Мошенничество с показами: как устроено, где прячется и чем опасно

Рынок цифровой рекламы любит большие числа: «охват», «частота», «видимость», «стоимость за тысячу». Там, где метрика — валюта, всегда найдётся желающий подделать «купюры». Мошенничество с показами — это накрутка рекламных просмотров, которые выглядят как нормальные события учёта, но не приносят реальных контактов с аудиторией. На отчётах всё прилично, деньги уходят строго по медиаплану, а вот результат исчезает, как след от дрона в тумане. 

Ниже — подробная карта местности: что именно называют импрешн-фродом (impression fraud), как он устроен технически, где чаще всего появляется и какие инструменты реально помогают от него отбиваться.

Термины без скуки: что считается показом и когда он «настоящий»

Показ — это зафиксированный системой учёта момент, когда объявление было отрендерено в клиенте. В идеале — на экране реального человека. В реальности рекламные площадки различают «просто показ» и «видимый показ». Для веба и дисплейной графики ориентиром служат рекомендации отрасли: событие считается видимым, когда не меньше половины площади баннера было на экране минимум одну секунду; для видео — две секунды. Эти принципы широко известны благодаря документам профессиональных ассоциаций и применяются индустрией для сокращения «мёртвых» просмотров. Подробнее об измерении видимости можно почитать у Media Rating Council: ссылка , а базовые стандарты измерений и протоколы — у IAB Tech Lab: ссылка .

В разговорах о накрутке часто встречаются два термина: GIVT и SIVT. General Invalid Traffic — банальные боты, кривые запросы, тестовые вызовы, автообновления, которые не пытаются скрываться. Sophisticated Invalid Traffic — трафик с маскировкой: эмуляция людей, подмена устройств, «посев» показов в невидимых слоях, хитрые прокси-цепочки и другие трюки, делающие фиктивные события неотличимыми от честных.

Почему это вообще происходит: экономика подмены

У накрутки простая мотивация — деньги и отчётность. Площадка, сеть реселлеров или приложение зарабатывают на объёме показов. Чем больше «просмотров», тем выше выручка. Агентство может соблазниться лёгким способом выполнить KPI по охвату. Разработчик мобильного софта — закрыть кассовый разрыв через агрессивные автообновления или загрузку объявлений в фоне. Арбитражники строят маржу на разнице между закупкой дешёвого «мусора» и продажей «премиального» инвентаря через сложные цепочки поставщиков. Спроси «зачем», и почти всегда услышишь ответ «чтобы быстрее заработать и красивее выглядеть в отчёте».

Где именно ломается экосистема: краткий разбор programmatic-цепочки

Современная закупка идёт по протоколу OpenRTB — заявка улетает на аукцион, сталкивается с миллионами других, DSP делает ставку, SSP отдаёт победителю показ. Чем сложнее цепочка посредников, тем больше «слепых зон». Чтобы сузить поверхность атаки, индустрия придумала три важных файла: ads.txt для сайтов, app-ads.txt для приложений и sellers.json для продавцов инвентаря. Они помогают понять, кто действительно уполномочен продавать площадку, и отсечь лишних посредников. Там же пригодится объект цепочки поставки schain в OpenRTB — он фиксирует маршрут инвентаря. Базу стандартов и протоколов проще всего найти у IAB Tech Lab: ссылка .

Типичные схемы импрешн-фрода

Букет приёмов огромный, но у каждого трюка есть распознаваемая «манера письма». Ниже — самые ходовые способы сделать вид, будто объявления видели.

• Ad stacking. Несколько баннеров кладут друг на друга в одной зоне. Пользователь видит только верхний, счётчики же фиксируют показ каждого слоя. Уметь отлавливать «слоёный пирог» — обязанность верификаторов видимости.
• Pixel stuffing. Объявление сжимают до крошечного контейнера: формально отрендерилось, реально его нельзя заметить. Часто прячется в 1×1 пиксель.
• Невидимые iFrame. Реклама грузится в iFrame вне вьюпорта или со стилями, делающими её невидимой. Показ засчитывается, пользователь остаётся «в неведении».
• Автообновление слота. Интенсивный refresh повышает объём инвентаря. На бумаге — много показов, на практике — одни и те же люди «крутятся» по кругу с долями секунд контакта.
• Доменная подмена. Плохой продавец заявляет дорогой домен, а крутит трафик на «мусорной» площадке. Проверка по ads.txt и sellers.json снимает большую часть подобных фокусов.
• Подмена приложения. В in-app рекламе иногда фальсифицируют bundle ID, заставляя систему думать, что показ идёт в популярном приложении, хотя это не так.
• Видеофрод. Автоплей без звука за пределами экрана, tiny-player, отрисовка во вкладке в фоне. В Connected TV прибавляется серверная подмена: SSAI-узел генерирует поток «просмотров» от несуществующих устройств.
• Инъекции рекламы. Расширения браузера, вредоносные SDK и «улучшатели» страницы вставляют объявления поверх оригинальной разметки. Дальше — дело техники: прокрутил, засчитал, ушёл.
• Фермы устройств и эмуляторы. Headless-браузеры, эмуляторы Android, антидетект-сборки и резидентные прокси имитируют поведение людей: движут мышью, «залипают» на странице, быстро прогружают креативы. Это уже SIVT.

Техническая кухня злоумышленника

Сердце схемы — генератор событий, которые по всем полям похожи на человеческие. В вебе это эмуляторы с полноценной отрисовкой DOM, корректной инициализацией рекламных SDK и реалистичными таймингами: сначала приходит контент, затем «дозревает» видимость, потом срабатывают пиксели и трекеры. В приложениях — фальсификация идентификаторов устройства, подмена версий ОС, симуляция событий жизненного цикла приложения и «настоящих» сетевых условий. В CTV добавляются фабричные наборы device ID, одинаковые длительности сессий, «квадратные» значения буферизации и нереально чистая телеметрия.

Чтобы выглядело по-человечески, используются резидентные прокси, «тёплые» подсети провайдеров доступа, ровные распределения по часовым поясам, пол и возраст тянут из «обогащающих» профилей или просто случайно. Для маскировки под браузер корректно устанавливают User-Agent, списки шрифтов, размеры экрана и частоту обновления, сэмплируют движение мыши, генерируют «приподнятые» значения viewability. Из любви к деталям злоумышленники иногда вставляют имитацию скролла, массивы touch-событий и «залипание» курсора на «интересных» местах.

Как выглядит проблема в отчётах: признаки и симптомы

импрешн-фрод можно подловить по следам. Главное — смотреть на картину целиком, а не на одну «подозрительную» цифру.

• Аномальная видимость. Почти идеальные 98–100% viewable при огромных объёмах — тревожный звоночок. Реальные пользователи редко бывают настолько «послушными».
• Провал в взаимодействиях. Показов море, кликов и поствью-конверсий — капля. Для awareness это допустимо, но кривая CTR/конверсий выглядит статично и не реагирует на креативы, частоту, размещения.
• География и ASN. «Резидентный» трафик стекается из одних и тех же подсетей, автономных систем и городов, не совпадающих с сегментацией кампании.
• Время суток. Ровные полки ночью и спады днём — картина, часто встречающаяся у эмуляторов, которые «крутятся» по расписанию фермы.
• Подозрительные supply-path. Одна и та же площадка приходит через бесконечную цепочку перепродавцов, хотя по ads.txt у неё один-два авторизованных канала.
• Неестественные тайминги. Срабатывания пикселей видимости происходят в фиксированных интервалах, словно кто-то запустил метроном.

Веб, приложения и CTV: у каждой среды — свой характер

В браузере чаще встретишь stacking, pixel stuffing и доменную подмену, а также инъекции через расширения. В мобильных приложениях популярны агрессивные автообновления слотов, загрузка креативов в фоне и фальсификация идентификаторов пакетов. В CTV домовладелец вообще ни при чём: достаточно «разогнать» сервер вставки рекламы (SSAI), сгенерировать «просмотры» от несуществующих устройств и аккуратно развести потоки по IP. Там бюджеты крупнее, а проверок — зачастую меньше, чем в вебе, что делает площадку привлекательной для злоумышленников.

Инструменты и стандарты, которые реально помогают

Волшебной кнопки «исправить всё» нет, но набор дисциплин заметно снижает потери.

• Гигиена поставок. Подписать и проверять ads.txt , app-ads.txt и sellers.json , требовать schain в каждом запросе OpenRTB. Обрезать лишние переходники и практиковать supply-path optimization.
• Измерение видимости. Внедрить SDK открытых измерений (например, Open Measurement SDK ) и сопоставлять отчёты нескольких систем. Разные методики — полезный способ поймать «дикие» расхождения.
• Фильтрация IVT. Строить собственные фильтры GIVT (дата-центры, известные боты, тестовые среды) и держать правила в актуальном состоянии. Для SIVT подключать поведенческую аналитику и дедупликацию устройств.
• Логи вместо «средней температуры». Хранить bid-логи, win-нотисы, цепочки поставки, post-логирование пикселей и временем меток. По логам легче спорить, чем по красивым сводным графикам.
• Контроль частоты и креативов. Жёсткие frequency-caps, ограничение автообновлений и защита от ротаций, которые превращают страницу в вентилятор для показов.
• Правила для CTV. Требовать детальные отчёты по устройствам и плейерам, проверять источники SSAI, сопоставлять телеметрию и IP-пулы, исключать облачные подсети без реальной аудитории.

Процесс: как провести экспресс-аудит и не утонуть

Системный подход лучше паники. Действуем шагами — от простого к сложному.

1. Сверить инвентарь. Забрать актуальные ads.txt/app-ads.txt площадок, выгрузить sellers.json поставщиков, собрать маршруты из schain. Удалить «левые» пути.
2. Снять метрики видимости. Сопоставить отчёты двух независимых измерителей и выкрутить тревожные флаги: 100% viewable, резкие «полки», одинаковые тайминги.
3. Просмотреть логи. Проанализировать OpenRTB-поля: домен, app bundle, device type, OS, UA, IP/ASN, user-ids. Найти группы с необычной концентрацией.
4. Проверить частоту и рефреш. На уровне площадок и зон выявить «вентиляторы» показов, ограничить обновления, убрать агрессивные сценарии.
5. Сегментировать по supply-path. Сравнить результативность каналов с одинаковыми площадками: если один путь «льёт» показы без следа, он кандидат на паузу.
6. Запустить «медовый» креатив. Поставить скрытую метку/пиксель-ловушку, не видимую пользователю, но заметную для бота. Попадания — сигнал к блокировке источника.
7. Подготовить доказательства. Зафиксировать кейсы, сделать таймлайн, собрать CSV логов и скриншоты. Это база для переговоров по возвратам.

Человеческий фактор: где чаще всего ошибаются

Люди склонны верить хорошим новостям. Ровная доставка показов, аккуратный охват и красивая стоимость за тысячу расслабляют. Ошибка — смотреть на метрики по отдельности. Видимость без взаимодействий, огромная частота без прироста узнаваемости, идеальная география, но странные подсети — каждая «нестыковка» по отдельности объяснима, вместе они укладываются в один сюжет. Вторая ошибка — вечная «настройка потом». Блок-листы, caps, чистка supply-path и аудит SDK — вещи, которые легче внедрить сразу и поддерживать, чем героически «спасать бюджет» в декабре.

Юридические и договорные аспекты

В договорах стоит фиксировать принципы «платим за видимые показы», обязанность поставщика соблюдать отраслевые стандарты и предоставлять логи по запросу. Полезна оговорка о возвратах при выявлении IVT и право приостанавливать проблемные каналы. Для CTV и in-app имеет смысл прописать требования к источникам телеметрии и идентификаторам устройств. Чем яснее условия, тем меньше пространства для «творческого счета».

Кейс-сценарий: как выглядит расследование на практике

Представим, что у кампании внезапно вырос объём и «идеальная» видимость, но не двинулись верхние воронки. Команда выгружает логи и видит, что большая часть трафика идёт через трёх посредников на одни и те же домены. В ad slot встречается refresh каждые 10 секунд, а тайминги видимости кластеризуются вокруг одних и тех же значений. Проверка ads.txt показывает, что у площадки нет авторизации на часть каналов, а sellers.json раскрывает неочевидного реселлера. Путь блокируется, частота ограничивается, объём «чудес» падает, а конверсии возвращаются к норме. Пара дней — и медиаплан снова про людей, а не про «живых пикселей».

Особенности измерений: почему два отчёта редко совпадают

Даже честная аналитика отличается у разных провайдеров. Срабатывание пикселей, атрибуция, дедупликация пользователей и методика подсчёта viewability различаются. Это нормально. Важно не абсолютное число, а динамика и согласованность трендов. Если одна система показывает «потоп» показов, а вторая — «штиль», лучше поверить в худшее и копнуть глубже.

Коммуникация с партнёрами: как спорить эффективно

Лучший аргумент — факты. Холодные логи, таймлайны, примеры цепочек поставки и конкретные зоны размещений. Не стыдно ошибиться, стыдно молчать: честные площадки помогали и будут помогать вычищать «мусор» из инвентаря, потому что репутация дороже разовой выручки. Если партнёр отказывается обсуждать IVT, а на любые вопросы отвечает «так настроен рынок», это риск, который стоит зафиксировать письменно и вынести на уровень договора.

Что делать маркетологам и ИБ-командам вместе

импрешн-фрод — не только про маркетинг. Технические специалисты помогают валидировать SDK, смотреть сетевые паттерны, проверять расширения, ловить подозрительные процессы в корп-сети. Команды закупки отвечают за чистоту каналов, логи и KPI, а юристы — за договоры и возвраты. Общий язык находится быстро, когда все видят одни и те же таблицы и один и тот же бюджет.

Итоговый чек-лист профилактики

• Внедрить и регулярно проверять ads.txt/app-ads.txt, работать только с авторизованными каналами.
• Требовать sellers.json и schain от поставщиков, сокращать лишние переходники.
• Ставить независимые измерители видимости и сравнивать отчёты.
• Вести централизованное логирование запросов, показов и конверсий.
• Ограничивать автообновления, контролировать частоту, чистить проблемные слоты.
• Для CTV — валидировать источники SSAI, проверять device ID и аномальные IP-пулы.
• Закрепить в договорах правила возвратов за IVT и обязанности по предоставлению логов.

Заключение: меньше магии, больше инженерии

Мошенничество с показами — следствие того, что в цифровой рекламе много посредников, автоматизации и денег. Там, где цепочка длинная, всегда найдётся место для «очень умных» пикселей. Побеждает не тот, кто надеется на чудо, а тот, кто превращает закупку в инженерный процесс: стандартизирует поставки, измеряет видимость, хранит логи, оптимизирует маршруты и честно пересматривает каналы. 

Пусть на графиках будет меньше совершенства и больше правды: живые люди иногда не кликают, ошибаются и закрывают вкладки. Зато бюджеты перестают утекать в эмуляторы, а рекламная система снова работает на рост бренда, а не на проценты в «чужом» отчёте. Если держать эту дисциплину изо дня в день, импрешн-фрод остаётся не «темной магией», а набором узнаваемых трюков, которые легко ловятся при свете обычной аналитики.