Л — ловцы алгоритмов: как на programmatic-платформах торгуют мошенническим трафиком

ADPASS и «Постмаркетинг» представляют выпуск #16 рубрики «Энциклопедия обмана». Селлер «Эверест» обнаружил, что некоторые платформы алгоритмических закупок (programmatic) торгуют мошенническим трафиком (fraud) на сайтах, рекламные возможности которых продает компания. Селлер установил это, когда полностью отключил монетизацию сайта федерального телеканала через programmatic-платформы: реклама на площадке не только не исчезла из продажи, но предлагалась даже в большем объеме, чем до отключения.

Появившаяся в самом начале 2010-х технология алгоритмических закупок интернет-рекламы сулила рекламному рынку неслыханные перспективы. Работа на данных, целевая покупка нужной аудитории в моменте времени, оптимизация неэффективных затрат и полная прозрачность процесса — эти заклинания звучали с трибун всех рекламных форумов. Но постепенно ловкачи от рекламы адаптировались к передовой технологии и научились превращать programmatic-инвентарь в слепое пятно цифрового медиаплана.

Алгоритмические закупки позволяют автоматически размещать рекламные кампании в режиме реального времени. Заказчику не нужно вести переговоры с площадками: система сама обрабатывает ряд параметров — демографию, устройства, геолокацию и др., — затем за миллисекунды участвует в онлайн-аукционе и размещает рекламные форматы. По оценке eMarketer, доля programmatic в мировых расходах на медийную рекламу в 2026 году достигнет 90%. Темпы роста сегмента при этом снижаются: в 2024 году они составили 16,7%, а в 2026-м этот рынок увеличится на 12,6%. В рейтинге Digital Marketing Club Russia за 2024 год фигурируют 60 российских programmatic-продуктов с суммарной выручкой 47,1 млрд рублей (+21%).

Что?

Большинство рекламодателей понимает, что от фрода в programmatic-размещении сегодня никуда не деться. Поэтому они пытаются минимизировать его на уровне имен используемых сайтов — формируют так называемые белые списки (white list) доменов. До недавнего времени считалось, что при использовании доверенных доменов риск появления фрода снижается. Селлер «Эверест» — эксклюзивный продавец рекламы на ресурсах «Национальной Медиа Группы», в том числе на сайта телеканала «Домашний», — провел эксперимент и по его итогам утверждает, что это уже не так.

«Эверест» установил, что на рынке есть продавцы, которые реализуют рекламные возможности сайта domashniy.ru без договоров с ним и с конечным владельцем инвентаря. На 18 марта в одной из крупнейших автоматизированных систем для покупки цифровых рекламных мест (DSP) видеорекламу на тестируемом сайте можно было закупить через 18 технологических платформ для продажи инвентаря издателями (SSP). Эти платформы формировали совокупный объем доступного инвентаря на сайте в размере 12,2 млн показов в тот день. Речь идет о видеорекламе на сайте в мобильной среде (mobile web) и на стационарных компьютерах и ноутбуках (desktop web). Селлер утверждает, что только три из этих 18 SSP были действительно подключены к системе продажи рекламы на сайте.

19 марта селлер полностью отключил любую возможность монетизации сайта в остаточном трафике через автоматизированные системы. В момент эксперимента инвентарь продавался только по прямым контрактам на размещение, остаточный объем не монетизировался. В результате представленный в 15 оставшихся SSP трафик не только не уменьшился, но даже вырос — до 13,6 млн показов. По данным на 22 марта, когда сайт, тестируемый в эксперименте, уже несколько дней не отдавал трафик в SSP, объем якобы доступного к продаже инвентаря составил 14,3 млн показов.

Данные о представленности в SSP видеорекламы на тестируемой площадке: первая колонка — название платформ (скрыто), вторая — количество доступных показов в млн штук, третья — стоимость за тысячу контактов (СРМ)

После отключения технической возможности монетизации сайта через сторонних игроков «Эверест» разместил две видеорекламные кампании на тестируемом сайте через SSP, которые якобы продолжали продавать рекламу на этом портале. Первую — тестовую, вторую — более объемную. Трекинг объемной кампании проводили два верификатора. Итоги удивили: реальный трафик с сайта на алгоритмических платформах отсутствовал, но были зафиксированы показы видеорекламы с хорошей кликабельностью (CTR) на уровне 1,64-2,5%. При этом базовый фродовый трафик (GIVT) оба верификатора вообще не увидели, а объем сложного (SIVT) якобы соответствовал среднерыночным уровням и составил 5,2-10,5%.

По оценке Ассоциации развития интерактивной рекламы (АРИР), в 2025 году доля простого мошеннического трафика составила 2,7-4,3% в зависимости от категории, а сложного — 2,4-3,3%. Эксперты ассоциации подчеркнули, что мошенники активно перенаправляют трафик в менее защищенные сегменты вроде интернет-ТВ (CTV). В октябре 2025 года американская платформа Cloudflare сообщила, что почти половину интернет-трафика в России обеспечивают роботы: якобы их доля в январе-сентябре 2025 года превысила 43% (+14,6 процентных пункта к 2024 году). Российские верификаторы не согласились с оценкой и обратили внимание, что ботов у Cloudflare прибавилось, когда в конце 2024 года Роскомнадзор порекомендовал не работать с американцами, обходившими ограничения на доступ к запрещенной информации.

Кто?

В «Эвересте» не назвали конкретные SSP-платформы, но уточнили, что в этом списке «много уважаемых игроков». Селлер сказал, что в ближайшее время повторно проведет аналогичные тесты и по другим площадкам холдинга. «Если ситуация повторится на каком-либо активе нашего медиахолдинга, то мы будем вынуждены предать огласке список SSP, через которые проходит несуществующий инвентарь, особенно если они совпадут с теми, кто был замечен в рамках первого теста», — пообещали в «Эвересте».

Селлер сказал, что при выявлении повторных нарушений готов предоставить детальные данные для индустриальной верификации.

Фундамент цифрового рынка — это доверие, которое нужно беречь всеми силами. Выявленную же проблему можно решать или индустриально, или прямыми сделками, что существенно быстрее. Кажется, что часть игроков, возможно, сами того не понимая, в логике алгоритмической закупки перепродают несуществующий инвентарь».

Вадим Гречишкин

Директор по рекламным продуктам селлера «Эверест»

На рынке около 60 независимых программатик-платформ. Реклама — бизнес масштаба: экономика в нем начинает сходиться где-то от биллинга в 0,5—1 млрд рублей. Таким образом, объем программатик-рынка в 2025 году должен составлять порядка 60—100 млрд рублей. Есть ли столько инвентаря и трафика? Лично я сомневаюсь. В связи с этим довольно вероятно, что часть из этих 60 программатик-платформ на самом деле таковыми не являются».

Михаил Шкляев

Главный управляющий директор Okkam

Как?

Опрошенные участники рынка разошлись в оценке того, с каким типом мошеннического трафика столкнулся селлер.

На любом, абсолютно любом ресурсе есть доля бот-трафика, и не всегда эта доля корректно фильтруется. Современного бота практически невозможно выявить инструментальными средствами: он часто живет вообще на уровне мобильной операционной системы. К тому же поведенчески он очень хорош: все метрики у него лучше, чем у человека, поэтому боты так нравятся закупщикам. Современный робот толком не обнаруживается — поведенчески это на 100% человек, только робот. И это не проблема российских верификаторов, это проблема устройства интернета и операционных систем».

Михаил Шкляев

Главный управляющий директор Okkam

Кейс «Эвереста» — один из самых высокотехнологичных на сегодня вариантов подделки инвентаря. Года два назад появилось программное обеспечение, боты версии 3.0, позволяющие создавать виртуальные копии сайта и «показывать» на них рекламу. Даже современным системам верификации сегодня объективно сложно выявлять случаи такого мимикрирования. Внешне все выглядит правдоподобно: кампания настраивается под запрос клиента, показываются среднерыночные значения по мошенническому трафику обоих типов SIVT и GIVT. В закупке плохие показы не продаются супердешево — цены сопоставимы с реальными ставками легального программатик-инвентаря.

Прецеденты столкновений рекламодателей с такими «ботофермами» нередки, и это очень важный вопрос для «ГПМ Реклама», в контуре которого есть собственная DSP-платформа Getintent».

Алексей Крупенин

Управляющий директор по цифровым продажам «ГПМ Реклама»

В programmatic-закупках существует распространенная схема, при которой один трафик продается под видом другого. Проблема в том, что стандарт OpenRTB (протокол для автоматизированной торговли цифровыми рекламными инвентарем в режиме реального времени) не предусматривает верификации источника трафика: если в полученном программатик-платформой запросе на показ рекламы указан какой-то сайт, это не означает, что показ действительно произойдет на нем».

Сергей Игнатов

Технический директор верификатора Admon.ai

«Эверест» также мог столкнуться с использованием мошеннической рекламной сети, считают эксперты. Злоумышленники создают такие с помощью устройств, зараженных вредоносным программным обеспечением, например браузерными расширениями, которые вмешиваются в работу страницы. Схему называют «инъекцией на уровне браузера» (Browser Injection). Механизм позволяет удалить или подменить рекламный код настоящего рекламного партнера площадки, поставив вместо него коды сторонних компаний, которые затем торгуют инвентарем в обход издателя. Неприятнее всего то, что в данном случае рекламодатель получает показы рекламы реальным пользователям на настоящем сайте, но цепочка продажи и размещения оказывается под контролем мошенников.

В АРИР отметили, что мошенники могли задействовать несколько схем.

Необходима глубокая проработка и анализ данных предположительно фиктивных показов, так как возможны различные варианты: от разновидностей мошеннического трафика до врезок рекламы на уровне интернет-провайдеров, которые не так давно были распространены, а также вирусов и плагинов в браузерах. Существуют вредоносные плагины, которые помимо своих основных функций в состоянии модернизировать html-код страницы и замещать текущие рекламные места открываемых сайтов на другие или даже добавлять новые форматы. Издатели не имеют к такому размещению никакого отношения: злоумышленники наживаются на рекламе у ряда пользователей, которые установили такой плагин.

Провести тестирование и разобраться, что именно произошло, — это задача, которая решается всеми участниками процесса: DSP, которые торгуются за предложенные показы; Adexchange и SSP, которые предлагают такой трафик; а также площадками, которые могут идентифицировать свой инвентарь».

Александр Папков

Cопредседатель комитета Big Data & Programmatic АРИР, директор по инновациям группы АДВ

Насколько это распространено?

Сегодняшняя программатик-среда может быть весьма токсичной. Вряд ли мы ошибемся, если скажем, что именно с ней связаны многие крупные скандалы и расследования в рекламе не только в России, но и за рубежом.

2016 год, Methbot, Россия: возникший в России ботнет использовал компьютеры в Европе и США, генерируя сотни миллионов фейковых видеопросмотров в день, маскируясь под премиум-сайты.
2018 год, 3ve: крупная международная схема с участием выходцев из России. Бот-сети и зараженные устройства генерировали фальшивые клики и показы; на пике — свыше миллиона IP-адресов в Европе и США; расследование ФБР и Минюста США.
2020, MultiTerra, США: подмена инвентаря в интернет-ТВ (CTV) и продажа фейковых рекламных размещений как премиум-контента.
2022 год, Vastflux, Китай: мобильный фрод с «наложением» десятков реклам друг на друга, создававший миллиарды фиктивных показов.

Как бороться?

Ключ к борьбе с ловкачами от алгоритмических закупок — контроль цепочки поставок рекламного инвентаря и сокращение числа посредников (Supply Path Optimization, SPO). Вскрыть хитросочиненные схемы позволяет простое понимание того, кто именно и на каком основании продает рекламный инвентарь конкретного сайта.

Стоит обратить внимание на информацию, которую обязаны раскрывать серьезные игроки рынка. Интернет-площадка должна опубликовать и регулярно обновлять файл ads.txt (authorized digital sellers) со списком авторизованных цифровых продавцов, а SSP-платформа или биржа рекламы — файл sellers.json, в котором раскрывается список продавцов. Сопоставление этих двух источников позволяет рекламодателям, DSP и верификаторам проверить легитимность цепочка продаж.

Верифицировать форматы помогает использование современных стандартов показа видеорекламы VPAID и рекламы на мобильных устройствах MRAID или JS. Эти стандарты позволяют проанализировать гораздо большее число параметров: состоялся ли досмотр видео; двигал ли пользователь мышкой; в какой части экрана была показана реклама; был ли рекламный формат реально видимым; сколько времени пользователь провел на странице с рекламой. Кроме того, с их помощью можно узнать параметры видеоплеера, в котором показывался ролик, и определить среду показа (desktop или mobile), а в ряде случаев — и фактический домен, на котором состоялось размещение.

С точки зрения рекламодателя стоит фокусироваться на мейджорах — тех, кто не испытывает проблем с аудиторией и не имеет стимула поощрять фрод. Мы, со своей стороны, стараемся промерять все, что можем «Медиаскопом»: фродить панели несколько сложнее. В остальном понятных лично мне путей два: либо экономическая борьба — делать фрод невыгодным на стороне издателя через работу со сроками оплат и верификацией партнеров, либо переход на панельные измерения / hard ID (твердый идентификатор, привязанный к электронному адресу, телефону и другим данным о человеке, которые меняются нечасто).

Также было бы здорово, если бы на стороне рекламодателей появилось понимание, что годы дефляции в диджитале физически никак не бьются с инфляцией расходов у издателей и что давление закупок во многом само по себе является стимулом для появления фрода. Нужно менять метрики».

Михаил Шкляев

Главный управляющий директор Okkam

В борьбе с фродом такого уровня клиенты могут минимизировать его несколькими способами. Первый — обращаться в проверенные DSP-платформы, которые умеют отсекать мошенников. Второй — закупать больше инвентаря по прямым сделкам с интернет-площадками. Третий — не просто анализировать базовые показатели эффективности кампании, а вникать в метрики, фиксирующие поведение пользователя после просмотра рекламы — post-view и post-click. Четвертый — использовать новые технологии, позволяющие установить специальный пиксель, с помощью которого каждая интернет-страница получает уникальный код для верификации и распознавания происхождения инвентаря».

Алексей Крупенин

Управляющий директор по цифровым продажам «ГПМ Реклама»

«Не все инструменты могут верифицировать качество трафика. Зачастую они ограничиваются только замером фактического показа рекламного объявления и перехода по нему. Поэтому в качестве гигиенического минимума нужно использовать сами верификаторы, а также докупать опции промерки качества контакта и в случае возникновения сомнений точечно проверять результаты. И, конечно же, разбирать кейсы и решать проблемы на индустриальном уровне в рамках профессиональной дискуссии участников рынка, так как от степени доверия к существующим инструментам зависит и бюджет рекламодателей на современные рекламные инструменты.

Зрелость технологий нашего рынка достаточно высокая, но всегда есть кейсы, требующие более глубокой проработки и анализа. Для решения подобных ситуаций целесообразно досконально разобраться в вопросе всем участникам, а также обратиться в профильные комитеты АРИР. Это поможет принять меры по минимизации подобных эксцессов в будущем и разработать необходимые подходы».

Александр Папков

Сопредседатель комитета Big Data & Programmatic АРИР, директор по инновациям группы АДВ

И о мотивах. Уйдя в минус на контекстной рекламе, при размещении которой надо пользоваться открытым для рекламодателя личным кабинетом, подрядчик может подтянуть общую маржинальность клиента, доливая в медиаплан мутный трафик с непонятных programmatic-платформ. Не стоит упускать из виду, что непрозрачные расходы в медиаплане — это дыра в кармане рекламодателя и шанс для посредников хорошо заработать на совокупности размещений.