В конце сентября 2021 на одном из клиентских аккаунтов Google Ads начал происходить полтергейст: резко сократилась цена клика с 30 руб до 4 руб, подскочил трафик с 600 до 4000 в кликов в сутки и CTR возрос с обычных 10% до 50%. При этом конверсия в заявки и звонки тоже снизилась в разы, как в процентах, так и в количестве.
Почуяв неладное и погуглив, я понял, что это фрод.
План борьбы был такой:
найти паттерны ботов по всплескам в графиках (браузеры и их версии, разрешения дисплея, операционные системы, устройства и прочее)
вычислить ip-адреса и диапазоны по этим паттернам, проанализировав логи сервера
заблокировать вычисленные диапазоны ip-адресов ботов, добавив их в блэклист аккаунта google ads
одновременно написать жалобу на недействительную активность в google ads
Забегая вперед, скажу, что все пункты плана получились, кроме того, сам гугл решил зачислить на баланс аккаунта гугл почти 170 000 руб в качестве компенсаций.
Обнаружение ботов
Изучив всплески графиков в Яндекс Метрике (отчеты – технологии), выяснил, что признаками фрода являются посещения:
разрешение 1920×1080 + ОС Windows 10
разрешение 360×640 + ОС Android 11
Однако еще немного времени спустя, я понял, что единственным общим паттерном ботов являются браузеры Google Chrome 90 и Chrome Mobile 90: на тот момент была актуальна уже версия Chrome 94, а Chrome 90 вышел еще в апреле 2021 года и по активности должен был уже скатиться в закат.
Поиск IP-адресов с Chrome 90 в логах сервера
Открываем логи сервера за нужный период времени и ищем просто по слову “90”. Видим, что почти каждый переход попадает под бота-скликивальщика.
Возможно есть спец сервисы обработки логов и преобразования их в табличный вид, но я использовал просто Excel (базовые операции, никакой магии) и с помощью преобразования данных в таблицу и фильтров получилось выделить нужные IP-адреса в таблицу, а затем и в диапазоны:
Далее полученные диапазоны добавляем в Google Ads на уровне каждой кампании.
После нескольких дней и ежедневных итераций, получаем чистый трафик и нормализацию показателей. Сейчас февраль, кликфрод не наблюдается.
Обращение в поддержку Google Ads
Чтобы не терять время, при первых же признаках фрода рекомендую обратиться в поддержку Google Ads. Они конечно отнесутся скептически к вашему обращению и будут говорить, что видят фрод и не списывают деньги за скликивание, но нужно оперировать фактами, точными цифрами, всплесками и скриншотами. Поддержка попросит заполнить обращение https://support.google.com/google-ads/contact/click_quality , заполняем его и не скупимся на точные факты: периоды времени, отправляем им логи серверов, скриншоты и все, что доказываем фрод, подробно это расписывая словами. Я заполнил заявление, и не стал на него надеяться, так как они обещали рассмотрение в течение 1 месяца.
Первое письмо надежды.
Спустя неделю после обращения я получил неожиданное письмо:
Я тут же решил проверить баланс и деньги уже были зачислены, но не $1500, а значительно больше :)
Хочу отметить, что Google не отчитался, реализовал он защиту от подобного скликивания или нет. Но факт компенсации и ее размер полностью устроили моего клиента. А прекращение фрода связываю со своими работами, описанными выше.
У вас был опыт возврата значительной суммы денег в Google Ads или Яндекс Директ? Поделитесь в комментариях.
Комментарии (23)
chernish2
07.02.2022 16:32-1Не совсем по теме статьи, но может кто-то сможет подсказать. Есть приложение под Андроид, в нём реклама AdMob. В конце декабря Гугл вдруг ошибочно решил, что я накручиваю трафик, и поставил suspense на баннеры сроком до 30 дней. Прошло больше месяца, предупреждение об ограничении больше не показывает, но реклама с тех пор не приносит совсем ничего, то есть каждый день 0. Что нужно делать в такой ситуации? Раньше доход был заметно выше нуля, то есть это не статистическая погрешность.
kazakofsky Автор
07.02.2022 17:43Это вопросы по adsense. Я по нему не помощник, к сожалению. Возможно на профильных форумах смогут помочь.
abutorin
07.02.2022 16:41+3А вы так и будете дальше IP адреса добавлять? Завтра они будут использовать новые. Вы ведь понимаете что завтра по этим адресам могжет сидеть потенциальная целевая аудитеория. Это ведь можут быть динамические ip адреса как-го нибудь сотового оператора. А вы их лихо по 256 шт. за раз блокируете.
kazakofsky Автор
07.02.2022 17:23Фрод прекратился. Показатели нормализовались. А что до потери потенциальных из-за блока диапазонов - клиент осведомлен, и желания разблокировать диапазоны у него нет. Кроме того, это меньшая из причин, из-за которых теряются потенциальные клиенты. Мир не идеален.
abutorin
07.02.2022 17:51Ну так на следующей недели фрод продолжится с других адресов. Клиент опять к вам с вопросом, вы опять отключать адреса.
Не знаю как в гугле, но в яндексе мы боролись тем что на своем уровне по отпечатку браузера не пускали "кликальщиков" на сайт. Правда у нас оплата рекламы за конверсию а не клик.
kazakofsky Автор
07.02.2022 18:02+1Поэтому параллельно со своими операциями я обратился в гугл. Возможно они что-то еще сделали. Но с октября фрода нет.
Согласен, в Яндексе такие вопросы сложно решать. Они говорят "У нас фрода нет" и никак не признают его. В яндексе только корректировка -100% на сегменты (но это тоже так себе решение), а на блокировку айпи адресов смешной лимит.
Не пускать по отпечатку браузера тоже костыльная идея - за клик то у вас все равно деньги списывают.
happy-cat
07.02.2022 18:09Всем привет!
Тоже регулярно сталкиваемся с фродом - только на ЯД, Гугл что то не эффективно работает..
Я ловлю ботов по вот этим признакам:
1. Они как правило идут с регионов где мы физически не работаем (Сибирь, Красноярский край, Тува и тп а мы только в Подмосковье.)
2. Боты как правило работают по http 1.1 - а очень редкие боты по http2 (как и честные юзеры), просто обратите на этот момент внимание - его почти все игнорят
3. Юзер агенты теже как и вы описали (видать один софт и шаблоны)
4. Используют тактику роя - на логах заметны всплески (сейчас в нашей теме не сезон и среднее суточное посещение ~40 юзеров) а когда идет атака они тупо один за другим с разницей в минуту заходят на сайт типа по рекламе с Директа :))) - и рой достигает 100-150 в суткиИ еще вопрос - если я (условно) внес в некий блек лист пул IP адресов с которых не желаю посетителей (ботов) - но эти боты успевают кликнуть по реклме но на наш сайт уже не попадают - в этом случае с нас яндекс снимет денег или нет? Ведь по факту юзер то на сайт не попал, как этот момент вы обыгрываете?
Спасибо
ЗЫ у меня лимит на ответы раз в сутки так что заранее благодарю тех кто ответит!kazakofsky Автор
07.02.2022 18:15IP-адресам из блеклиста показы рекламы прекращаются.
Но если бот кликнул по вашей рекламе, но на сайт вы его не пускаете, то деньги все равно списываются.
makasin4ik
09.02.2022 11:00можете рассмотреть сервисы защиты. суть простая - 24x7 добавление в стоп-листы ip адресов. чтобы руками не делать... https://clickfraud.ru больше инфы.
Oldshelf
07.02.2022 19:45Можно было бы более эффективно решить данный вопрос, если бы по клику передавался URL или идентификатор рекламирующего сайта. Тогда и блэклист вышел бы короче и точнее и определить ложные клики было бы легче.
Yser
08.02.2022 06:04+1Что будете делать когда этот мамкин кулхацкер узнает, что можно менять и user agent и другие заголовки?
makasin4ik
08.02.2022 17:15посмотрите тут - https://habr.com/ru/post/590053/ может быть будет интересно. это из нашего опыта борьбы с кликфродом.
zzzzzzzzzzzz
09.02.2022 00:06Поразмышлял немного, насколько злой скликиватель я смог бы написать. Стало страшно. Ну, немножко, поскольку это всё-таки реклама, а не что-то полезное. И удивительно, что скликивание до сих пор не преобразовало радикально отрасль рекламы.
Zolg
Офигенный признак фрода.
Ну это какие-то дети бота писали, что по User-Agent бот вычисляется.
kazakofsky Автор
Офигенный, если смотреть по привязке к всплескам на графике. Читайте внимательней )
Zolg
И как отличать во время всплеска ботовские 1920*1080@Win10 от примерно половины десктопных пользователей, использующих десятую винду и fullhd монитор ?
kazakofsky Автор
Я отказался от идеи блокировать по этим паттернам, они были промежуточные.
Под блокировку попал только Chrome 90. Разумеется, среди них наверное была какая то доля реальных юзеров, но не жалко.