Дрожание курсора, хаотичные клики и резкие паузы. Что видят системы букмекеров — и почему это не только про ботов

Если полистать любой онлайн рейтинг букмекеров, легко поверить, что индустрия живёт бонусами, линией и удобным приложением. На практике под этой витриной есть скучная и дорогая реальность: борьба с автоматизацией, фермами аккаунтов, промо-абузом и захватом учётных записей. Это не романтика, а санитария: без неё любой букмекер очень быстро начинает финансировать чужие схемы.

Важная оговорка, чтобы не было иллюзий. Антифрод в первую очередь защищает бизнес букмекера от убытков, а не игрока от несправедливости. Да, косвенные плюсы есть: меньше ботов в линии, меньше «конвейера» вокруг, стабильнее процессы. Но конечная цель почти всегда экономическая, и именно поэтому разговор о математике антифрода имеет смысл вести честно, с тёмными углами и неудобными примерами.

Ниже разберём самый горячий слой последних лет — поведенческую биометрию. Это когда «человек против скрипта» определяется не по устройству и не по паспорту, а по тому, как вы двигаете мышью и нажимаете на экран. Затем добавим то, о чём обычно молчат: детекцию состояний вроде тильта и опьянения, проблему «чёрного ящика» для поддержки, генерацию «человечности» нейросетями и юридическую мину под названием GDPR.

Почему букмекерам вообще нужна математика: боты стали фоном

Трафик в интернете давно перестал быть «людским». По данным отчёта Imperva за 2024 год, в 2023 году 49,6% всего интернет-трафика приходилось на ботов — это максимальный показатель с начала мониторинга в 2013 году. Причём доля вредоносных ботов достигла 32%, увеличившись пятый год подряд. Это не узкая проблема букмекеров, это базовый фон, на котором работает любая площадка с деньгами.

Если смотреть по вертикалям, становится ещё неприятнее. Игровая индустрия (gaming) лидирует по доле вредоносного бот-трафика — 57,2% согласно тому же отчёту Imperva. В гемблинге ситуация не лучше: по свежим данным Thales для Сингапура, 99,96% трафика на gambling-сайтах составляют боты. На таком фоне «мягкий режим» быстро превращается в приглашение для автоматизации.

Отдельный фактор риска — захват аккаунтов. По данным Sift, ATO-атаки выросли на 24% во втором квартале 2024 года по сравнению с аналогичным периодом 2023-го. А исследование Proofpoint показало, что 99% всех отслеживаемых организаций в 2024 году становились целями попыток захвата аккаунтов. Для букмекеров это двойной удар: и кража баланса, и потенциальные «прачечные» через ставки и вывод.

Какие данные реально используют: без «персональных деталей», но с большим количеством сигналов

Внутри антифрода почти всегда живёт смесь трёх миров: инфраструктура, финансы и поведение. Инфраструктура даёт связи (устройства, сети, отпечатки окружения). Финансы дают экономический рисунок (депозиты, вывод, частота, маршруты). Поведение показывает, кто стоит за действиями: человек, скрипт или конвейер.

Поведенческая биометрия здесь особенно ценна потому, что работает даже тогда, когда «железо чистое» и связь выглядит прилично. Она опирается на события интерфейса: движения, клики, прокрутку, фокус полей, тайминги. В хороших реализациях речь идёт о форме взаимодействия, а не о содержимом — системе важнее «как», чем «что».

Если свести это к типам сигналов, получится понятная карта:

• События сессии: скорость прохождения шагов, паузы, возвраты, порядок экранов.

• Мышь и сенсор: траектории, ускорения, микрокоррекции, характер свайпов и скролла.

• Ввод: ритм набора, исправления, типичные задержки (используется осторожно).

• Связи: похожесть поведения между аккаунтами как ещё один тип «рёбер» в графе.

Поведенческая биометрия в деталях: что именно выдаёт скрипт

Разница между человеком и автоматизацией часто выглядит как разница между «неровно» и «слишком ровно». Человек делает микрорешения: чуть перелетел курсором, поправил, завис на элементе, машинально скролльнул и вернулся. Скрипт стремится к эффективности и повторяемости, а ферма стремится к регламенту.

Классика жанра: интервалы между событиями. У бота они часто близки к метрономам, у человека распределения шире. Вторая классика: геометрия и кинематика траекторий. Даже если бот рисует «кривую», у него часто одинаковая «человечность» — одинаковый шум, одинаковая амплитуда, одинаковые паузы, особенно на серии сессий.

В академической литературе мышиная динамика давно рассматривается как поведенческая биометрия для непрерывной проверки пользователя. Обзор ACM Computing Surveys 2024 года систематизирует исследования с 1897 по 2023 год, анализируя методы сбора данных, извлечения признаков и алгоритмы машинного обучения для аутентификации по динамике мыши. В экспериментальных условиях некоторые подходы достигают низких показателей ошибок, но это лабораторные условия — в боевом антифроде всё сложнее.

Самая неприятная правда: биометрия ловит не только ботов, но и состояние человека

Пиар-версия обычно заканчивается на «человек против скрипта». Реальность шире: одни и те же признаки могут подсвечивать не только автоматизацию, но и состояние человека. Дрожание, хаотичные клики, резкое изменение ритма, скачки скорости, импульсивные сценарии после серии проигрышей — всё это может быть маркерами тильта, стресса или опьянения.

Тильт исследуется как феномен эмоциональной и когнитивной дисрегуляции в ответ на неудачи. Исследование PLOS ONE 2022 года адаптировало концепцию тильта из покера к спортивным ставкам и выявило три профиля игроков: «осознанные тильтеры» с высоким уровнем проблемного гемблинга, «неосознанные тильтеры» из группы умеренного риска и «нетильтеры» с низким риском. Авторы исследования также обнаружили, что игроки с наибольшим уровнем фрустрации активнее всего используют функцию мгновенного пополнения депозита.

И вот тут начинается этическая серая зона. Те же самые данные можно использовать для защиты игрока: мягкие предупреждения, лимиты, паузы, отказ от агрессивных стимулов в момент риска. Есть исследования и рамки, как снижать вред от онлайн-гемблинга через поведенческие маркеры и интервенции. Валидация поведенческих маркеров позволяет операторам выявлять игроков в зоне риска и предлагать своевременные интервенции. Но ровно так же данные можно использовать хищнически: видим, что человек «поплыл», подталкиваем бонусом или пушем к докручиванию депозита.

Регуляторы в целом идут в сторону усиления защиты уязвимых пользователей. Обзор инструментов минимизации вреда 2024 года анализирует эффективность добровольного самоисключения, лимитов и всплывающих сообщений, показывая как возможности, так и ограничения таких подходов.

Война ИИ против ИИ: генерация «человечности» и детектирование «человечности»

Ещё один момент, который быстро устаревает в любых статьях: «идеальные траектории» и «прямые линии» уже не главный враг. Современные атакующие учатся генерировать правдоподобные траектории и тайминги на основе данных реальных людей. Для этого используют генеративно-состязательные сети (GAN, Generative Adversarial Networks) и последовательностные модели, которые рисуют не просто координаты, а кинематику: ускорение, замедление, паузы.

Есть научные и прикладные работы, где синтез мышиных траекторий прямо встроен в контур противостояния: генератор учится делать «как человек», детектор учится отличать синтез от реальности. Классический пример — BeCAPTCHA-Mouse, опубликованный в журнале Pattern Recognition в 2022 году. Авторы предложили детектор ботов на основе нейромоторной модели динамики мыши и двух методов генерации синтетических траекторий: эвристического и на основе GAN. Система достигает 93% точности даже при детекции траекторий высокой реалистичности.

Практический вывод простой: поведенческая биометрия полезна, но это не «последний бастион». Это поле гонки вооружений, где модели стареют, а атакующие проверяют границы каждый день.

Визуализация: чем отличается «бот» от «человека» на пальцах

Текст про траектории легко звучит абстрактно, пока не увидишь картинку. Ниже простая схема: слева условный бот, справа условный человек. В реальности всё сложнее, но интуиция верная: у человека больше микрокоррекций, неровностей и пауз, а у автоматизации чаще видно шаблон и повторяемость.

Если хочется второй образ, то он из мира графов: одиночный подозрительный аккаунт бывает «шумом», но плотный кластер похожих аккаунтов почти всегда говорит о координации. В больших системах графовая аналитика давно используется для борьбы с мошенничеством и захватом аккаунтов. PayPal описывает, как их платформа обрабатывает связи между миллионами пользователей в реальном времени, выявляя фрод-кольца и скоординированные атаки через анализ связей между аккаунтами, устройствами, IP-адресами и транзакциями.

«Чёрный ящик» для саппорта: почему без объяснимости разбор превращается в фикцию

Фраза «у поддержки должен быть путь разборов» звучит правильно, но в реальности саппорт чаще всего линейный. Он не обязан понимать, что такое энтропия движения мыши или кривизна траектории. Если в интерфейсе горит красная лампочка «Risk 0.9», сотрудник будет действовать по инструкции. То есть «человеческий разбор» без переводчика между математикой и человеком действительно превращается в декорацию.

Решение здесь из семейства Explainable AI (XAI), по-русски проще говорить «объяснимые модели» или «объяснимость решений». Суть: вместе со скором система должна отдавать понятные причины в формате «кодов» и коротких интерпретаций. Не «37 нейромоторных признаков», а «слишком стабильные интервалы кликов», «повторяемый сценарий вход-ставка-вывод», «аномально высокая похожесть поведения на группу аккаунтов».

Технически это часто делается поверх основной модели. Для табличных моделей популярен метод SHAP (SHapley Additive exPlanations), который даёт вклад каждого признака в решение на основе теории кооперативных игр. Для модельно-независимых объяснений часто используют LIME (Local Interpretable Model-agnostic Explanations), который строит локальное приближение вокруг конкретного примера. Свежий обзор декабря 2024 года анализирует применение этих методов в системах детекции фрода для больших данных.

Практический формат «взрослого» кейса для саппорта выглядит примерно так:

• Итог: риск высокий, действие — временная приостановка вывода на проверку.

• Причины: 1) интервалы между действиями слишком стабильны, 2) сценарий повторяется без вариативности, 3) поведенческая похожесть на кластер аккаунтов выше порога.

• Доказуемые артефакты: график распределения пауз, пример траекторий, ссылка на кластер в графе связей.

• Контрфакт: если убрать фактор «похожесть на кластер», риск падает ниже порога — значит это ключевая причина проверки.

Юридическая приземлённость: GDPR, трекинг и «согласие, которое никто не читает»

В Европе сбор поведенческих сигналов — это не только инженерия, но и право. В GDPR есть определение биометрических данных: согласно статье 4(14), это персональные данные, полученные в результате технической обработки физических, физиологических или поведенческих характеристик, которые позволяют уникально идентифицировать человека. Ключевое слово здесь — уникальная идентификация. То есть не любой трекинг мыши автоматически становится «особой категорией», но риск перейти границу есть, если система использует поведение как идентификатор.

Анализ CiTiP показывает, что GDPR не различает обработку поведенческих и биологических биометрических данных — оба типа подпадают под одинаковые требования статьи 9. При этом риски безопасности и уязвимости у них разные, что должно учитываться при оценке воздействия на защиту данных (DPIA).

Даже когда речь не про «биометрию для идентификации», это всё равно персональные данные и профилирование. А если решение существенно влияет на пользователя (например, отказ в выводе или жёсткие ограничения), всплывает статья 22 про автоматизированные решения и право не быть объектом решения, основанного только на автоматизированной обработке. Руководство ICO уточняет: биометрические данные становятся особой категорией, только если используются для уникальной идентификации, но это требует тщательной оценки цели обработки.

Практически это означает: если букмекер в ЕС собирает богатый поведенческий слепок, ему нужны внятные цели, правовое основание, ограничение хранения, контроль доступа и часто DPIA как минимум для рискованных сценариев. А «согласие в политике конфиденциальности мелким шрифтом» всё чаще выглядит не как защита, а как приглашение на проверку.

Что делать читателю: как не выглядеть «как скрипт» и что писать при споре

Честному пользователю обычно не нужно «играть в человека» нарочно. Но стоит понимать, что конвейерность повышает риск. Когда вы ведёте себя как автоматизированный процесс, вы и попадаете в статистическую зону, где живут автоматизированные процессы. Особенно это проявляется при бонусах и повторяемых сценариях.

Базовый чеклист без паранойи:

• Не используйте автокликеры, скрипты и сомнительные надстройки — даже «просто чтобы быстрее».

• Не плодите аккаунты и не пытайтесь «обойти» спор через регистрацию нового — это почти всегда ухудшает граф связей.

• Если часто меняете устройства и сети, будьте готовы к дополнительным проверкам: это обычная цена за нестабильный контекст.

• Если вы на рынке букмекеров РФ, где комплаенс и регламенты обычно жёстче, заранее считайте нормой запросы подтверждений и паузы на проверки при нетипичных паттернах.

Если случился спор: пишите сухо и по фактам. Таймлайн, устройства, что делали, какие операции. Просите статус проверки и перечень шагов для разблокировки. В идеальном мире саппорт покажет «причины» в человеко-понятном виде. В реальном мире вы хотя бы увеличите шанс, что кейс уйдёт на второй уровень, где есть доступ к объяснениям модели и журналам событий.

Итого: технология без этики — это просто инструмент

Поведенческая биометрия — мощный слой антифрода, который действительно помогает отличать человека от скрипта. Но как любой инструмент, она работает в обе стороны. Те же данные, которые ловят ботов, могут выявлять уязвимое состояние игрока — и дальше начинается вопрос этики, а не математики.

Индустрия постепенно движется к прозрачности: объяснимые модели, маркеры риска для защиты игроков, регуляторные требования к честным интервенциям. Но пока букмекер — это бизнес с экономическими целями, ожидать альтруизма от антифрода наивно. Лучше понимать, как это работает, и действовать соответственно: не как бот, не как ферма, и с готовностью к диалогу, если что-то пошло не так.