity.https://www.sciencedirect.com/journal/cyber-security-and-applications
14. Research Paper: “On the Effectiveness of Canvas Fingerprinting Defenses”. IEEE Symposium.https://ieeexplore.ieee.org/document/9413381/
15. MaxMind. GeoLite2 Anonymous IP and ASN Database Documentation.https://dev.maxmind.com/geoip/docs/databases/

17. Puppeteer Extra. Puppeteer-extra-plugin-stealth Documentation. https://www.npmjs.com/package/puppeteer-extra-plugin-stealth
18. Playwright Documentation. Headless Mode and Browser Contexts. https://playwright.dev/docs/intro
19. GitHub Repository. Selenium WebDriver Anti-Detection Techniques.https://github.com/seleniumbase/SeleniumBase
20. Bright Data (Luminati). Residential and Mobile Proxy Network Overview. https://brightdata.com/proxy-types/residential-proxies
21. Blog Post: “How to Detect and Prevent Headless Browsers”. PerimeterX/DataDome Technical Blog.https://datadome.co/threat-research/how-new-headless-chrome-the-cdp-signal-are-impacting-bot-detection/

22. HUMAN (formerly White Ops). Technical Reports on Botnet Infrastructure and CFaaS.https://www.humansecurity.com/
23. DataDome. Bot Detection Technology and Real-Time Behavioral Analysis. https://datadome.co/
24. FraudScore. Mobile App Install Fraud Detection and Post-Click Analysis. https://fraudscore.ai/
25. Cloudflare. Bot Management and Rate Limiting Documentation. https://developers.cloudflare.com/bots/get-started/bot-management/
26. Clickfraud.ru. Official Documentation on Integration and Automatic IP Blocking (Яндекс.Директ/Google Ads).https://www.anura.io/fraud-tidbits/what-is-click-fraud-protection

Похожие публикации:

Анализ трафика в реальном времени: как предотвратить скликивание до того, как оно нанесло ущерб

Геотаргетинг и скликивание: как злоумышленники обходят географические ограничения и как этому противостоять

People Also Search For (PASF): что это такое, как это работает и как ранжировать

Как провести исследование ключевых слов как профессионал в 2023 году

Что такое PPC (Pay Per Click)? Введение в маркетинг PPC

Что такое Cost Per Click (CPC)? 9 проверенных способов оптимизации рекламных кампаний

PPC (Pay per click) – просто о сложном для начинающих

Как защитится от скликивания рекламы?